Microsoft Entra ID 中動態群組的群組成員資格

Microsoft Entra ID 中的此項功能預覽，可讓系統管理員建立動態群組和管理單位，藉由使用 memberOf 屬性新增其他群組的成員來填入。 先前在 Microsoft Entra ID 中無法讀取群組型成員資格的應用程式，現在可以讀取這些新 memberOf 群組的整個成員資格。 這些群組不僅可用於應用程式，也可用於授權指派。

下圖說明如何使用 Security-Group-X 和 Security-Group-Y 的成員建立 Dynamic-Group-A。 Security-Group-X 和 Security-Group-Y 內的群組成員不會成為 Dynamic-Group-A 的成員。

在此預覽版中，系統管理員可以使用 Azure 入口網站、Microsoft Graph 和 PowerShell 中的 memberOf 屬性來設定動態群組。 安全性群組、Microsoft 365 群組，以及從內部部署 Active Directory 同步的群組，都可以新增為這些動態群組的成員。 前述群組也可以全部新增至單一群組。 例如，動態群組可以是安全性群組，但是您可以使用 Microsoft 365 群組、安全性群組和從內部部署同步的群組來定義其成員資格。

必要條件

您必須至少是使用者管理員，才能使用 memberOf 屬性來建立 Microsoft Entra 動態群組。 您必須擁有 Microsoft Entra 租用戶的 Microsoft Entra ID P1 或 P2 授權。

預覽限制

• 每個 Microsoft Entra 租用戶使用 memberOf 屬性的限制為 500 個動態群組。 memberOf 群組會計入 15,000 個動態群組成員配額總計。
• 每個動態群組最多可以有 50 個成員群組。
• 將安全性群組的成員新增至 memberOf 動態群組時，只有安全性群組的直接成員會成為動態群組的成員。
• 您無法使用一個 memberOf 動態群組來定義另一個 memberOf 動態群組的成員資格。 例如，動態群組 A 具有群組 B 和 C 的成員，不能是動態群組 D 的成員。
• memberOf 無法與其他規則搭配使用。 例如，指出動態群組 A 應該包含群組 B 的成員，而且也應該只包含位於 Redmond 中的使用者的規則將會失敗。
• 動態群組規則建立器及驗證功能目前無法用於 memberOf。
• memberOf 屬性無法與其他運算子搭配使用。 例如，您無法建立指出「群組 A 成員不能在動態群組 B」的規則。

開始使用

此功能可以在 Azure 入口網站、Microsoft Graph 和 PowerShell 中使用。 由於規則建立器尚未支援 memberOf，因此您必須在規則編輯器中輸入您的規則。

建立 memberOf 動態群組

1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[群組]>[所有群組]。
3. 選取新增群組。
4. 填入群組詳細資料。 群組類型可以是 [安全性] 或 [Microsoft 365]，而成員資格類型可以設定為 [動態使用者] 或 [動態裝置]。
5. 選取 [新增動態查詢]。
6. 規則產生器尚未支援 MemberOf。 選取 [編輯] 以在 [規則語法] 方塊中寫入規則。
   1. 範例使用者規則：user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. 範例裝置規則：device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. 選取 [確定]。
8. 選取 [建立群組]。