Udostępnij przez

Tworzenie dynamicznych grup członkostwa i zarządzanie nimi na potrzeby współpracy B2B w Tożsamość zewnętrzna Microsoft Entra

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru, który wskazuje, że poniższa zawartość dotyczy najemców zatrudnienia. Najemcy zatrudnienia (dowiedz się więcej)

Co to są dynamiczne grupy członkostwa?

Grupa członkostwa dynamicznego to konfiguracja oparta na zabezpieczeniach dla firmy Microsoft Entra dostępna w centrum administracyjnym firmy Microsoft Entra. Administratorzy mogą ustawiać reguły wypełniania dynamicznych grup członkostwa utworzonych w identyfikatorze Entra firmy Microsoft na podstawie atrybutów użytkownika (takich jak userType, dział lub kraj/region). Członkowie mogą być automatycznie dodawani do grupy zabezpieczeń lub usuwani z niej na podstawie ich atrybutów. Te grupy mogą zapewniać dostęp do aplikacji lub zasobów w chmurze (witryn, dokumentów programu SharePoint) i przypisywać licencje do członków. Dowiedz się więcej o dedykowanych grupach w usłudze Microsoft Entra ID.

Wymagania wstępne

Licencjonowanie microsoft Entra ID P1 lub P2 jest wymagane do tworzenia i używania dynamicznych grup członkostwa. Dowiedz się więcej w artykule Create attribute-based rules for dynamic membership groups in Microsoft Entra ID (Tworzenie reguł opartych na atrybutach dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID).

Tworzenie grupy dynamicznej "wszyscy użytkownicy"

Grupę zawierającą wszystkich użytkowników w dzierżawie można utworzyć przy użyciu reguły członkostwa. Po dodaniu lub usunięciu użytkowników z dzierżawy w przyszłości członkostwo w grupie zostanie automatycznie dostosowane.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.

  2. Przejdź do Identyfikator Entra>Grupy>Wszystkie grupy, a następnie wybierz Nowa grupa.

  3. Na stronie Nowa grupa w obszarze Typ grupy wybierz pozycję Zabezpieczenia. Wprowadź nazwę grupy i opis grupy dla nowej grupy.

  4. W obszarze Typ członkostwa wybierz pozycję Użytkownik dynamiczny, a następnie wybierz pozycję Dodaj zapytanie dynamiczne.

  5. Nad polem tekstowym Składnia reguły wybierz pozycję Edytuj. Na stronie Edytowanie składni reguły wpisz następujące wyrażenie w polu tekstowym:

    user.objectId -ne null

  6. Wybierz przycisk OK. Reguła zostanie wyświetlona w polu Składnia reguły:

    Zrzut ekranu przedstawiający składnię reguły dla wszystkich użytkowników grupy dynamicznej.

  7. Wybierz pozycję Zapisz. Nowa grupa dynamiczna będzie teraz zawierać użytkowników-gości B2B i użytkowników członkowskich.

  8. Wybierz pozycję Utwórz na stronie Nowa grupa , aby utworzyć grupę.

Tworzenie grupy tylko członków

Jeśli chcesz, aby grupa wykluczyła użytkowników-gości i uwzględniła tylko członków dzierżawy, utwórz grupę dynamiczną zgodnie z powyższym opisem, ale w polu Składnia reguły wprowadź następujące wyrażenie:

(user.objectId -ne null) and (user.userType -eq "Member")

Na poniższej ilustracji przedstawiono składnię reguły dla grupy dynamicznej zmodyfikowanej tak, aby zawierała tylko członków i wykluczała gości.

Zrzut ekranu przedstawiający składnię reguły, w której typ użytkownika jest równy członkowi.

Tworzenie grupy tylko gości

Warto również utworzyć nową grupę dynamiczną zawierającą tylko użytkowników-gości, aby można było do nich zastosować zasady (takie jak zasady dostępu warunkowego firmy Microsoft Entra). Utwórz grupę dynamiczną zgodnie z powyższym opisem, ale w polu Składnia reguły wprowadź następujące wyrażenie:

(user.objectId -ne null) and (user.userType -eq "Guest")

Na poniższej ilustracji przedstawiono składnię reguły dla grupy dynamicznej zmodyfikowanej tak, aby zawierała tylko gości i wykluczała użytkowników członkowskich.

Zrzut ekranu przedstawiający składnię reguły, w której typ użytkownika jest równy gościu.

Następne kroki

  • Last updated on