通过

在 Microsoft Entra ID 中创建或更新动态成员资格组

可以使用规则根据Microsoft Entra ID 中的用户或设备属性来确定动态成员身份组。 本文介绍如何在 Azure 门户中为动态成员身份组设置规则。

安全组和 Microsoft 365 组支持基于用户或设备属性的组成员资格。 应用动态成员资格组规则时,会评估用户和设备属性是否与成员资格规则匹配。 当用户或设备的属性发生更改时,组织中所有动态成员资格组规则都会进行更改处理。 如果用户和设备符合动态成员资格组的条件,则会添加或删除它们。 在 Microsoft Entra ID 中,单个租户最多可以有 15,000 个动态成员身份组。

注意

安全组可以包括设备或用户,但Microsoft 365 个组只能包含用户。

使用动态成员身份组需要Microsoft Entra ID P1 许可证或 Intune for Education 许可证。 有关详细信息,请参阅 Microsoft Entra ID 中动态成员身份组的管理规则

Azure 门户中的规则生成器

Microsoft Entra ID 提供了一个规则生成器,用于更快地创建和更新重要规则。 规则生成器支持最多包含五个表达式的构造。

显示规则生成器的屏幕截图,其中突出显示了用于添加表达式的操作。

通过规则生成器,可以使用一些简单的表达式更轻松地形成规则。 但是,它不能用于重现每个规则。 如果规则生成器不支持要创建的规则,则可以使用文本框。

下面是建议使用文本框的高级规则或语法的一些示例:

注意

规则生成器可能无法显示在文本框中构造的某些规则。 当规则生成器无法显示规则时,你可能会看到一条消息。 规则生成器不会以任何方式更改动态成员资格组规则的支持的语法、验证或处理。

有关成员身份规则的语法和支持的属性、运算符和值的示例,请参阅 Microsoft Entra ID 中动态成员身份组的管理规则

为动态会员组创建规则

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择 Microsoft Entra ID>群组

  3. 选择 “所有组”,然后选择“ 新建”组

    显示用于添加新组的选择的屏幕截图。

  4. “组 ”窗格中,输入新组的名称和说明。 为用户或设备选择 成员身份类型 值,然后选择“ 添加动态查询”。

  5. 在规则生成器中,最多添加五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    显示用于配置规则的窗格的屏幕截图,其中突出显示了用于添加表达式的按钮。

  6. 若要查看可用于成员身份查询的自定义扩展属性,

    1. 选择“ 获取自定义扩展属性”。
    2. 输入应用程序 ID,然后选择“刷新属性”

  7. 创建完规则后,选择“ 保存”。

  8. 在“ 新建组 ”页上,选择“ 创建 ”以创建组。

如果输入的规则无效,门户将显示无法处理规则的原因的说明。 请仔细阅读,了解如何修复规则。

更新现有规则

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择“组”>“所有组”

  4. 选择组以打开其配置文件。

  5. 在组的配置文件页上,选择“动态成员身份规则”。 规则生成器支持最多五个表达式。 若要添加五个以上的表达式,必须使用文本框。

    动态成员组规则构建器的屏幕截图。

  6. 若要查看适用于您的会员规则的自定义扩展属性,请执行以下操作。

    1. 选择“ 获取自定义扩展属性”。
    2. 输入应用程序 ID,然后选择“刷新属性”

  7. 完成规则更新后,选择“ 保存”。

打开或关闭欢迎电子邮件

当管理员创建新的Microsoft 365 组时,添加到该组的用户会收到欢迎电子邮件通知。 稍后,如果用户或设备的任何属性(仅适用于安全组)发生更改,则处理组织中动态成员身份组的所有规则以进行更改。 添加的用户也会收到欢迎通知。

可以在 Exchange PowerShell 中打开或关闭此行为。

检查规则的处理状态

可以在动态成员身份组的概述页上查看规则处理状态和上次成员身份更改的日期。

显示动态成员身份组状态的屏幕截图。

对于 动态规则处理状态,可以显示以下状态消息:

  • 正在评估:已接收到组更改,正在对更新进行评估。
  • 正在处理:正在进行更新。
  • 更新完成:处理已完成,并进行了所有适用的更新。
  • 处理错误:由于评估成员资格规则时出错,处理无法完成。
  • 更新已暂停:管理员暂停规则以更新动态成员身份组。 将 MembershipRuleProcessingState 设置为 Paused
  • 未启动:处理尚未启动。

注意

此页面现在具有 “暂停处理 ”选项。 以前,此选项只能通过修改 membershipRuleProcessingState 属性来使用。 至少具有 组管理员 角色的人员可以管理此设置,并且可以暂停和恢复动态成员身份组的处理。 没有正确角色的组所有者无法获得编辑此设置所需的权限。

对于 上次成员身份更改,将显示以下状态消息:

  • < >日期和时间:此日期和时间上次更新成员身份。
  • 正在进行:目前正在进行更新。
  • 未知:无法检索上次更新时间。 该组可能是新的。

重要说明

暂停并取消暂停动态成员身份组的处理后, “上次成员身份更改 日期”将显示占位符值。 处理完成后,将更新此值。

如果在处理特定组的成员身份规则期间发生错误,则该组的概述页顶部会显示一条警报。 如果组织内所有组的动态成员身份组挂起更新超过 24 小时未能处理,则会在 “所有组”上方显示警报。

显示动态组成员身份因系统延迟而未更新的警报的屏幕截图。

相关内容