通过

使用 Azure 门户中的 memberOf 属性配置动态成员资格组

  • 项目

Microsoft Entra ID 中的此功能预览使管理员能够创建动态成员资格组和管理单元,并通过使用 memberOf 属性添加其他组的成员来填充这些组和管理单元。 以前在 Microsoft Entra ID 中无法读取基于组的成员身份的应用现在可以读取这些新 memberOf 组的整个成员身份。 这些组不仅可以用于应用,还可以用于许可分配。

下图演示了如何使用 Security-Group-X 和 Security-Group-Y 的成员创建 Dynamic-Group-A。 Security-Group-X 和 Security-Group-Y 内的组成员不会成为 Dynamic-Group-A 的成员。

此图显示 memberOf 属性工作原理。

借助此预览,管理员可以在 Azure 门户、Microsoft Graph 和 PowerShell 中使用 memberOf 属性配置动态成员资格组。 安全组、Microsoft 365 组、从本地 Active Directory 同步的组都可以添加为这些动态成员资格组的成员。 并且都可以添加到单个组中。 例如,动态组可以是安全组,但你可以使用 Microsoft 365 组、安全组以及从本地同步的组来定义其成员身份。

先决条件

你必须至少是用户管理员才能使用 memberOf 属性创建 Microsoft Entra 动态组。 必须具有 Microsoft Entra 租户的 Microsoft Entra ID P1 或 P2 许可证。

预览版限制

  • 每个 Microsoft Entra 租户最多只能使用 memberOf 属性创建 500 个动态成员资格组。 memberOf 组计入 15,000 的总动态组成员配额。
  • 每个动态组最多可以有 50 个成员组。
  • 将安全组的成员添加到 memberOf 动态成员资格组时,只有安全组的直接成员才会成为动态组的成员。
  • 不能使用一个 memberOf 动态组来定义另一个 memberOf 动态组的成员身份。 例如,包含组 B 和 C 的成员的动态组 A 不能成为动态组 D 的成员。
  • memberOf 属性不能与其他规则一起使用。 例如,如果一个规则指定动态组 A 应包含组 B 的成员并且还应仅包含雷德蒙的用户,则该规则将失败。
  • 动态组规则生成器和验证功能目前不能用于 memberOf
  • memberOf 属性不能与其他运算符一起使用。 例如,不能创建以下这样的规则:指定“组 A 的成员不能位于动态组 B 中”。
  • 如果租户拥有大量组或频繁更新动态成员资格组,则 memberOf 动态成员资格组中包含的用户可能会导致租户的处理时间变慢。

开始使用

此功能可在 Azure 门户、Microsoft Graph 和 PowerShell 中使用。 由于规则生成器中尚不支持 memberOf,因此必须在规则编辑器中输入规则。

创建 memberOf 动态组

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“”>“所有组”。
  3. 选择新建组
  4. 填入组详细信息。 组类型可以是“安全”或“Microsoft 365”,成员身份类型可以设置为“动态用户”或“动态设备”。
  5. 选择“添加动态查询”。
  6. 规则生成器尚不支持 MemberOf。 选择“编辑”以在“规则语法”框中写入规则。
    1. 用户规则示例:user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. 设备规则示例:device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. 选择“确定”。
  8. 选择“创建组”。