Azure AD Dynamic Groups unterstützen neu die Einbindung weiterer AD Gruppen. Azure AD löst die direkten Mitglieder der Gruppen auf und inkludiert die Personen in der dynamischen Gruppe.
Microsoft hat Ende Juni eine Public Preview für die Funktion Nested AD Groups in Azure AD Dynamic Groups gestartet. Die Regeln einer Azure AD Dynamic Groups wurden für die Preview mit einem neuen Attribut “MemberOf” erweitert.
- Zur Erstellung von Azure AD Dynamic Groups ist Azure AD Premium erforderlich.
- Konten mit der Rolle Global Admin, Intune Admin oder User Admin können Azure AD Dynamic Groups erstellen oder die Regel bearbeiten.
- MemberOf ist bei dynamischen Gruppen für User und Devices möglich.
- Für Nested Groups sind Azure AD Security Gruppen, Microsoft 365 Gruppen und On-prem synchronisierte Gruppen unterstützt.
- Inkludiert eine AD Gruppe weitere Gruppen löst das System die Mitglieder der zusätzlichen Gruppen nicht auf. Azure AD übernimmt nur die direkten Mitglieder einer Gruppe.
- Die angepassten Azure AD Dynamic Groups können für Group-based Licensing eingesetzt werden. Bisher unterstützt Group-based Licensing keine Nested Groups. Da Azure AD die Mitglieder der Nested Groups auflöst wird den Personen eine Lizenz zugewiesen.
- Aktuell bekannte Limitierungen und Informationen beschreibt die Hilfe.
Microsoft bildet die neue Möglichkeit für dynamische Gruppen über eine Zeichnung ab.
Zur Simulation erstellte ich mir zwei neue dynamische AD Gruppen für Mitglieder aus den Abteilungen Marketing und HR. Für die Konfiguration der Nested AD Groups sind die Object IDs der neuen Gruppen erforderlich.
Ich erstelle mir eine weitere dynamische User Gruppe für die Lizenzierung der zwei oben erstellten Gruppen.
Der Assistent für die Query inkludiert im Moment kein MemberOf Property. Die Query muss manuell geschrieben werden. Microsoft hat in der Hilfe ein Beispiel für User und Devices. Öffne die Query und wähle editieren für das manuelle Schreiben der Query.
In der Query müssen nur die Group Object IDs meiner zwei oben erstellten Gruppen ergänzt werden.
user.memberof -any (group.objectId -in ['9d5202b7-a56d-4b88-a4fc-0ce48e631dda', '63741643-3122-4e14-9d12-63195f741a4c'])
Speichere die neue Gruppe und warte ein paar Minuten bis das System die Mitglieder erfasst. Azure AD löst die Mitglieder beider Gruppen auf und inkludiert sie in der Lizenzgruppe.
Für Group-based Licensing wird der Gruppe eine Lizenz zugeordnet.
Nach ein paar Minuten erhalten die Benutzerkonten die zugewiesene Lizenz.