自動新增或移除群組成員
在 Microsoft Entra 識別碼中,您可以自動將使用者新增或移除至安全組或 Microsoft 365 群組,因此您不一定要手動執行。 每當使用者或裝置的任何屬性變更時,Microsoft Entra ID 會評估 Microsoft Entra 組織中所有動態群組規則,以查看變更是否應該新增或移除成員。
在本教學課程中,您會了解如何:
- 從合作夥伴公司建立自動填入的來賓使用者群組
- 將授權指派給群組,供來賓使用者存取的合作夥伴特定功能
- Bonus: 藉由移除來賓用戶來保護所有使用者 群組,例如,您可以為成員使用者提供僅限內部網站的存取權
如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
必要條件
此功能需要一個 Microsoft Entra ID P1 或 P2 授權,才能作為組織的全域管理員。 如果您沒有授權產品,請在 Microsoft Entra ID 中選取 [授權>產品>試用/購買]。
您不需要將授權指派給使用者,讓他們成為動態群組中的成員。 您只需要組織中可用的 Microsoft Entra ID P1 授權數目下限,才能涵蓋所有這類使用者。
建立來賓使用者群組
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
首先,您將為來自單一合作夥伴公司的來賓使用者建立群組。 他們需要特殊授權,因此為了此目的建立群組通常會更有效率。
以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組>所有群組>] [新增群組]。
在 [ 新增群組 ] 窗格上:
- 輸入 群組的來賓使用者名稱、 電子郵件位址 和 描述 。
- 將 [成員資格類型] 變更為 [動態使用者]。
選取 [未選取 擁有者],然後在 [ 新增擁有者 ] 窗格中捲動以找出所需的擁有者。 按兩下名稱,將擁有者新增至群組。
單擊 [ 選取 ] 以儲存擁有者,並關閉 [ 新增擁有者 ] 窗格。
在 [動態用戶成員] 方塊中選取 [新增動態查詢]。
在 [ 動態成員資格規則 ] 窗格中:
- 在 [ 屬性] 字段中,按兩下現有的值,然後選取 userType。
- 確認 [ 運算子 ] 字段已 選取 [等於 ]。
- 選取 [ 值] 欄位並輸入 來賓。
- 按兩下 [ 新增運算式] 超連結以新增另一行。
- 在 [ And/Or ] 字段中,選取 [And]。
- 在 [ 屬性] 欄位中,選取 [companyName]。
- 確認 [ 運算子 ] 字段已 選取 [等於 ]。
- 在 [ 值] 欄位中,輸入 Contoso。
- 按兩下 [取得自定義擴充屬性 ] 以輸入應用程式識別碼,以擷取所有可用的自定義延伸模組屬性來建立規則。
- 完成時,按兩下 [ 儲存 ] 以關閉 [動態成員資格規則]。
若要完成並建立群組,請選取 [群組] 窗格上的 [建立]。
指派授權
現在您已擁有新的群組,您可以套用這些合作夥伴使用者所需的授權。
在 Microsoft Entra 系統管理中心,流覽至 [身分識別>計費>授權>] [所有產品],選取一或多個授權,然後選取 [授權群組]。
搜尋您要新增的組名,然後選取 [ 指派]。
指派選項 可讓您開啟或關閉服務方案,其中包含您選取的授權。 當您進行變更時,請務必按兩下 [ 確定 ] 以儲存變更。
若要完成指派,請在 [ 指派授權 ] 窗格上,按兩下窗格底部的 [ 指派 ]。
從所有使用者群組移除來賓
也許您的最終系統管理計畫是透過公司將所有來賓使用者指派給自己的群組。 您現在可以變更 [所有使用者 ] 群組,使其只保留給組織中的成員使用者。 然後,您可以使用它來指派您主組織專屬的應用程式和授權。
清除資源
拿掉來賓使用者群組
- 以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [群組>所有群組]。
- 選取 [ 來賓使用者 ] 群組,選取省略號 (...),然後選取 [ 刪除]。 當您刪除群組時,會移除任何指派的授權。
若要還原 [所有使用者] 群組
- 選取 [身分>識別群組>所有群組]。 選取 [所有使用者] 群組的名稱,以開啟群組。
- 選取 [動態成員資格規則],清除規則中的所有文字,然後選取 [ 儲存]。