Freigeben über

Konfigurieren von dynamischen Mitgliedschaftsgruppen mit dem Attribut "memberOf" im Azure-Portal (Vorschau)

Diese Funktionsvorschau in Microsoft Entra ID ermöglicht es Administratoren, dynamische Mitgliedschaftsgruppen und Verwaltungseinheiten zu erstellen, die sich durch Hinzufügen von Mitgliedern anderer Gruppen mithilfe des Attributs memberOf füllen. Apps, die bisher keine gruppenbasierte Mitgliedschaft in Microsoft Entra ID lesen konnten, können jetzt die gesamte Mitgliedschaft dieser neuen memberOf-Gruppen lesen. Diese Gruppen können nicht nur für Apps, sondern auch zum Zuweisen von Lizenzen verwendet werden.

Warnung

Dies ist ein Vorschaufeature und ist nicht für die Produktionsverwendung vorgesehen. Die Verwendung dieser Funktionen umfasst Einschränkungen, die sich auf die Verarbeitung dynamischer Gruppen im Mandanten auswirken können. Es wird empfohlen, den Abschnitt "Vorschaubeschränkungen " zu überprüfen, bevor Sie dieses Feature verwenden.

Im folgenden Diagramm wird veranschaulicht, wie Sie „Dynamic-Group-A“ mit Mitgliedern von „Security-Group-X“ und „Security-Group-Y“ erstellen können. Mitglieder der Gruppen in Security-Group-X und Security-Group-Y werden nicht zu Mitgliedern von Dynamic-Group-A.

Diagramm, das zeigt, wie das memberOf-Attribut funktioniert.

Mit dieser Vorschau können Administratoren dynamische Gruppen mit dem memberOf-Attribut im Azure-Portal sowie mit Microsoft Graph und PowerShell konfigurieren. Sicherheitsgruppen, Microsoft 365-Gruppen und über lokale Active Directory-Instanzen synchronisierte Gruppen können als Mitglieder dieser dynamischen Mitgliedschaftsgruppen hinzugefügt werden. Sie können auch einer einzelnen Gruppe hinzugefügt werden. Beispielsweise könnte es sich bei der dynamischen Gruppe um eine Sicherheitsgruppe handeln, aber Sie können Microsoft 365-Gruppen, Sicherheitsgruppen und über lokale Instanzen synchronisierte Gruppen verwenden, um die Mitgliedschaft zu definieren.

Voraussetzungen

Sie müssen mindestens ein Benutzeradministrator sein, um das memberOf-Attribut zum Erstellen einer dynamischen Microsoft Entra-Gruppe zu verwenden. Sie benötigen eine Microsoft Entra-ID P1 oder P2-Lizenz für den Microsoft Entra-Mandanten.

Einschränkungen der Vorschau

  • Diese Vorschau sollte nur in Testumgebungen verwendet werden, da sie die dynamische Gruppenverarbeitung im Tenant beeinflussen kann. Wir arbeiten daran, diese Einschränkungen zu beheben und Updates bereitzustellen, wenn sie verfügbar sind.
  • Jeder Microsoft Entra-Mandant ist auf 500 dynamische Gruppen mit dem memberOf Attribut beschränkt. Die memberOf Gruppen zählen zum gesamt dynamischen Gruppenkontingent von 15.000.
  • Jede dynamische Gruppe kann bis zu 50 Mitgliedergruppen umfassen.
  • Wenn Sie Mitglieder von Sicherheitsgruppen zu memberOf dynamischen Mitgliedschaftsgruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe.
  • Sie können eine dynamische memberOf-Gruppe nicht verwenden, um die Mitgliedschaft einer anderen dynamischen memberOf-Gruppe zu definieren. So kann beispielsweise die dynamische Gruppe A, der Mitglieder der Gruppen B und C angehören, nicht Mitglied der dynamischen Gruppe D sein.
  • Das memberOf Attribut kann nicht mit anderen Regeln verwendet werden. So schlägt beispielsweise eine Regel fehl, die festlegt, dass die dynamische Gruppe A Mitglieder der Gruppe B enthalten soll und außerdem nur in Redmond befindliche Benutzer enthalten soll.
  • Der Regel-Generator/die Funktion zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für memberOf verwendet werden.
  • Das memberOf Attribut kann nicht mit anderen Operatoren verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass Mitglieder der Gruppe A nicht Mitglied der dynamischen Gruppe B sein dürfen.
  • Benutzende, die in memberOf dynamischen Mitgliedschaftsgruppen enthalten sind, können zu einer langsameren Verarbeitungszeit für Ihren Mandanten führen, wenn der Mandant über eine große Anzahl von Gruppen oder häufige Aktualisierungen dynamischer Mitgliedschaftsgruppen verfügt.

Erste Schritte

Diese Funktion kann im Azure-Portal, in Microsoft Graph und in PowerShell verwendet werden. Da memberOf noch nicht im Regel-Generator unterstützt wird, müssen Sie Ihre Regel im Regel-Editor eingeben.

Eine dynamische memberOf-Gruppe erstellen

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.
  3. Wählen Sie Neue Gruppe aus.
  4. Geben Sie die Gruppendetails an. Als Gruppentyp können Sie Sicherheit oder Microsoft 365 angeben, und der Mitgliedschaftstyp kann auf Dynamischer Benutzer oder Dynamisches Gerät festgelegt werden.
  5. Wählen Sie Dynamische Abfrage hinzufügen aus.
  6. MemberOf wird in der Regel-Generator-Benutzeroberfläche noch nicht unterstützt. Wählen Sie Bearbeiten aus, um die Regel in das Feld Regelsyntax zu schreiben.
    1. Beispiel für eine Benutzerregel: user.memberof -any (group.objectId -in ['groupId'])
    2. Beispiel für eine Geräteregel: device.memberof -any (group.objectId -in ['groupId'])
  7. Klicken Sie auf OK.
  8. Wählen Sie Gruppe erstellen aus.
  • Last updated on