Dynamische Gruppen klingen super!

[UPDATE Jänner 2023]
Mittlerweile gibt es die Funktion „Member of Group“ die ich unten so vermisse. Alle Updates dazu hier:
eine Neuerung bei Dynamischen Gruppen, die an mir vorbei gegangen ist – Cloud und mehr (derdecker.at)
[Update Jänner 2023]

aber wie vieles im Leben, lösen sie nicht alle Probleme….

Aber im Detail:

Als Teil von Azure Ad Premium P1 lösen dynamische Office 365 Gruppen ein paar grundlegende Admin-Aufgaben im Bereich Teams und Co.

Die Idee an einer dynamischen Gruppe ist, das die Mitglieder aufgrund ihrer Eigenschaften im Azrue AD verwaltet werden  und nicht manuell.

Besonders spannend, wenn ich Abteilungs-Teams machen möchte oder Standort-Teams – weil ich – bei einem gut gepflegten AD – immer aktuelle Mitglieder in meiner Group habe.

Als Architekt habe ich mir das natürlich angesehen, ausprobiert und für gut empfunden.

Den großen Unterschied zwischen einem Architekten und einem Maurer erkennt man spätestens beim Hausbauen, wenn die geplanten Dinge dann in der Praxis eingesetzt werden und sich zeigt, das das Ding zwar GRUNDSÄTZLICH das tut, was es tun sollte, IM DETAIL dann aber doch nicht ganz so funktioniert, wie gedacht.

Was funktioniert in einer Dynamischen Gruppe ?

Die Dokumentation ist (wie meistens bei Office 365) ausführlich und gut:
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-dynamic-membership

Ich kann hier sehr umfangreiche Querys bauen, und Eigenschaften des Benutzers gut verknüpfen. Und so zB eine Gruppe bauen, die alle Benutzer aus der Abteilung Marketing beinhaltet:

(user.department -eq „Marketing“)

Und das sogar fein erweitern und sagen, ich möchte nur User aus Marketing aus Wien

(user.department -eq „Marketing“) and (user.City -eq „Wien“)

Und kann nicht nur -eq (also = ) nutzen, sondern auch so Dinge wie „Starts with“, „Contains“, „in“ usw.)

So weit, so cool…

Was funktioniert NICHT bei einer Dynamischen Gruppe ?

Wie so oft liegt der Teufel im Detail…

Ich kann für die Abfragen so ziemlich alle Properties des Benutzers im Azure AD nutzen.

City, Country, Department, …

Auch die 15 ExtensionAttributes stehen zur Verfügung, sowie die Möglichkeit, Schema-Erweiterungen von Apps zu nutzen.

Viele Kunden nutzen allerdings bestehende AD Gruppen zur „Organisation“ von Berechtigungen und würden diese gerne als Basis für Teams verwenden.

Leider kann ich (derzeit) „Member of Group“ nicht als Abfrage einer dynamischen Gruppe nutzen

(siehe auch https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/18772342-dynamic-groups-member-of-group )

Eine „Spezial-Rules“ gibt es noch:

Direct Reports for „User-ID“

Hier kann ich eine Gruppe erstellen aller Personen, die einem bestimmten Manager reporten. Achtung: Diese Rule kann mit keiner anderen Rule kombiniert werden !

Weitere Eigentümer hinzufügen

Ein Punkt, der mir heute aufgefallen ist, war die Frage, wie ein Eigentümer einer dynamischen Gruppe weitere Eigentümer hinzufügen kann.

Über die normale „Team verwalten“ Funktion geht es nicht

Aber mit einem „Trick“ geht es. Vielleicht nicht unbedingt für den „Normaluser“ aber es benötigt KEINE erhöhte Berechtigungen.

Schritt 1: Öffnen des AZURE Portals unter https://portal.azure.com

Schritt 2: „Azure Active Directory“ auswählen und „Groups“

Schritt 3: Gruppe suchen und anklicken

Schritt 4: Owner hinzufügen

Funktioniert nur, wenn du OWNER des Teams bist

War – ehrlich gesagt – eine kleine Überraschung, das das Azure Portal hier die Berechtigungen erkennt. Hätte ich mir nicht erwartet. Aber funktionell ist es natürlich völlig richtig, weil ich als Owner mein Team administrieren kann.

3 Replies to “Dynamische Gruppen klingen super!”

  1. Ich denke es wird auch langsam Zeit für dynamische Gruppen in Azure. Allein der Aufpreis..
    In der AD OnPremise- / Hybrid-Welt lässt sich das übrigens bereits seit Jahren mit 3rd Party lösen: DynamicGroup (www.dynamicgroup.net)

    Vg Matthias

  2. Hallo und zwar wollte ich geräte einer Gruppe in einer Dynamische Gruppe hinzufügen mit dem Syntax device.memberof -any (group.objectId -in [‚groupId‘, ‚groupId‘])

    Allerdings kommt immer die Fehler meldung von wegen “ Regelüberprüfung für dynamische Mitgliedschaften: Ungültige GUID. The following are not valid GUIDs: `meinGruppenName`.

    habe es auch mit der ID der Gruppe versucht wo das gerät mitglied ist..

    Benötige euere hilfe wenn es welche gibt

    1. Mein Fehler – gerade ausgebessert: es ist (group.objectId -in [´571d8097-695e-43be-840e-70ca031b8255‘])

      Da hat er mir beim Schreiben den ersten ´ nach unten gesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert