Microsoft Entra ID 中的动态组成员管理

由于增加用户之间协作的可行性，管理员更喜欢 Microsoft 365 组或安全组。为了进一步增强协作策略，Microsoft Entra ID（以前称为 Azure AD）中的动态组会根据特定规则自动分配用户。这些动态 Microsoft 365 群组根据成员属性指定动态群组成员身份（而不是向其中添加用户），从而减少管理员的工作量。

让我们探讨 Microsoft Entra 中动态组成员资格及其规则的意义、必要性、创建等。

什么是 Microsoft Dynamic Group？

动态组是 Microsoft 365 组或 Entra ID 中的安全组中的一项专门功能，它利用规则而不是直接用户分配。管理员定义的规则或条件为 Microsoft Entra 动态组分配组成员身份。系统会自动评估用户属性，例如部门、位置、职位或其他自定义属性，以确定谁应该成为群组成员。

动态通讯组列表和动态组成员身份之间的区别

我们中的一些人可能认为动态成员资格与 Exchange Online 中的动态通讯组成员相同。然而，事实并非如此。虽然动态通讯组仅促进电子邮件协作，但动态成员身份可实现跨所有 Microsoft 365 服务的用户协作。

例如，管理员可以为动态组成员创建特定的 MS Teams，而这对于动态通讯组列表是不可能的。

Microsoft 365 中动态组的许可证要求

确保您的租户拥有 Microsoft Entra P1 或 P2 许可证才能配置动态组。如果您的组织需要在所有动态组中拥有总共 1,000 个用户，则您将需要至少 1,000 个 Entra ID P1 许可证。但无需将这些许可证分配给用户即可使他们成为动态组的成员。

Microsoft Entra 中的动态组成员管理

查找以下有助于管理 Microsoft Entra 中的动态组成员身份的主要操作集：

• 在 Entra 中创建动态群组成员资格规则
• 验证动态群组成员资格规则
• 检查动态规则处理状态
• 动态群组成员身份修改
• 禁用动态群组的欢迎电子邮件
• 删除动态成员资格群组

在开始此过程之前，请使用您的全局管理员帐户或至少是用户管理员帐户登录 Microsoft Entra 管理中心。

在 Entra 中创建动态组成员资格规则

要在 Entra 中创建 Microsoft 365 动态组，请按照下述步骤操作。

1. 在 Microsoft Entra 管理中心中，导航到身份→组→所有组。
2. 选择“新建组”按钮。
3. 根据组的要求选择“组类型”Microsoft 365 或安全性。
4. 在“群组名称”文本框中输入群组名称。
5. 如果需要，请在“群组说明”文本框中提供群组说明。

6. 根据需要选择'会员类型'为'动态用户'或'动态设备'小组成员。

   • 动态用户 - 如果您想根据用户的关联属性动态过滤用户，请选择此选项。使用此选项，您可以根据用户属性（例如部门、使用位置、会员类型、城市等）分配组用户。

• 动态设备 - 如果您想根据用户所使用的设备的特性或属性动态过滤用户，请选择此选项。使用此选项，您可以根据设备操作系统类型、设备型号、设备 ID 等属性分配组用户
  注意：动态设备选项仅适用于 Entra ID 安全组。

• 已分配 - 如果选择此选项，将相应创建普通的 M365 组或安全组。

  

• Microsoft 最近发布了预览功能，用于创建动态群组和管理单位，并通过使用合并其他群组的成员来填充这些群组和管理单位。 memberOf' 属性。截至目前，规则生成器尚不支持 memberOf。您必须按照如下所述在规则编辑器中输入规则。
  用户规则： user.memberof -any (group.objectId -in [ ])
  设备规则：device.memberof -any (group.objectId -in [])
  

验证动态组成员资格规则（预览版）

虽然动态成员资格规则可以帮助将用户添加到动态组，但仔细检查其准确性以确保用户满足所需标准至关重要。为了克服这种情况，Microsoft 推出了一项名为“验证规则”的新预览功能，该功能允许管理员确认规则是否按预期运行。

以下是在 Microsoft Entra 管理中心使用此功能的步骤：

1. 配置某些规则后，切换到“动态成员资格规则”页面上的“验证规则（预览）”选项卡选项。

2. 单击“添加用户”按钮，选择用户，然后单击“选择”按钮。

   

3. 最后，单击“验证”按钮。

   

将显示用户的状态（即他们是否存在于组中）。您还可以使用“查看详细信息”选项查看任何验证失败的原因。

检查动态规则处理状态

要检查您使用查询创建的动态成员资格规则的状态，只需按照以下步骤操作即可。

1. 导航到 Microsoft Entra 管理中心主页中的身份→组→所有组页面。
2. 选择通过动态成员身份配置的组。
3. 在相应组的“概述”页面中，“动态规则处理状态”提供已配置规则的状态。动态规则处理状态可能会显示以下消息：

规则处理尚未开始。

正在评估收到的规则更新。

正在处理组成员资格规则更新。

有关规则的所有流程均已完成。

由于评估隶属规则时出现错误而导致处理不完整。

由于管理员启用了“暂停处理”开关，更新正在暂停。

注意：要了解错误并进行进一步调查，您可以使用“审核日志”选项。

除此之外，您还可以使用“上次成员资格更改”状态来检查动态组中最近发生的成员资格更改。

上次会员更新时间。

目前正在做出改变。

无法确定最后更新时间，可能是因为该群组是新的，尚未有任何更新。

注意：如果处理过程中发生错误，您将在群组概览页面顶部看到以下警告消息：特定组的成员资格规则。

“由于系统延迟，动态组成员资格尚未更新。我们正在努力解决这个问题。 ”

此外，如果超过 24 小时无法处理所有群组的待处理成员资格更新，则警报将显示在“所有群组”页面的顶部。

动态群组成员资格修改

要更新动态组成员身份，只需跳到 Microsoft Entra 管理中心中下面介绍的步骤即可。

1. 选择通过动态成员身份配置的组。
2. 之后，选择 “动态成员资格规则”选项卡并根据您的新要求重新配置规则。
3. 完成后，单击“保存”按钮。

禁用动态组的欢迎电子邮件

就像禁用普通 Microsoft 365 组的新用户的欢迎电子邮件一样，您可以禁用动态 Microsoft 365 组用户的欢迎邮件。要禁用此类电子邮件，请首先连接 Exchange Online PowerShell 模块。

之后，使用相应动态成员资格组的 UPN 执行以下 cmdlet。

Set-UnifiedGroup -Identity <DynamicGroupUPN> -UnifiedGroupWelcomeMessageEnable:$false

注意：此配置不适用于在安全组内创建的动态组，因为安全组没有任何特定的 UPN。

删除动态成员资格组

我们知道，动态成员资格组是安全/Microsoft 365 组的一种，删除它的过程也类似。要删除动态组，请执行以下步骤：

1. 从 Entra ID 中所有可用组的列表中选择组。
2. 单击“删除”按钮。
3. 选择“是”进行确认。

Microsoft 动态组的限制

具有动态用户成员资格类型的 Microsoft 365 群组的一些重要限制包括：

1. Microsoft 365 组织可以拥有最多 5,000 个动态组和动态管理单元的组合。
2. 组的设备成员资格规则只能引用设备属性，无法根据与设备所有者相关的用户属性创建。
3. 使用“memberOf”属性规则，Microsoft Entra 租户可以拥有最多 500 个动态组。
4. Microsoft 365 动态组可以分配 50 个成员组。
5. “memberOf”属性不能用于定义另一个“memberOf”动态组的成员资格。
6. Microsoft Entra ID 目前不支持通过动态组成员身份间接向用户授予任何角色。

总之，Microsoft Entra 中的动态组成员资格是一项强大的功能，可实现用户管理自动化、确保实时更新和简化管理任务。通过利用 Entra ID，组织可以在其数字工作空间中有效管理动态组。

请继续关注有关优化 Microsoft 365 体验的更多见解和教程！