Konfigurieren von dynamischen Mitgliedschaftsgruppen mit dem Attribut "memberOf" im Azure-Portal (Vorschau)

Übersicht

Diese Funktionsvorschau in Microsoft Entra ID ermöglicht es Administratoren, dynamische Mitgliedschaftsgruppen und Verwaltungseinheiten zu erstellen, die sich durch Hinzufügen von Mitgliedern anderer Gruppen mithilfe des Attributs memberOf füllen. Apps, die bisher keine gruppenbasierte Mitgliedschaft in Microsoft Entra ID lesen konnten, können jetzt die gesamte Mitgliedschaft dieser neuen memberOf-Gruppen lesen. Diese Gruppen können nicht nur für Apps, sondern auch zum Zuweisen von Lizenzen verwendet werden.

Im folgenden Diagramm wird veranschaulicht, wie Sie „Dynamic-Group-A“ mit Mitgliedern von „Security-Group-X“ und „Security-Group-Y“ erstellen können. Mitglieder der Gruppen in Security-Group-X und Security-Group-Y werden nicht zu Mitgliedern von Dynamic-Group-A.

Mit dieser Vorschau können Administratoren dynamische Gruppen mit dem memberOf-Attribut im Azure-Portal sowie mit Microsoft Graph und PowerShell konfigurieren. Sicherheitsgruppen, Microsoft 365-Gruppen und über lokale Active Directory-Instanzen synchronisierte Gruppen können als Mitglieder dieser dynamischen Mitgliedschaftsgruppen hinzugefügt werden. Sie können auch einer einzelnen Gruppe hinzugefügt werden. Beispielsweise könnte es sich bei der dynamischen Gruppe um eine Sicherheitsgruppe handeln, aber Sie können Microsoft 365-Gruppen, Sicherheitsgruppen und über lokale Instanzen synchronisierte Gruppen verwenden, um die Mitgliedschaft zu definieren.

Voraussetzungen

Sie müssen mindestens ein Benutzeradministrator sein, um das memberOf-Attribut zum Erstellen einer dynamischen Microsoft Entra-Gruppe zu verwenden. Sie benötigen eine Microsoft Entra-ID P1 oder P2-Lizenz für den Microsoft Entra-Mandanten.

Einschränkungen der Vorschau

• Diese Vorschau sollte nur in Testumgebungen verwendet werden, da sie die dynamische Gruppenverarbeitung im Tenant beeinflussen kann. Diese Einschränkungen werden behoben, und Updates werden bereitgestellt, wenn sie verfügbar sind.
• Jeder Microsoft Entra-Mandant ist auf 500 dynamische Gruppen mit dem memberOf Attribut beschränkt. Die memberOf Gruppen zählen zum gesamt dynamischen Gruppenkontingent von 15.000.
• Jede dynamische Gruppe kann bis zu 50 Mitgliedergruppen umfassen.
• Wenn Sie Mitglieder von Sicherheitsgruppen zu memberOf dynamischen Mitgliedschaftsgruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe.
• Sie können eine dynamische memberOf-Gruppe nicht verwenden, um die Mitgliedschaft einer anderen dynamischen memberOf-Gruppe zu definieren. So kann beispielsweise die dynamische Gruppe A, der Mitglieder der Gruppen B und C angehören, nicht Mitglied der dynamischen Gruppe D sein.
• Das memberOf Attribut kann nicht mit anderen Regeln verwendet werden. So schlägt beispielsweise eine Regel fehl, die festlegt, dass die dynamische Gruppe A Mitglieder der Gruppe B enthalten soll und außerdem nur in Redmond befindliche Benutzer enthalten soll.
• Der Regel-Generator/die Funktion zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für memberOf verwendet werden.
• Das memberOf Attribut kann nicht mit anderen Operatoren verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass Mitglieder der Gruppe A nicht Mitglied der dynamischen Gruppe B sein dürfen.
• Benutzer, die in memberOf dynamischen Mitgliedschaftsgruppen enthalten sind, können zu einer langsameren Verarbeitungszeit für Ihren Mandanten führen, wenn der Mandant über eine große Anzahl von Gruppen oder häufige Aktualisierungen dynamischer Mitgliedschaftsgruppen verfügt.
• Die Mitgliedschaft einer dynamischen Gruppe wird nicht automatisch aktualisiert, wenn eine untergeordnete Gruppe gelöscht wird oder wenn Mitglieder aus einer untergeordneten Gruppe entfernt werden. Die betroffenen Benutzer oder Geräte bleiben Mitglieder der dynamischen Gruppe "MemberOf", bis die Regel geändert wird.

Erste Schritte

Dieses Feature ist im Azure-Portal, microsoft Graph und PowerShell verfügbar. Das memberOf Attribut wird jedoch derzeit in der Regel-Generator-Benutzeroberfläche nicht unterstützt. Um im Azure-Portal zu verwenden memberOf , müssen Sie die Regel mithilfe des Regel-Editors (erweiterte Syntax) definieren.

Eine dynamische memberOf-Gruppe erstellen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

2. Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.

3. Wählen Sie Neue Gruppe aus.

4. Geben Sie die Gruppendetails an. Als Gruppentyp können Sie Sicherheit oder Microsoft 365 angeben, und der Mitgliedschaftstyp kann auf Dynamischer Benutzer oder Dynamisches Gerät festgelegt werden.

5. Wählen Sie Dynamische Abfrage hinzufügen aus.

6. MemberOf wird in der Regel-Generator-Benutzeroberfläche noch nicht unterstützt. Wählen Sie Bearbeiten aus, um die Regel in das Feld Regelsyntax zu schreiben.

   1. Beispiel für eine Benutzerregel: user.memberof -any (group.objectId -in ['groupId'])
   2. Beispiel für eine Geräteregel: device.memberof -any (group.objectId -in ['groupId'])

   Hinweis

   Ersetzen Sie durch 'groupId' die Objekt-ID der Quellgruppe , deren Mitglieder Sie in die dynamische Gruppe aufnehmen möchten.

   Die beiden Beispiele sind Alternativen:

   • Verwenden Sie die Benutzerregel beim Erstellen einer dynamischen Benutzergruppe .
   • Verwenden Sie die Geräteregel beim Erstellen einer dynamischen Gerätegruppe .

   Um mehrere Quellgruppen einzuschließen, geben Sie mehrere Gruppenobjekt-IDs an. Beispiel:

   user.memberof -any (group.objectId -in ['<groupObjectId1>', '<groupObjectId2>'])
   

7. Klicken Sie auf OK.

8. Wählen Sie Gruppe erstellen aus.