Microsoft Entra 標識符中動態群組中的群組成員資格

  • 發行項

Microsoft Entra ID 中的這項功能預覽可讓系統管理員建立動態群組和系統管理單位,藉由使用 memberOf 屬性新增其他群組的成員來填入。 先前在 Microsoft Entra ID 中無法讀取群組型成員資格的應用程式現在可以讀取這些新 memberOf 群組的整個成員資格。 這些群組不僅可用於應用程式,還可以用於授權指派。

下圖說明如何使用 Security-Group-X 和 Security-Group-Y 的成員建立 Dynamic-Group-A。 Security-Group-X 和 Security-Group-Y 內的群組成員不會成為 Dynamic-Group-A 的成員。

顯示 memberOf 屬性運作方式的圖表。

透過此預覽,系統管理員可以使用 Azure 入口網站、Microsoft Graph 和 PowerShell 中的 屬性來設定動態群組memberOf。 從 內部部署的 Active Directory 同步處理的安全組、Microsoft 365 群組和群組都可以新增為這些動態群組的成員。 它們也可以全部新增至單一群組。 例如,動態群組可以是安全組,但您可以使用從內部部署同步處理的 Microsoft 365 群組、安全組和群組來定義其成員資格。

必要條件

只有 Global 管理員 istrator、Intune 管理員 istrator 或 User 管理員 istrator 角色中的系統管理員可以使用 memberOf 屬性來建立 Microsoft Entra 動態群組。 您必須擁有 Microsoft Entra 租使用者的 Microsoft Entra ID P1 或 P2 授權。

預覽限制

  • 每個 Microsoft Entra 租使用者都受限於 500 個使用 屬性的 memberOf 動態群組。 群組 memberOf 會計入 15,000 的動態群組成員配額總計。
  • 每個動態群組最多可以有50個成員群組。
  • 當您將安全組的成員新增至 memberOf 動態群組時,只有安全組的直接成員會成為動態群組的成員。
  • 您無法使用一個動態群組來定義另一個memberOfmemberOf動態群組的成員資格。 例如,動態群組 A 具有群組 B 和 C 的成員,不能是動態群組 D 的成員。
  • 屬性 memberOf 無法與其他規則搭配使用。 例如,一個規則,指出動態群組 A 應該包含群組 B 的成員,而且只包含位於 Redmond 的使用者將會失敗。
  • 動態群組規則產生器及驗證功能目前無法使用 memberOf
  • 屬性 memberOf 不能與其他運算元搭配使用。 例如,您無法建立規則,指出「A 群組的成員不能位於動態群組 B 中」。

開始使用

此功能可用於 Azure 入口網站、Microsoft Graph 和 PowerShell。 由於 memberOf 規則產生器尚不支援,因此您必須在規則編輯器中輸入您的規則。

建立 memberOf 動態群組

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別群組>] [所有群組]。
  3. 選取新增群組
  4. 填寫群組詳細數據。 群組類型可以是安全性或 Microsoft 365,而成員資格類型可以設定為動態使用者動態裝置。
  5. 選取 [新增動態查詢]
  6. 規則產生器尚不支援 MemberOf。 選取 [編輯] 以在 [規則語法] 方塊中撰寫規則。
    1. 範例用戶規則: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. 範例裝置規則: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. 選取 [確定]。
  8. 選取 [ 建立群組]。