如何创建 Office 365 动态组

---

动态群组是根据定义的规则动态更新其群组成员资格的群组。如果使用得当，动态组可以为您节省大量时间并提高网络安全性。

Office 365 动态组要求您拥有 Azure AD Premium P1 或 P2 订阅。

Active Directory（本地）仅支持动态分发组。通讯组用于邮件传递 - 它们不能用于分配文件访问权限或组策略。

您是否想要在本地和 Office 365 中使用动态组，而无需昂贵的 P1 或 P2 订阅？ 阅读本文！

使用门户创建 Office 365 动态组

Office 365 包括对动态组的支持。与 AD 动态组相反，Office 365 动态组实际上可用于授予对资源的访问权限 - 但仅限于 Office 365 资源，如 Teams、SharePoint 等。由于这些组未同步到本地 AD 域，因此无法使用您的本地 AD 资源（例如共享文件夹和组策略）。

要使用 GUI 在 Office 365 中创建动态组，请转到组并单击“新建组”：

定义新组时，请确保将成员资格类型设置为“动态用户”：

使用 PowerShell 创建 Office 365 动态组

要使用 PowerShell 在 Office 365 中创建动态组，请使用 New-AzureADMSGroup 命令：

New-AzureADMSGroup -DisplayName "Marketing Department" -Description "Marketing department group" -MailEnabled $True -SecurityEnabled $True -MailNickname MarketingDepartment -GroupTypes "DynamicMembership", "Unified" -MembershipRule "(User.department -eq ""Marketing"")" -MembershipRuleProcessingState "On"

该命令将生成类似于以下内容的输出：

Id                            : 14753031-d04c-4712-be0b-48796f0581cb
Description                   : Marketing department group
OnPremisesSyncEnabled         : 
DisplayName                   : Marketing Department
OnPremisesLastSyncDateTime    : 
Mail                          : 
MailEnabled                   : True
MailNickname                  : MarketingDepartment 
OnPremisesSecurityIdentifier  : 
ProxyAddresses                : {} 
SecurityEnabled               : True 
GroupTypes                    : {} 
MembershipRule                : (user.department -eq "Marketing") MembershipRuleProcessingState : Paused

Office 365 动态组规则

定义组成员资格的规则是根据一组有限的用户属性构建的。下表显示了 Office 365 动态组规则中可以使用哪些属性：

Office 365 动态组

TypePropertyExample BoolaccountEnableduser.accountEnabled -eq true BooldirSyncEnableduser.dirSyncEnabled -eq true Stringcity(user.city -eq “value”) Stringcountry(user.country -eq “value”) StringcompanyName(user.companyName -eq “value”) Stringdepartment(user.department -eq “value”) StringdisplayName(user.displayName -eq “value”) StringemployeeId(user.employeeId -eq “value”) StringfacsimileTelephoneNumber(user.facsimileTelephoneNumber -eq “value”) StringgivenName(user.givenName -eq “value”) StringjobTitle(user.jobTitle -eq “value”) Stringmail(user.mail -eq “value”) StringmailNickName(user.mailNickName -eq “value”) Stringmobile(user.mobile -eq “value”) StringobjectId(user.objectId -eq “value”) StringonPremisesSecurityIdentifier(user.onPremisesSecurityIdentifier -eq “value”) StringpasswordPolicies(user.passwordPolicies -eq “DisableStrongPassword”) StringphysicalDeliveryOfficeName(user.physicalDeliveryOfficeName -eq “value”) StringpostalCode(user.postalCode -eq “value”) StringpreferredLanguage(user.preferredLanguage -eq “en-US”) StringsipProxyAddress(user.sipProxyAddress -eq “value”) Stringstate(user.state -eq “value”) StringstreetAddress(user.streetAddress -eq “value”) Stringsurname(user.surname -eq “value”) StringtelephoneNumber(user.telephoneNumber -eq “value”) StringusageLocation(user.usageLocation -eq “US”) StringuserPrincipalName(user.userPrincipalName -eq “alias@domain”) StringuserType(user.userType -eq “Member”) String collectionotherMails(user.otherMails -contains “alias@domain”) String collectionproxyAddresses(user.proxyAddresses -contains “SMTP: alias@domain”)

不幸的是，除了上面列出的属性之外，您的规则不可能基于任何其他属性，但它们应该涵盖最常见的需求。

本地 Active Directory 和 Office 365 中的动态组免费！

正如您在前面的部分中所看到的，有几个与 Office 365 动态组相关的问题：

• 他们需要昂贵的 P1 或 P2 Azure AD 许可证
• 它们不能用于管理本地 AD 中的资源访问
• 可过滤的用户属性集有限

为了帮助管理员克服这些障碍，我们创建了免费工具 DynamicGroups。 DynamicGroups 是一项 Windows 服务，允许您在本地 AD 中创建无限数量的动态组。然后，您可以使用 Azure AD Connect 将这些组同步到 Office 365，从而有效地在 Office 365 中提供动态组。

没有期限！没有功能限制！没有麻烦！DynamicGroups 由 Easy365Manager 赞助 - 管理 Office 365 的简单方法......

使用 DynamicGroups，您可以根据 LDAP 过滤器、目标 OU 或两者的组合来定义组。查看广泛的文档以获取更多信息。