Dieser Artikel zeigt euch einen Ansatz, wie Microsoft 365 Gruppenmitglieder auch gepflegt werden können. Bis vor kurzem war es nur möglich, Gruppenmitglieder direkt zuzuweisen. Das ist zwar sehr intuitiv, aber für bestimmte Anwendungsfälle eher unpraktisch. Was ist mit dem Fall, wenn man bereits bestehende Sicherheitsgruppen gepflegt hat und diese als Grundlage für Microsoft 365 Gruppen bzw. Teams Mitglieder nutzen möchte? Dann musste man die Gruppenmitglieder trotzdem manuell pflegen, weil als Mitglieder keine Gruppen direkt eingetragen werden können.
Deshalb möchte ich euch in diesem Artikel zeigen, wie man die Gruppenmitgliedschaft auf Basis einer bestehenden Sicherheitsgruppe trotzdem recht einfach pflegen kann, ohne die Mitglieder manuell einzeln einzutragen.
Als Ausgangslage nutzen wir die Sicherheitsgruppe sg-Sales and Marketing.
Die Sicherheitsgruppe hat 8 direkte Mitglieder, die automatisch als Mitglieder einer Microsoft 365 Gruppe genutzt werden sollen.
Nun legen wir eine neue Microsoft 365 Gruppe an. Das beschriebene Vorgehen funktioniert nur über das Azure AD, nicht über das Microsoft 365 Admin Center.
Als Gruppentyp wählen wir also Microsoft 365 aus und als Mitgliedschaftstyp Dynamischer Benutzer.
Als letzter Schritt muss nun die dynamische Abfrage hinzugefügt werden. Momentan funktioniert nur die direkte Eingabe der Abfrage, nicht über den Builder.
Die Abfrage der Gruppenmitgliedschaft sieht dann so aus. Nachdem wir den -in Vergleichsoperator nutzen, kann auch auf mehrere Gruppenmitgliedschaften geprüft werden. Dazu muss einfach eine weitere Gruppen-ID hinzugefügt werden. Die Gruppen-ID kann man unter anderem von der Übersicht der Gruppe ablesen (siehe ersten Screenshot, dort als Objekt-ID bezeichnet).
Zum einfacheren Kopieren ist auch hier noch einmal die Abfrage aufgeführt:
user.memberof -any (group.objectId -in ['4d3f80a5-4d6a-49e1-9ad8-804fa01720f2'],'<weitere Gruppen ID>')
Jetzt können wir die Microsoft 365 Gruppe erstellen lassen. Direkt nach der Erstellung sind allerdings noch keine Mitglieder in der Gruppe vorhanden. Das ist allerdings normal, weil die dynamische Abfrage erst von Microsoft 365 verarbeitet werden muss. Das erkennt man daran, dass auf der Übersichtsseite der Gruppe die Eigenschaften Dynamischer Regelverarbeitungsstatus und Letzte Mitgliedschaftsänderung einen plausiblen Wert eingetragen haben.
Nachdem die Regelverarbeitung abgeschlossen ist, werden nun auch die Mitglieder aus der Sicherheitsgruppe in der Microsoft 365 Gruppe aufgeführt.
Damit ihr seht, dass die Gruppenmitgliedschaften jetzt wirklich dynamisch über die Sicherheitsgruppe gesteuert werden, fügen wir der Sicherheitsgruppe einen weiteren Benutzer (Allan Deyoung) hinzu.
Nach kurzer Zeit (in der die Regelverarbeitung durchgeführt wird) erscheint der neue Benutzer auch als Mitglied in der Microsoft 365 Gruppe.
Natürlich kann die Dynamische Mitgliedschaftsregel im Nachhinein angepasst werden.
Mit diesem gezeigten Ansatz können also auch Microsoft 365 Gruppenmitglieder auf Basis von bestehenden Sicherheitsgruppen verwaltet werden.
Es gibt natürlich ein paar Dinge dabei zu berücksichtigen, wie z.B. dass keine verschachtelten Sicherheitsgruppen funktionieren oder dadurch die bekannte Verwaltung (Hinzufügen/Entfernen) von Benutzern nicht mehr funktioniert.
Ansonsten finde ich den Ansatz sehr spannend, wenn man nicht auf der grünen Wiese anfängt, sondern bestehende Gruppen weiterverwenden kann.
[…] The post is also available in german language […]
[…] The post is also available in german language […]