在 Microsoft Entra B2B 协作中创建动态组

  • 项目

什么是动态组?

动态组是对 Microsoft Entra 的安全组成员资格的动态配置,可在 Microsoft Entra 管理中心使用该功能。 管理员可以设置规则,填充在 Microsoft Entra ID 中基于用户特性(如 userType、部门或国家/地区)创建的组。 可基于成员属性自动在安全组中添加或删除成员。 这些组可以为成员提供对应用程序或云资源(SharePoint 站点、文档)的访问权限并分配许可证。 详细了解Microsoft Entra ID 中的专用组

先决条件

要创建和使用动态组,需要 Microsoft Entra ID P1 或 P2 许可。 若要了解详细信息,请参阅在 Microsoft Entra ID 中为动态组成员资格创建基于属性的规则

创建“所有用户”动态组

提示

本文中的步骤可能因开始使用的门户而略有不同。

可使用成员资格规则创建包含租户中所有用户的组。 以后向租户添加用户或从中删除用户时,将自动调整该组的成员资格。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“组”>“所有组”,然后选择“新建组”。

  3. 在“新建组” 页的“组类型” 下选择“安全性” 。 为新组输入“组名称” 和“组说明” 。

  4. 在“成员身份类型” 下,选择“动态用户” ,然后选择“添加动态查询” 。

  5. 在“规则语法” 文本框上方,选择“编辑” 。 在“编辑规则语法” 页上的文本框中键入以下表达式:

    user.objectId -ne null

  6. 选择“确定” 。 规则会出现在“规则语法”框中:

    Screenshot of rule syntax for all users dynamic group.

  7. 选择“保存”。 新的动态组现在将包含 B2B 来宾用户和成员用户。

  8. 在“新建组”页中,选择“创建”以创建该组。

仅创建成员组

如果希望组排除来宾用户,只包含租户的成员,请按照上述要求创建动态组,但在“规则语法” 框中,请输入以下表达式:

(user.objectId -ne null) and (user.userType -eq "Member")

下图显示了已修改为仅包括成员并排除来宾的动态组的规则语法。

Screenshot of rule syntax where user type equals member.

仅创建来宾组

你可能还会发现新建仅包含来宾用户的动态组很有用,这让你能够向来宾用户应用策略(例如 Microsoft Entra 条件访问策略)。 根据上述要求创建动态组,但在“规则语法” 框中,请输入以下表达式:

(user.objectId -ne null) and (user.userType -eq "Guest")

下图显示了已修改为仅包括来宾并排除成员用户的动态组的规则语法。

Screenshot of rule syntax where user type equals guest.

后续步骤