Im August 2019 – also vor gut 2,5 Jahren, habe ich einen Artikel hier über dynamische Gruppen geschrieben https://www.derdecker.at/2019/08/22/dynamische-gruppen-klingen-super/
Ein Kritikpunkt damals war, dass Du zwar alle AD Properties des Benutzers für die Rules verwenden kannst, aber NICHT die Mitgliedschaften von AD Gruppen. Was für mich ein Nachteil war, weil viele Kunden organisatorische Zugehörigkeiten in AD Gruppen steuern.
Heute habe ich mit einem Kunden darüber gesprochen und ihm den Link geschickt – und dabei (wieder mal) einen Blick in die Microsoft Doku geworfen, Und siehe da, da finde ich:
Muss ich natürlich gleich ausprobieren:
eine Security-Gruppe “Firmenwagen-Besitzer” angelegt und Adele und Alex hinzugefügt.
Dann ein Team angelegt – ganz normal im Teams
Allerdings dort KEINE Member hinzugefügt.
Theoretisch würde ich als Team-Owner jetzt dieses Team herrichten, Ordner, Kanäle, Berechtigungen einrichten und einen netten Willkommenspost schreiben.
Im AzureAD habe ich jetzt 2 Gruppen mit dem selben Namen:
In den Eigenschaften der M365 Gruppe ändere ich nun den Membership-Type von ASSIGNED auf DYNAMIC Users
Und füge eine dynamische Query hinzu:
Die Property “member of” findet sich in der GUI nicht, daher erstelle ich die Rule manuell
Dort trage ich folgendes ein:
user.memberof -any (group.objectId -in ['571d8097-695e-43be-840e-70ca031b8255'])ACHTUNG
Dieses Feature ist in Preview! Und hat folgende Limitationen:
- 500 dynamische Gruppen mit “memberOf” Attribut pro Tenant
- jede dynamische Gruppe kann 50 Gruppen als Member Group haben
- Nur direkte Mitglieder der Security Group werden Mitglied
- eine dynamische “memberof” Gruppe kann nicht Basis einer dynamischen “MemberOf” Gruppe sein
- “memberOf” kann nicht mit anderen Regeln kombiniert werden
- “Validate Rules” in der Gui funktioniert nicht
Details finden sich hier:
Group membership for Azure AD dynamic groups with memberOf – Azure AD – Microsoft Entra | Microsoft Learn
