共用方式為

在 Microsoft Entra ID 中建立或更新動態成員資格群組

您可以使用規則,根據Microsoft Entra識別碼中的使用者或裝置屬性來判斷動態成員資格群組。 本文說明如何在 Azure 入口網站中設定動態成員資格群組的規則。

根據使用者或裝置屬性的群組成員資格適用於安全性群組和 Microsoft 365 群組。 套用群組成員資格規則時,系統會評估使用者和裝置屬性是否符合成員資格規則。 當使用者或裝置的屬性變更時,組織中的所有動態群組規則就會針對成員資格變更進行處理。 如果使用者和裝置符合動態成員群組的條件,則會加以新增或移除。 在 Microsoft Entra 識別符中,單一租使用者最多可以有 15,000 個動態成員資格群組。

注意

安全組可以包含裝置或使用者,但Microsoft 365個群組只能包含使用者。

使用動態成員資格群組需要Microsoft Entra ID P1 授權或 Intune 教育版授權。 如需更多資訊,請參閱 在 Microsoft Entra ID 中管理動態成員群組的規則

Azure 入口網站中的規則建立器

Microsoft Entra ID 提供規則建立器,可讓您更快速建立和更新重要的規則。 規則建立器支援建構最多五個運算式。

顯示規則產生器的螢幕截圖,標出了新增表達式的動作。

規則產生器可讓您更輕鬆地使用一些簡單的運算式來形成規則。 不過,它無法用來重現每個規則。 如果規則產生器不支援您想要建立的規則,您可以使用文字框。

以下是一些進階規則或語法範例,建議您使用文字框:

注意

規則建立器可能無法顯示文字方塊中建構的某些規則。 當規則產生器無法顯示規則時,您可能會看到訊息。 規則建立器完全不會變更動態群組規則支援的語法、驗證或處理。

如需成員資格規則的語法和支援屬性、運算子和值範例,請參閱 在 Microsoft entra ID 中管理動態成員資格群組的規則

建立動態成員資格群組的規則

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 選取 Microsoft Entra ID>群組

  3. 選取 [所有群組],然後選取 [ 新增群組]。

    顯示新增群組之選取項目的螢幕快照。

  4. 在 [ 群組 ] 窗格中,輸入新群組的名稱和描述。 選取使用者或裝置 的成員資格類型 值,然後選取 [新增動態查詢]。

  5. 在規則產生器中,新增最多五個表達式。 若要加入五個以上的運算式,則必須使用文字輸入框。

    顯示設定規則窗格的螢幕快照,其中已醒目提示新增表達式的按鈕。

  6. 若要查看可供成員資格查詢使用的自訂延伸模組屬性:

    1. 選取 [取得自定義擴充功能屬性]。
    2. 輸入應用程式識別碼,然後選取 [重新整理屬性]

  7. 建立規則之後,請選取 [ 儲存]。

  8. 在 [ 新增群組 ] 頁面上,選取 [ 建立 ] 以建立群組。

如果您輸入的規則無效,入口網站會顯示無法處理規則的原因說明。 請仔細閱讀以了解如何修正規則。

更新現有的規則

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 選取 Microsoft Entra ID

  3. 選取 [群組] > [所有群組]

  4. 選取群組以開啟其設定檔。

  5. 在群組的 [設定檔] 頁面上,選取 [動態成員資格規則]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式,則必須使用文字輸入框。

    顯示動態成員資格群組之規則產生器的螢幕快照。

  6. 若要查看適用於您成員資格規則的自訂延伸模組屬性:

    1. 選取 [取得自定義擴充功能屬性]。
    2. 輸入應用程式識別碼,然後選取 [重新整理屬性]

  7. 完成規則更新之後,請選取 [ 儲存]。

開啟或關閉歡迎電子郵件

當系統管理員建立新的Microsoft 365 群組時,新增至群組的使用者會收到歡迎電子郵件通知。 稍後,如果使用者或裝置的任何屬性(僅適用於安全組)變更,則組織中動態成員資格群組的所有規則都會進行處理以進行變更。 新增的使用者隨後也會收到歡迎通知。

您可以在 Exchange PowerShell 中開啟或關閉此行為。

檢查規則的處理狀態

您可以在動態成員資格群組的概觀頁面上看到規則處理狀態和上次成員資格變更的日期。

顯示動態成員資格群組狀態的螢幕快照。

動態 規則處理狀態可能會顯示下列狀態訊息:

  • 評估:已收到群組變更,並正在評估更新。
  • 處理中:正在處理更新。
  • 更新完成:處理完成,並已進行所有適用的更新。
  • 處理錯誤:因為評估成員資格規則時發生錯誤,因此無法完成處理。
  • 更新已暫停:系統管理員暫停規則以更新動態成員資格群組。 MembershipRuleProcessingState 設定為 Paused
  • 未啟動:尚未啟動處理。

注意

此頁面現在有 暫停處理 選項。 先前,此選項只有透過修改membershipRuleProcessingState屬性才能使用。 至少有 群組管理員 角色的人員可以管理此設定,並可暫停和繼續動態成員資格群組的處理。 沒有正確角色的群組擁有者沒有編輯此設定的必要許可權。

[ 上次成員資格變更] 會出現下列狀態消息:

  • < >日期和時間:成員資格上次更新於此日期和時間。
  • 進行中:目前正在更新。
  • 未知:無法擷取上次更新時間。 群組可能是新的。

重要

暫停並取消暫停動態成員群組的處理工作之後,上次成員資格變更日期會顯示佔位元值。 這個值會在處理完成之後更新。

如果在處理特定群組的成員資格規則期間發生錯誤,群組概觀頁面頂端會出現警示。 如果組織內所有群組無法處理動態成員資格群組的擱置更新超過 24 小時,則警示會出現在 [所有群組] 上方。

顯示因系統延遲而未更新動態群組成員資格的警示訊息的螢幕截圖。

相關內容