概述
在 Microsoft Entra,作为 Microsoft Entra 组件的 Microsoft Entra ID 中,您可以自动将用户添加到安全组或 Microsoft 365 组,或从中删除用户,这样就无需每次都手动进行这些操作。 每当用户或设备的任何属性发生更改时,Microsoft Entra ID评估Microsoft Entra组织中动态成员身份组的所有规则,以查看更改是否应添加或删除成员。
本教程介绍如何执行下列操作:
- 创建一个由合作伙伴公司自动填充的来宾用户组
- 将许可证分配给特定于合作伙伴的功能组,以便来宾用户可以访问这些功能。
- 额外提示:通过删除来宾用户来确保“所有用户”组的安全,例如,这样可以让成员用户访问内部专用网站。
如果没有Azure订阅,在开始之前创建试用版。
先决条件
此功能需要组织管理员的一个Microsoft Entra ID P1 或 P2 许可证。 如果没有,请在 Microsoft Entra ID 中选择 Licenses>Products>Try/Buy。
无需向用户分配许可证以使其成为动态成员资格组中的成员。 只需组织中可用的最小Microsoft Entra ID P1 许可证数即可涵盖所有此类用户。
创建一组来宾用户
首先,为所有来自同一个合作伙伴公司的来宾用户创建一个组。 他们需要特别许可,因此通常情况下,为此创建一个组会更为有效。
以至少组管理员角色登录到Microsoft Entra 管理中心。
选择 Microsoft Entra ID。
选择“群组”“所有群组”>“新建群组” 。
在“新建组”窗格中:
- 输入组的“来宾用户名称”、“电子邮件地址”和“说明”。
- 将“成员身份类型”更改为“动态用户”。
选择“无选定所有者”,然后在“添加所有者”窗格中滚动以找到所需的所有者。 选择名称,将所有者添加到组。
选择 “选择 ”以保存所有者并关闭 “添加所有者 ”窗格。
在“动态用户成员”框中选择“添加动态查询”。
在“动态成员身份规则”窗格上:
- 在 “属性” 字段中,选择现有值并选择 userType。
- 验证“运算符”字段是否已选择“等于”。
- 选择“值” 字段并输入 Guest。
- 选择“添加表达式”超链接以添加另一行。
- 在“并且/或”字段中,选择“并且”。
- 在“属性” 字段中,选择 companyName。
- 验证“运算符”字段是否已选择“等于”。
- 在“值” 字段中,输入 Contoso。
- 选择 “获取自定义扩展属性 ”以输入应用程序 ID 以检索用于创建规则的所有可用自定义扩展属性。
- 完成后,选择“ 保存 ”以关闭 动态成员身份规则。
若要完成创建组,请在“组”窗格中选择“创建”。
分配许可证
有了新组以后,即可应用这些合作伙伴用户需要的许可证。
在 Microsoft Entra 管理中心中,浏览到 Billing>Licenses>All products,选择一个或多个许可证,然后选择许可组。
搜索要添加的组名称,然后选择“分配”。
可以通过“分配选项”来打开或关闭服务计划,包括已选择的许可证。 进行更改时,请务必选择“ 确定 ”以保存更改。
若要完成分配,请在“分配许可证”窗格上,选择窗格底部的“分配”。
从“所有用户”组中删除来宾
也许你最终的管理计划是将所有来宾用户按公司分配到他们自己的组。 现在,您还可以更改 “所有用户” 组,将其限制为仅包括组织中的用户。 然后,可以用它来分配特定于你所在组织的应用和许可证。
清理资源
完成本教程后,清理所创建的资源。
删除来宾用户组
- 以至少组管理员角色登录到Microsoft Entra 管理中心。
- 导航至“组”>“所有组”。
- 选择“来宾用户”组、省略号 (...),然后选择“删除”。 删除组时,会删除任何已分配的许可证。
还原“所有用户”组
- 选择 Entra ID>Groups>All groups。 选择“所有用户”组的名称,以便打开该组。
- 选择“动态成员身份规则”,清除规则中的所有文本,然后选择“保存”。