Was sind dynamische memberOf Gruppen?

Dynamische memberOf Gruppen sind spezielle Gruppen in Microsoft Entra ID, deren Mitgliedschaft automatisch durch die Mitgliedschaft in anderen Gruppen bestimmt wird. Dies bedeutet, dass Benutzer, die Mitglieder einer bestimmten Gruppe sind, automatisch Mitglieder der dynamischen Gruppe werden, die das memberOf Attribut verwendet.

Vorteile der Verwendung von dynamischen memberOf Gruppen

  1. Automatisierung: Reduziert den manuellen Aufwand für die Verwaltung von Gruppenmitgliedschaften.
  2. Konsistenz: Stellt sicher, dass die Mitgliedschaften immer aktuell sind, basierend auf den zugrunde liegenden Gruppen.
  3. Flexibilität: Ermöglicht die Erstellung komplexer Gruppenstrukturen, die sich automatisch an Änderungen anpassen.

Einrichtung von dynamischen memberOf Gruppen

Um eine dynamische memberOf Gruppe in Microsoft Entra ID zu erstellen, folge diesen Schritten:

  1. Anmeldung: Melde dich im Microsoft Entra Admin Center als mindestens Benutzeradministrator an.

  2. Navigieren: Gehe zu Identität > Gruppen > Alle Gruppen.

  3. Neue Gruppe erstellen: Wähle Neue Gruppe und fülle die Details der Gruppe aus.

  4. Mitgliedschaftstyp: Wähle den Typ “Dynamischer Benutzer” oder “Dynamisches Gerät” aus

  5. Dynamische Abfrage hinzufügen: Wähle Dynamische Abfrage hinzufügen und konfiguriere die Regel mit dem memberOf Attribut. Der Regel-Generator kann für memberOf nicht verwendet werden.

    Beispiel für eine Benutzerregel:

    user.memberof -any (group.objectId -in ['groupId', 'groupId'])

    Beispiel für eine Geräteregel

    device.memberof -any (group.objectId -in ['groupId', 'groupId'])

  6. Erstellen: Klicke auf OK und dann auf Gruppe erstellen

    .

Einschränkungen und Überlegungen

  • Lizenzanforderungen: Für die Nutzung dieser Funktion ist eine Microsoft Entra ID P1 oder P2 Lizenz erforderlich.

  • Begrenzungen: Ein Microsoft Entra Mandant kann maximal 500 dynamische Mitgliedschaftsgruppen mit dem memberOf Attribut haben. Jede dynamische Gruppe kann dabei bis zu 50 Mitgliedergruppen umfassen.

  • Keine Rekursion: Wenn Sie Mitglieder von Sicherheitsgruppen zu memberOf dynamischen Mitgliedschaftsgruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe. Zudem können keine dynamische Gruppen nicht als Basis verwendet werden.

  • Performance: Bei einer großen Anzahl von Gruppen oder häufigen Updates kann die Verarbeitung langsamer sein

  • Regelgenerator: Der Regel-Generator zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für memberOf verwendet werden.

  • Operatoren: Das memberOf Attribut kann nicht mit anderen Operatoren als in verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass nur Mitglieder einer Gruppe A aufgenommen werden, die nicht in Gruppe B mitglied sind.

     

Fazit

Dynamische memberOf Gruppen in Microsoft Entra ID bieten eine effiziente Möglichkeit, Gruppenmitgliedschaften automatisch zu verwalten und zu aktualisieren. Durch die Nutzung dieser Funktion können Administratoren sicherstellen, dass ihre Verzeichnisstruktur stets aktuell und konsistent bleibt, was zu einer verbesserten Verwaltung und Sicherheit beiträgt.