在 Microsoft Entra ID 中创建或更新动态成员资格组

在属于 Microsoft Entra 的 Microsoft Entra ID 中,可以使用规则根据用户或设备属性确定动态成员资格组。 本文介绍如何为 Azure 门户中的动态成员资格组设置规则。

安全组和 Microsoft 365 组支持基于用户或设备属性的组成员资格。 应用动态成员资格组规则时,会评估用户和设备属性是否与成员资格规则匹配。 当用户或设备的属性发生更改时,组织中所有动态成员资格组规则都会进行更改处理。 如果用户和设备符合动态成员资格组的条件,则会添加或删除它们。 在 Microsoft Entra 中,单个租户最多可以有 15,000 个动态成员资格组。

注意

安全组可以用于设备或用户,但 Microsoft 365 组只能包含用户。

使用动态成员资格组需要 Microsoft Entra ID P1 许可证或 Intune 教育版许可证。 有关详细信息,请参阅管理 Microsoft Entra ID 中的动态成员资格组规则

Azure 门户中的规则生成器

Microsoft Entra ID 提供了一个规则生成器,用于更快地创建和更新重要规则。 规则生成器支持最多包含五个表达式的构造。 通过规则生成器可以更轻松地使用几个简单表达式来组成规则,但是,它无法用于重现每个规则。 如果规则生成器不支持要创建的规则,则可以使用文本框。

下面是建议使用文本框构造的高级规则或语法的一些示例:

注意

规则生成器可能无法显示在文本框中构造的某些规则。 当规则生成器无法显示规则时,可能会看到一条消息。 规则生成器不会以任何方式更改动态成员资格组规则的支持的语法、验证或处理。

显示动态成员资格组规则页面的屏幕截图,其中选择了“配置规则”选项卡上的“添加表达式”操作。

有关成员资格规则的语法、支持的属性、运算符和值的示例,请参阅管理 Microsoft Entra ID 中的动态成员资格组规则

若要创建动态成员资格组的规则

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”“组”>

  3. 选择“所有组”,然后选择“新组”

    显示如何选择“添加新组”操作的屏幕截图。

  4. 在“组”页面上,输入新组的名称和说明。 为用户或设备选择“成员身份类型”,然后选择“添加动态查询”。 规则生成器支持最多五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    屏幕截图显示了“所有组”页,其中选择了“新建组”操作。

  5. 查看适用于成员身份查询的自定义扩展属性:

    1. 选择“获取自定义扩展属性”
    2. 输入应用程序 ID,然后选择“刷新属性”
  6. 创建规则之后,选择“保存”

  7. 在“新建组”页中,选择“创建”以创建该组。

如果输入的规则无效,则会在门户的通知中显示有关系统为何无法处理规则的说明。 请仔细阅读,了解如何修复规则。

更新现有规则

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择“组”>“所有组” 。

  4. 选择组以打开其配置文件。

  5. 在组的配置文件页上,选择“动态成员身份规则”。 规则生成器支持最多五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    显示如何添加动态成员资格组规则的屏幕截图。

  6. 查看适用于成员身份规则的自定义扩展属性:

    1. 选择“获取自定义扩展属性”
    2. 输入应用程序 ID,然后选择“刷新属性”
  7. 更新规则后,选择“保存”。

打开或关闭欢迎电子邮件

创建新的 Microsoft 365 组时,会向添加到该组的用户发送欢迎电子邮件通知。 以后,如果用户或设备(仅针对安全组)的任何特性发生更改,组织中所有动态成员资格组规则都会进行更改处理。 添加的用户也会收到欢迎通知。 可以在 Exchange PowerShell 中关闭此行为。

检查规则的处理状态

可在动态成员资格组的“概述”页面查看规则处理状态和上次成员资格更改日期。

动态成员资格组状态图的屏幕截图。

“动态规则处理”状态会显示以下几种状态消息:

  • 正在评估:已收到组更改,正在评估更新。
  • 正在处理:正在进行更新。
  • 更新完成:处理已完成,且已完成所有适用更新。
  • 正在处理错误:无法完成处理,因为评估成员身份规则时遇到错误。
  • 更新暂停:管理员暂停了动态成员资格组规则更新。 MembershipRuleProcessingState 设置为“已暂停”。
  • 尚未开始:尚未开始进行处理。

注意

在此屏幕中,现在还可以选择“暂停处理”。 以前,只能通过修改 membershipRuleProcessingState 属性来使用此选项。 至少分配了组管理员角色的用户可以管理此设置,并可以暂停和恢复动态成员资格组处理。 没有正确角色的组所有者没有编辑此设置所需的权限。

“上次成员资格更改”状态会显示以下几种状态消息:

  • <日期和时间>:上次更新成员资格的时间。
  • 正在进行:目前正在进行更新。
  • 未知:无法检索上次更新时间。 该组可能是新的。

重要

暂停和取消暂停动态成员资格组处理后,“最后的成员资格更改”日期将会显示占位符值。 处理完成后会更新此值。

如果在处理特定组的成员资格规则时出错误,则该组的“概述”页顶部会显示警报。 如果超过 24 小时仍无法处理组织内所有组的待处理动态成员资格组更新,则会在“所有组”的顶部显示警报。

显示如何处理错误消息警报的屏幕截图。

后续步骤

以下文章提供了有关如何使用 Microsoft Entra ID 中的组的更多信息。