在 Microsoft Entra ID 中建立或更新動態成員資格群組

您可以使用規則根據使用者或裝置屬性來決定 Microsoft Entra ID（Microsoft Entra 的一部分）中的動態成員資格群組。 本文說明如何在 Azure 入口網站中設定動態群組的規則。

根據使用者或裝置屬性的群組成員資格適用於安全性群組和 Microsoft 365 群組。 套用群組成員資格規則時，系統會評估使用者和裝置屬性是否符合成員資格規則。 當使用者或裝置的屬性變更時，組織中的所有動態群組規則就會針對成員資格變更進行處理。 如果使用者和裝置符合群組的條件，則會加以新增或移除。 在 Microsoft Entra 中，單一租用戶最多可以有 15,000 個動態成員資格群組。

注意

安全性群組可用於裝置或使用者，但 Microsoft 365 群組只能用於使用者群組。

使用動態群組需要 Microsoft Entra ID P1 授權或 Intune 教育版授權。 如需詳細資訊，請參閱 Microsoft Entra ID 中管理動態成員資格群組的規則 。

Azure 入口網站中的規則建立器

Microsoft Entra ID 提供規則建立器，可讓您更快速建立和更新重要的規則。 規則建立器支援建構最多五個運算式。 規則建立器可讓您更輕鬆以幾個簡單的運算式來建立規則，但不可能重現每一個規則。 如果規則建立器不支援您想建立的規則，您可以使用文字方塊。

以下是進階規則或語法的一些範例，建議您使用文字方塊來建構：

• 具有五個以上運算式的規則
• 直屬員工規則
• 設定運算子優先順序
• 具有複雜運算式的規則，例如 (user.proxyAddresses -any (_ -contains "contoso"))

注意

規則建立器可能無法顯示文字方塊中建構的某些規則。 當規則建立器無法顯示規則時，您可能會看到訊息。 規則建立器完全不會變更動態群組規則支援的語法、驗證或處理。

如需成員資格規則的語法、支援屬性、運算子和值的範例，請參閱 Microsoft Entra ID 中管理動態成員資格群組的規則。

建立動態成員資格群組的規則

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 選取 Microsoft Entra ID。[群組]>。

3. 選取 [所有群組]，然後選取 [新增群組]。

   

4. 在 [群組] 頁面上，輸入新群組的名稱和描述。 選取 [使用者] 或 [裝置] 的成員資格類型，然後選取 [新增動態查詢]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式，則必須使用文字輸入框。

   

5. 針對成員資格查詢，查看可用的自訂延伸模組屬性：

   1. 選取 [取得自訂延伸模組屬性]。
   2. 輸入應用程式識別碼，然後選取 [重新整理屬性]。

6. 建立規則之後，請選取 [儲存]。

7. 選取 [新增群組] 頁面上的 [建立] 以建立群組。

如果您輸入的規則無效，會在入口網站通知中說明為何無法處理規則。 請仔細閱讀以了解如何修正規則。

若要更新現有規則

1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 選取 [Microsoft Entra ID]。

3. 選取 [群組] > [所有群組]。

4. 選取群組以開啟其設定檔。

5. 在群組的 [設定檔] 頁面上，選取 [動態成員資格規則]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式，則必須使用文字輸入框。

   

6. 針對成員資格規則，查看可用的自訂延伸模組屬性：

   1. 選取 [取得自訂延伸模組屬性]。
   2. 輸入應用程式識別碼，然後選取 [重新整理屬性]。

7. 更新規則之後，請選取 [儲存]。

開啟或關閉歡迎電子郵件

建立新的 Microsoft 365 群組之後，系統對新增至群組的使用者傳送歡迎電子郵件通知。 之後，如果使用者或裝置 (僅限安全性群組) 的任何屬性變更，組織中的所有組動態成員資格群組規則就會因應變更進行處理。 新增的使用者隨後也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。

檢查規則的處理狀態

您可以在組動態成員資格群組的 [概觀] 頁面上看到規則處理狀態和最後成員資格變更日期。

可能會針對動態規則處理狀態顯示下列狀態訊息：

• 評估中：已收到群組變更，而且正在評估更新。
• 處理中：正在處理更新。
• 更新完成：處理已完成，並已建立所有適用的更新。
• 處理錯誤：因為評估成員資格規則時發生錯誤，無法完成處理。
• 已暫停更新：管理員已暫停動態成員資格群組更新的規則。 MembershipRuleProcessingState 設定為「已暫停」。
• 尚未啟動：尚未啟動處理。

注意

在此畫面中，您現在也可以選擇 [暫停處理]。 之前此選項只能透過修改 membershipRuleProcessingState 屬性來使用。 至少指派為群組管理員角色的人員可以管理此設定，並可暫停和繼續組動態成員資格群組處理。 沒有正確角色的群組擁有者，就沒有權限可以編輯此設定。

可能會針對成員資格上次變更狀態顯示下列狀態訊息：

• <日期和時間>：上次更新成員資格的時間。
• 進行中：目前正在更新。
• 未知：無法擷取上次更新時間。 群組可能是新的。

重要

暫停和取消暫停動態成員資格群組成員資格之後，「上次成員資格變更」日期會顯示預留位置值。 此值會在處理完成後更新。

如果處理特定群組的成員資格規則時發生錯誤，則會在群組的 [概觀] 頁面頂端顯示警示。 如果 24 小時內無法處理組織內所有群組的擱置動態成員資格群組更新，則會在 [所有群組] 頂端顯示警示。

下一步

下列文章提供有關如何在 Microsoft Entra ID 使用群組的其他資訊。

• 查看現有的群組
• 建立新群組並新增成員
• 管理群組的設定
• 管理群組的成員資格
• 管理使用者的動態成員資格群組規則