在 Microsoft Entra ID 中将静态组更改为动态成员资格组
可以在 Microsoft Entra ID(Microsoft Entra 的一部分)中将组的成员身份从静态更改为动态(反之亦然)。 Microsoft Entra ID 在系统中保留相同的组名和 ID,因此对该组的所有现有引用仍然有效。 如果创建新的组,将需要更新这些引用。 创建动态成员资格组可消除添加和删除用户的管理开销。 本文介绍如何使用门户或 PowerShell cmdlet 将现有组从静态成员资格组转换为动态成员资格组。 在 Microsoft Entra 中,单个租户最多可以有 15,000 个动态成员资格组。
警告
将现有静态组更改为动态组时,会从组中删除所有现有成员,然后会处理成员资格规则以添加新成员。 如果使用组来控制对应用或资源的访问,则请注意,在完全处理成员资格规则前,原始成员可能无法进行访问。
建议事先测试新的成员身份规则,确保组中的新成员身份符合预期。 如果在测试过程中遇到错误,请参阅解决组许可证问题。
更改组的成员资格类型
可以使用至少具有组管理员角色的帐户执行以下步骤。
- 至少以组管理员身份登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID”。
- 组。
- 在“所有组”列表中,打开要更改的组。
- 选择“属性”。
- 在组的“属性”页中,选择“已分配(静态)”、“动态用户”或“动态设备”作为“成员身份类型”,具体取决于所需的成员身份类型。 对于动态成员资格组,可以使用规则生成器选择简单规则的选项,也可以自行写入成员资格规则。
以下步骤以示例的方式演示如何将一组用户所在的组从静态成员资格组更改为动态成员资格组。
在所选组的“属性”页上,选择“动态用户”的“成员资格类型”,然后在说明对动态成员资格组所做更改的对话框上选择“是”,以便继续操作。
选择“添加动态查询”,然后提供规则。
创建规则之后,选择页面底部的“添加查询”。
在组的“属性”页上选择“保存”,以便保存所做的更改。 组列表中组的“成员身份类型”会立即进行更新。
提示
如果所输入的成员资格规则不正确,组转换操作可能会失败。 通知显示在门户的右上角;它包含系统无法接受规则的原因说明。 请仔细阅读,了解如何调整规则才能使其生效。 有关规则语法的示例以及成员资格规则支持的属性、运算符和值的完整列表,请参阅在 Microsoft Entra ID 中管理动态成员资格规则。
更改组的成员资格类型 (PowerShell)
注意
若要更改动态组属性,需要通过 Microsoft Graph PowerShell 模块使用 cmdlet。 有关详细信息,请参阅安装 Microsoft Graph PowerShell SDK。
下面是在现有组中切换成员身份管理的函数示例。 在此示例中,必须小心正确地操作 GroupTypes 属性,并保留与动态成员资格组无关的任何值。
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
将组设为静态:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
将组设为动态:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
后续步骤
这些文章提供了有关 Microsoft Entra ID 中的组的其他信息。