在 Microsoft Entra ID 中创建或更新动态组

在属于 Microsoft Entra 的 Microsoft Entra ID 中,可以使用规则根据用户或设备属性确定组成员资格。 本文介绍如何为 Azure 门户中的动态组设置一项规则。

支持为安全组和 Microsoft 365 组启用动态成员身份。 应用组成员身份规则时,将会对用户和设备属性进行评估,确定其是否与成员身份规则匹配。 当用户或设备的任何属性发生更改时,将处理组织中的所有动态组规则以进行成员身份更改。 如果用户和设备符合组的条件,则会对其执行添加或删除操作。

安全组可以用于设备或用户,但 Microsoft 365 组只能是用户组。 使用动态组需要 Microsoft Entra ID P1 许可证或 Intune for Education 许可证。 有关更多详细信息,请参阅组的动态成员身份规则

Azure 门户中的规则生成器

Microsoft Entra ID 提供了一个规则生成器,用于更快地创建和更新重要规则。 规则生成器支持最多包含五个表达式的构造。 通过规则生成器可以更轻松地使用几个简单表达式来组成规则,但是,它无法用于重现每个规则。 如果规则生成器不支持要创建的规则,则可以使用文本框。

下面是建议使用文本框构造的高级规则或语法的一些示例:

注意

规则生成器可能无法显示在文本框中构造的某些规则。 当规则生成器无法显示规则时,可能会看到一条消息。 规则生成器不会以任何方式更改动态组规则的支持语法、验证或处理。

屏幕截图显示了“动态成员身份规则”页,其中选择了“配置规则”选项卡上的“添加表达式”操作。

如需成员身份规则的语法、支持的属性、运算符和值的示例,请参阅 Microsoft Entra ID 中的组的动态成员资格规则

要创建组成员资格规则,请执行以下操作:

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”“组”>

  3. 选择“所有组”,然后选择“新组”

    显示如何选择“添加新组”操作的屏幕截图。

  4. 在“组”页面上,输入新组的名称和说明。 为用户或设备选择“成员身份类型”,然后选择“添加动态查询”。 规则生成器支持最多五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    屏幕截图显示了“所有组”页,其中选择了“新建组”操作。

  5. 查看适用于成员身份查询的自定义扩展属性:

    1. 选择“获取自定义扩展属性”
    2. 输入应用程序 ID,然后选择“刷新属性”
  6. 创建规则之后,选择“保存”

  7. 在“新建组”页中,选择“创建”以创建该组。

如果输入的规则无效,则会在门户的通知中显示有关系统为何无法处理规则的说明。 请仔细阅读,了解如何修复规则。

更新现有规则

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择“组”>“所有组” 。

  4. 选择组以打开其配置文件。

  5. 在组的配置文件页上,选择“动态成员身份规则”。 规则生成器支持最多五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    显示如何为动态组添加成员身份规则的屏幕截图。

  6. 查看适用于成员身份规则的自定义扩展属性:

    1. 选择“获取自定义扩展属性”
    2. 输入应用程序 ID,然后选择“刷新属性”
  7. 更新规则后,选择“保存”。

打开或关闭欢迎电子邮件

创建新的 Microsoft 365 组时,会向添加到该组的用户发送欢迎电子邮件通知。 以后,如果用户或设备(仅针对安全组)的任何属性发生更改时,将处理组织中的所有动态组规则以进行成员身份更改。 添加的用户也会收到欢迎通知。 可以在 Exchange PowerShell 中关闭此行为。

检查规则的处理状态

可在组的“概述”页上查看动态规则处理状态和上次成员资格更改日期。

动态组状态关系图的屏幕截图。

“动态规则处理”状态会显示以下几种状态消息:

  • 正在评估:已收到组更改,正在评估更新。
  • 正在处理:正在进行更新。
  • 更新完成:处理已完成,且已完成所有适用更新。
  • 正在处理错误:无法完成处理,因为评估成员身份规则时遇到错误。
  • 更新已暂停:管理员暂停了动态成员资格规则更新。 MembershipRuleProcessingState 设置为“已暂停”。

注意

在此屏幕中,现在还可以选择“暂停处理”。 以前,只能通过修改 membershipRuleProcessingState 属性来使用此选项。 至少具有组管理员角色的用户可以管理此设置,并可以暂停和恢复动态组处理。 没有正确角色的组所有者没有编辑此设置所需的权限。

“上次成员资格更改”状态会显示以下几种状态消息:

  • <日期和时间>:上次更新成员资格的时间。
  • 正在进行:目前正在进行更新。
  • 未知:无法检索上次更新时间。 该组可能是新的。

重要

暂停和取消暂停动态组成员资格后,“最后的成员资格更改”日期将会显示占位符值。 处理完成后会更新此值。

如果在处理特定组的成员资格规则时出错误,则该组的“概述”页顶部会显示警报。 如果无法在 24 小时之后处理组织中所有组的待处理动态成员资格更新,则会在所有组的顶部显示警报。

显示如何处理错误消息警报的屏幕截图。

后续步骤

以下文章提供了有关如何使用 Microsoft Entra ID 中的组的更多信息。