Поделиться через

Настройка динамических групп членства с помощью атрибута memberOf на портале Azure (предварительная версия)

Обзор

Эта предварительная версия функций в идентификаторе Microsoft Entra позволяет администраторам создавать динамические группы членства и административные единицы, заполняемые добавлением членов других групп с помощью атрибута memberOf . Приложения, которые ранее не могли читать групповое членство в Microsoft Entra ID, теперь могут считывать всё членство в этих новых memberOf группах. Эти группы можно использовать не только для приложений, но и для распределения лицензий.

Предупреждение

Это предварительная версия функции, которая не предназначена для использования в рабочей среде. Использование этой функции связано с ограничениями, которые могут повлиять на динамическую обработку групп в клиенте. Ознакомьтесь с разделом "Ограничения предварительного просмотра " перед использованием этой функции.

На следующей схеме показано, как можно создать группу Dynamic-Group-A с членами групп Security-Group-X и Security-Group-Y. Члены групп внутри Security-Group-X и Security-Group-Y не становятся членами Dynamic-Group-A.

Схема, показывающая, как работает атрибут memberOf.

С помощью этой предварительной версии администраторы могут настроить динамические группы членства с memberOf атрибутом в портал Azure, Microsoft Graph и PowerShell. Группы безопасности, группы Microsoft 365 и группы, синхронизированные с локальная служба Active Directory, могут быть добавлены в качестве членов этих динамических групп членства. Они также могут быть добавлены в одну группу. Например, динамическая группа может быть группой безопасности, но вы можете использовать группы Microsoft 365, группы безопасности и группы, которые синхронизируются из локальной среды, чтобы определить ее членство.

Предварительные условия

Чтобы использовать атрибут для создания динамической группы Microsoft Entra, необходимо быть по крайней мере memberOf. У вас должна быть лицензия Microsoft Entra ID P1 или P2 для клиента Microsoft Entra.

Ограничения предварительной версии

  • Эта предварительная версия должна использоваться только в тестовых средах, так как она может повлиять на динамическую обработку групп в клиенте. Эти ограничения устраняются, и обновления будут предоставлены, когда они доступны.
  • Каждый клиент Microsoft Entra ограничен 500 динамическими группами с помощью атрибута memberOf . Группы memberOf учитываются в общей квоте на динамические группы, составляющей 15 000.
  • Каждая динамическая группа может содержать до 50 групп членов.
  • При добавлении членов групп безопасности в memberOf динамические группы членства только прямые члены группы безопасности становятся членами динамической группы.
  • Для определения членства в другой memberOf динамической группе нельзя использовать одну memberOf динамическую группу. Например, Dynamic Group A с членами группы B и C в ней не может быть членом Dynamic Group D.
  • Атрибут memberOf нельзя использовать с другими правилами. Например, правило, согласно которому динамическая группа A должна содержать членов группы B, а также должна содержать только пользователей, находящихся в Редмонде, не будет выполнено.
  • Построитель правил динамической группы и функция проверки не могут использоваться в настоящее время для memberOf.
  • Атрибут memberOf нельзя использовать с другими операторами. Например, нельзя создать правило, которое указывает "Члены группы A не могут находиться в динамической группе B".
  • Пользователи, включенные в memberOf динамические группы членства, могут привести к более медленной обработке для вашего клиента, если клиент имеет большое количество групп или частые обновления динамических групп членства.
  • Членство в динамической группе memberOf не обновляется автоматически при удалении дочерней группы или при удалении участников из дочерней группы. Затронутые пользователи или устройства остаются членами динамической группы memberOf, пока не будет изменено правило.

Начало работы

Эта функция доступна на портале Azure, Microsoft Graph и PowerShell. Однако атрибут memberOf в настоящее время не поддерживается в пользовательском интерфейсе построителя правил. Чтобы использовать memberOf на портале Azure, необходимо определить правило с помощью редактора правил (расширенный синтаксис).

Создать динамическую группу memberOf

  1. Войдите в центр администрирования Microsoft Entra в качестве администратора пользователя, как минимум.

  2. Перейдите к Entra ID>Группы>Все группы.

  3. Выберите "Создать группу".

  4. Укажите сведения о группе. Тип группы может быть Security или Microsoft 365, а для типа членства можно задать динамический пользователь или динамическое устройство.

  5. Выберите "Добавить динамический запрос".

  6. MemberOf еще не поддерживается в пользовательском интерфейсе построителя правил. Выберите "Изменить ", чтобы записать правило в поле синтаксиса правила .

    1. Пример правила пользователя: user.memberof -any (group.objectId -in ['groupId']).
    2. Пример правила устройства: device.memberof -any (group.objectId -in ['groupId']).

    Замечание

    Замените 'groupId'идентификатором объекта исходной группы , члены которой необходимо включить в динамическую группу.

    Два примера являются альтернативными вариантами:

    • Используйте правило пользователя при создании динамической группы пользователей .
    • Используйте правило устройства при создании динамической группы устройств .

    Чтобы включить несколько исходных групп, укажите идентификаторы нескольких объектов группы. Рассмотрим пример.

    user.memberof -any (group.objectId -in ['<groupObjectId1>', '<groupObjectId2>'])

  7. Нажмите кнопку "ОК".

  8. Выберите "Создать группу".

  • Last updated on