Automatisches Hinzufügen oder Entfernen von Gruppenmitgliedern

In Microsoft Entra ID, Teil von Microsoft Entra, können Sie Sicherheitsgruppen oder Microsoft 365-Gruppen Benutzer*innen automatisch hinzufügen bzw. aus diesen Gruppen entfernen, sodass Sie diese Schritte nicht immer manuell ausführen müssen. Wenn sich die Eigenschaften von Benutzer*innen oder Geräten ändern, wertet Microsoft Entra ID alle dynamischen Gruppenregeln in Ihrer Microsoft Entra-Organisation aus, um zu ermitteln, ob aufgrund der Änderung Mitglieder hinzugefügt oder entfernt werden müssen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer automatisch aufgefüllten Gruppe mit Gastbenutzern aus einem Partnerunternehmen
  • Zuweisen von Lizenzen für partnerspezifische Features zu der Gruppe, um Gastbenutzern den Zugriff darauf zu ermöglichen
  • Bonus: Sichern der Gruppe Alle Benutzer durch Entfernen von Gastbenutzern, sodass Sie Ihren Mitgliedsbenutzern beispielsweise Zugriff auf rein interne Websites gewähren können

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

Für dieses Feature ist eine P1- oder P2-Lizenz für Microsoft Entra ID für Sie als globale*r Administrator*in der Organisation erforderlich. Falls Sie keine Lizenz besitzen, wählen Sie in Microsoft Entra ID Lizenzen>Produkte>Ausprobieren/Kaufen aus.

Sie müssen Benutzern keine Lizenzen zuweisen, damit sie Mitglieder in dynamischen Gruppen sein können. Sie benötigen lediglich die Mindestanzahl verfügbarer P1-Lizenzen für Microsoft Entra ID in der Organisation, um diese Benutzer*innen abzudecken.

So erstellen Sie eine Gruppe mit Gastbenutzer*innen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Zunächst erstellen Sie eine Gruppe für Ihre Gastbenutzer, die alle aus einem Partnerunternehmen stammen. Für sie ist eine spezielle Lizenzierung erforderlich, daher ist es häufig effizienter, zu diesem Zweck eine Gruppe zu erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.

    Screenshot of using the Select command to start a new group.

  4. Im Bereich Neue Gruppe:

    • Geben Sie einen Gastbenutzernamen, eine E-Mail-Adresse und eine Beschreibung für die Gruppe ein.
    • Ändern Sie Mitgliedschaftstyp in Dynamischer Benutzer.

    Screenshot of Group page where user enters the dynamic group details.

  5. Wählen Sie Keine Besitzer ausgewählt aus, und scrollen Sie im Bereich Besitzer hinzufügen bis zu den gewünschten Besitzer*innen. Wählen Sie auf Namen aus, um der Gruppe Besitzer*innen hinzuzufügen.

  6. Wählen Sie Auswählen aus, um die Besitzer*innen zu speichern und den Bereich Besitzer hinzufügen zu schließen.

  7. Wählen Sie im Feld Dynamische Mitglieder die Option Dynamische Abfrage hinzufügen aus.

  8. Im Bereich Dynamische Mitgliedschaftsregeln:

    • Klicken Sie im Feld Eigenschaften auf den vorhandenen Wert, und wählen Sie userType aus.
    • Vergewissern Sie sich, dass für das Feld Operator die Option Ist gleich ausgewählt ist.
    • Wählen Sie das Feld Wert, und geben Sie Gast ein.
    • Klicken Sie auf den Hyperlink Ausdruck hinzufügen, um eine weitere Zeile hinzuzufügen.
    • Wählen Sie im Feld Und/Oder die Option Und aus.
    • Wählen Sie im Feld Eigenschaft die Option companyName aus.
    • Vergewissern Sie sich, dass für das Feld Operator die Option Ist gleich ausgewählt ist.
    • Geben Sie im Feld Wert den Wert Contoso ein.
    • Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus, um eine Anwendungs-ID einzugeben, mit der alle verfügbaren benutzerdefinierten Erweiterungseigenschaften zum Erstellen einer Regel abgerufen werden.
    • Wenn Sie fertig sind, wählen Sie Speichern aus, um Dynamische Mitgliedschaftsregeln zu schließen.
  9. Um den Vorgang abzuschließen und die Gruppe zu erstellen, wählen Sie im Bereich Gruppen die Option Erstellen aus.

Zuweisen von Lizenzen

Sie besitzen nun eine Gruppe und können die Lizenzen zuweisen, die diese Partnerbenutzer benötigen.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Identität>Abrechnung>Lizenzen>Alle Produkte, und wählen Sie mindestens eine Lizenz und dann Lizenzierte Gruppen aus.

    Screenshot of Assign licenses to a new group.

  2. Suchen Sie nach dem Namen der Gruppe, die Sie hinzufügen möchten, und wählen Sie dann Zuweisen aus.

  3. Zuweisungsoptionen ermöglichen die Aktivierung und Deaktivierung der Servicepläne, die in den ausgewählten Lizenzen enthalten sind. Klicken Sie nach einer Änderung unbedingt auf OK, um die Änderung zu speichern.

  4. Klicken Sie schließlich unten im Bereich Lizenz zuweisen auf Zuweisen, um die Zuweisung abzuschließen.

Entfernen von Gästen aus der Gruppe „Alle Benutzer“

Unter Umständen möchten Sie zu Verwaltungszwecken letztendlich alle Gastbenutzer nach Unternehmen ihren eigenen Gruppen zuweisen. Nun können Sie auch die Gruppe Alle Benutzer so ändern, dass sie nur für Mitgliedsbenutzer in Ihrer Organisation reserviert ist. Anschließend können Sie sie zum Zuweisen von Apps und Lizenzen verwenden, die spezifisch für Ihre eigene Organisation sind.

Screenshot of using the Change all users group to members only.

Bereinigen von Ressourcen

So entfernen Sie die Gruppe der Gastbenutzer

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
  2. Navigieren Sie zu Gruppen>Alle Gruppen.
  3. Wählen Sie die Gruppe Gastbenutzer, anschließend die Auslassungspunkte (...) und dann Löschen aus. Wenn Sie die Gruppe löschen, werden alle zugewiesenen Lizenzen entfernt.

So stellen Sie die Gruppe „Alle Benutzer“ wieder her

  1. Wählen Sie Identität>Gruppen>Alle Gruppen aus. Klicken Sie auf den Namen der Gruppe Alle Benutzer, um die Gruppe zu öffnen.
  2. Klicken Sie auf Dynamische Mitgliedschaftsregeln, löschen Sie den gesamten Text in der Regel, und klicken Sie auf Speichern.

Nächste Schritte

Grundlagen der gruppenbasierten Lizenzierung in Azure Active Directory