在 Microsoft Entra ID 中建立或更新動態群組

  • 發行項

您可以使用規則,根據 Microsoft Entra 識別碼中的使用者或裝置屬性來判斷群組成員資格,這是 Microsoft Entra 的一部分。 本文說明如何在 Azure 入口網站 中設定動態群組的規則。

安全組和 Microsoft 365 群組 支援動態成員資格。 套用群組成員資格規則時,系統會評估使用者和裝置屬性,以符合成員資格規則。 當使用者或裝置的屬性變更時,組織中所有動態群組規則都會處理成員資格變更。 如果使用者符合群組的條件,則會新增或移除使用者和裝置。

安全組可用於裝置或使用者,但 Microsoft 365 群組 只能是使用者群組。 使用動態群組需要 Microsoft Entra ID P1 授權或 Intune 教育版授權。 如需詳細資訊,請參閱 群組 的動態成員資格規則。

Azure 入口網站 中的規則產生器

Microsoft Entra ID 提供規則產生器,讓您更快速地建立和更新重要規則。 規則產生器支援最多五個表達式的建構。 規則產生器可讓您更輕鬆地使用一些簡單的運算式來形成規則,不過,它無法用來重現每個規則。 如果規則產生器不支援您想要建立的規則,您可以使用文字框。

以下是一些進階規則或語法範例,建議您使用文字框來建構:

注意

規則產生器可能無法顯示文字框中建構的一些規則。 當規則產生器無法顯示規則時,您可能會看到訊息。 規則產生器不會以任何方式變更動態群組規則的支援語法、驗證或處理。

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

如需成員資格規則的語法、支援的屬性、運算符和值範例,請參閱 Microsoft Entra ID 中群組的動態成員資格規則。

建立群組成員資格規則

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。>群組

  3. 選取 [所有群組],然後選取 [ 新增群組]。

    Screenshot showing how to select the Add new group action.

  4. 在 [ 群組 ] 頁面上,輸入新群組的名稱和描述。 選取使用者或裝置的成員資格類型,然後選取 [新增動態查詢]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式,則必須使用文字輸入框。

    Screenshot that shows the All groups page with the New group action selected.

  5. 若要查看成員資格查詢可用的自訂延伸模組屬性:

    1. 選取 [取得自定義擴充功能屬性]
    2. 輸入應用程式識別碼,然後選取 [ 重新整理屬性]。

  6. 建立規則之後,請選取 [ 儲存]。

  7. 選取 [新增群組] 頁面上的 [建立] 以建立群組。

如果您輸入的規則無效,則無法處理規則的原因說明會顯示在入口網站中的通知中。 請仔細閱讀,以瞭解如何修正規則。

更新現有的規則

  1. 以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 選取 [群組>所有群組]。

  4. 選取群組以開啟其配置檔。

  5. 在群組的配置檔頁面上,選取 [動態成員資格規則]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式,則必須使用文字輸入框。

    Screenshot showing how to add a membership rule for a dynamic group.

  6. 若要查看成員資格規則可用的自訂延伸模組屬性:

    1. 選取 [取得自定義擴充功能屬性]
    2. 輸入應用程式識別碼,然後選取 [ 重新整理屬性]。

  7. 更新規則之後,請選取 [ 儲存]。

開啟或關閉歡迎電子郵件

建立新的 Microsoft 365 群組時,會傳送歡迎電子郵件通知給新增至群組的使用者。 稍後,如果使用者或裝置的任何屬性(只有在安全組的情況下)變更,則會處理組織中所有動態群組規則,以進行成員資格變更。 然後新增的使用者也會收到歡迎通知。 您可以在 Exchange PowerShell關閉此行為。

檢查規則的處理狀態

您可以在群組的 [概觀] 頁面上看到動態規則處理狀態和上次成員資格變更日期

Screenshot of a diagram of the dynamic group status.

您可以針對動態規則處理狀態顯示下列狀態訊息:

  • 評估:已收到群組變更,並正在評估更新。
  • 處理:正在處理 更新。
  • 更新完成:處理已完成,並已進行所有適用的更新。
  • 處理錯誤:因為評估成員資格規則時發生錯誤,因此無法完成處理。
  • 已暫停更新:系統管理員已暫停動態成員資格規則更新。 MembershipRuleProcessingState 設定為 “Paused”。

注意

在此畫面中,您現在也可以選擇 [ 暫停處理]。 先前,此選項只能透過修改 membershipRuleProcessingState 屬性來使用。 全域管理員、群組管理員、用戶系統管理員和 Intune 系統管理員可以管理此設定,並可暫停和繼續動態群組處理。 沒有正確角色的群組擁有者沒有編輯此設定所需的許可權。

[上次成員資格變更狀態] 會顯示下列狀態消息:

  • <>日期和時間:上次更新成員資格的時間。
  • 進行中:更新 目前正在進行中。
  • 未知:無法擷取上次更新時間。 群組可能是新的。

重要

暫停和取消暫停動態群組成員資格之後,「上次成員資格變更」日期會顯示佔位元值。 處理完成之後,將會更新此值。

如果在處理特定群組的成員資格規則時發生錯誤,則會在群組的 [概觀] 頁面頂端顯示警示。 如果組織內所有群組無法處理超過 24 小時的暫止動態成員資格更新,則會在 [所有群組] 頂端顯示警示。

Screenshot showing how to process error message alerts.

下一步

下列文章提供如何在 Microsoft Entra ID 中使用群組的其他資訊。