在 Microsoft Entra 外部 ID 中创建和管理 B2B 协作的动态成员资格组

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 符号的白色圆圈。 外部租户(了解详细信息

什么是动态成员资格组?

动态成员资格组是对 Microsoft Entra 基于安全的配置,可从 Microsoft Entra 管理中心获取。 管理员可以设置规则,以填充 Microsoft Entra ID 中基于用户属性(如 userType、部门或国家/地区)创建的动态成员资格组。 可基于成员属性自动在安全组中添加或删除成员。 这些组可以为成员提供对应用程序或云资源(SharePoint 站点、文档)的访问权限并分配许可证。 详细了解Microsoft Entra ID 中的专用组

先决条件

创建和使用动态成员资格组需要 Microsoft Entra ID P1 或 P2 许可。 要了解详细信息,请参阅在 Microsoft Entra ID 中为动态成员资格组创建基于属性的规则

创建“所有用户”动态组

提示

本文中的步骤可能因开始使用的门户而略有不同。

可使用成员资格规则创建包含租户中所有用户的组。 以后向租户添加用户或从中删除用户时,将自动调整该组的成员资格。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“组”>“所有组”,然后选择“新建组”。

  3. 在“新建组” 页的“组类型” 下选择“安全性” 。 为新组输入“组名称” 和“组说明” 。

  4. 在“成员身份类型” 下,选择“动态用户” ,然后选择“添加动态查询” 。

  5. 在“规则语法” 文本框上方,选择“编辑” 。 在“编辑规则语法” 页上的文本框中键入以下表达式:

    user.objectId -ne null
    
  6. 选择“确定”。 规则会出现在“规则语法”框中:

    所有用户动态组的规则语法屏幕截图。

  7. 选择“保存”。 新的动态组现在将包含 B2B 来宾用户和成员用户。

  8. 在“新建组”页中,选择“创建”以创建该组。

仅创建成员组

如果希望组排除来宾用户,只包含租户的成员,请按照上述要求创建动态组,但在“规则语法” 框中,请输入以下表达式:

(user.objectId -ne null) and (user.userType -eq "Member")

下图显示了已修改为仅包括成员并排除来宾的动态组的规则语法。

展示用户类型为成员的规则语法的屏幕截图。

仅创建来宾组

你可能还会发现新建仅包含来宾用户的动态组很有用,这让你能够向来宾用户应用策略(例如 Microsoft Entra 条件访问策略)。 根据上述要求创建动态组,但在“规则语法” 框中,请输入以下表达式:

(user.objectId -ne null) and (user.userType -eq "Guest")

下图显示了已修改为仅包括来宾并排除成员用户的动态组的规则语法。

用户类型等于来宾的规则语法的屏幕截图。

后续步骤