Microsoft 365 Gruppenmitglieder pflegen

Dieser Artikel zeigt euch einen Ansatz, wie Microsoft 365 Gruppenmitglieder auch gepflegt werden können. Bis vor kurzem war es nur möglich, Gruppenmitglieder direkt zuzuweisen. Das ist zwar sehr intuitiv, aber für bestimmte Anwendungsfälle eher unpraktisch. Was ist mit dem Fall, wenn man bereits bestehende Sicherheitsgruppen gepflegt hat und diese als Grundlage für Microsoft 365 Gruppen bzw. Teams Mitglieder nutzen möchte? Dann musste man die Gruppenmitglieder trotzdem manuell pflegen, weil als Mitglieder keine Gruppen direkt eingetragen werden können.

Deshalb möchte ich euch in diesem Artikel zeigen, wie man die Gruppenmitgliedschaft auf Basis einer bestehenden Sicherheitsgruppe trotzdem recht einfach pflegen kann, ohne die Mitglieder manuell einzeln einzutragen.

Als Ausgangslage nutzen wir die Sicherheitsgruppe sg-Sales and Marketing.

Microsoft 365 Gruppenmitglieder
Sicherheitsgruppe im Azure AD

Die Sicherheitsgruppe hat 8 direkte Mitglieder, die automatisch als Mitglieder einer Microsoft 365 Gruppe genutzt werden sollen.

Mitglieder der Sicherheitsgruppe

Nun legen wir eine neue Microsoft 365 Gruppe an. Das beschriebene Vorgehen funktioniert nur über das Azure AD, nicht über das Microsoft 365 Admin Center.

Neue Gruppe im Azure AD anlegen

Als Gruppentyp wählen wir also Microsoft 365 aus und als Mitgliedschaftstyp Dynamischer Benutzer.

Microsoft 365 Gruppenmitglieder
Neue Microsoft 365 Gruppe anlegen

Als letzter Schritt muss nun die dynamische Abfrage hinzugefügt werden. Momentan funktioniert nur die direkte Eingabe der Abfrage, nicht über den Builder.

Microsoft 365 Gruppenmitglieder
Dynamische Abfrage erstellen

Die Abfrage der Gruppenmitgliedschaft sieht dann so aus. Nachdem wir den -in Vergleichsoperator nutzen, kann auch auf mehrere Gruppenmitgliedschaften geprüft werden. Dazu muss einfach eine weitere Gruppen-ID hinzugefügt werden. Die Gruppen-ID kann man unter anderem von der Übersicht der Gruppe ablesen (siehe ersten Screenshot, dort als Objekt-ID bezeichnet).

Microsoft 365 Gruppenmitglieder
Regelsyntax für Gruppenzugehörigkeit definieren

Zum einfacheren Kopieren ist auch hier noch einmal die Abfrage aufgeführt:

user.memberof -any (group.objectId -in ['4d3f80a5-4d6a-49e1-9ad8-804fa01720f2'],'<weitere Gruppen ID>')

Jetzt können wir die Microsoft 365 Gruppe erstellen lassen. Direkt nach der Erstellung sind allerdings noch keine Mitglieder in der Gruppe vorhanden. Das ist allerdings normal, weil die dynamische Abfrage erst von Microsoft 365 verarbeitet werden muss. Das erkennt man daran, dass auf der Übersichtsseite der Gruppe die Eigenschaften Dynamischer Regelverarbeitungsstatus und Letzte Mitgliedschaftsänderung einen plausiblen Wert eingetragen haben.

Microsoft 365 Gruppenmitglieder
Übersicht der Microsoft 365 Gruppe

Nachdem die Regelverarbeitung abgeschlossen ist, werden nun auch die Mitglieder aus der Sicherheitsgruppe in der Microsoft 365 Gruppe aufgeführt.

Microsoft 365 Gruppenmitglieder
Mitglieder der Microsoft 365 Gruppe

Damit ihr seht, dass die Gruppenmitgliedschaften jetzt wirklich dynamisch über die Sicherheitsgruppe gesteuert werden, fügen wir der Sicherheitsgruppe einen weiteren Benutzer (Allan Deyoung) hinzu.

Neues Mitglied in die Sicherheitsgruppe aufnehmen

Nach kurzer Zeit (in der die Regelverarbeitung durchgeführt wird) erscheint der neue Benutzer auch als Mitglied in der Microsoft 365 Gruppe.

Microsoft 365 Gruppenmitglieder
Mitglied wird auch der Microsoft 365 Gruppe hinzugefügt

Natürlich kann die Dynamische Mitgliedschaftsregel im Nachhinein angepasst werden.

Microsoft 365 Gruppenmitglieder
Dynamische Mitgliedschaftsregel anzeigen oder bearbeiten

Mit diesem gezeigten Ansatz können also auch Microsoft 365 Gruppenmitglieder auf Basis von bestehenden Sicherheitsgruppen verwaltet werden.

Es gibt natürlich ein paar Dinge dabei zu berücksichtigen, wie z.B. dass keine verschachtelten Sicherheitsgruppen funktionieren oder dadurch die bekannte Verwaltung (Hinzufügen/Entfernen) von Benutzern nicht mehr funktioniert.

Ansonsten finde ich den Ansatz sehr spannend, wenn man nicht auf der grünen Wiese anfängt, sondern bestehende Gruppen weiterverwenden kann.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.