是否可以基于用户的其他组成员身份创建Azure AD动态组,还是只能根据用户属性动态分配它?
我要创建的是一个“所有人”类型的组,其中将包括ExceptionGroup中除 个用户之外的所有用户。这是针对O365许可的,因此默认情况下,所有用户都将获得基本的O365许可,但是需要Project的用户将应用其他许可。
(之所以需要完全分开,是因为O365 Business Premium和Project所需的SharePoint许可证之间存在冲突-如果有解决该问题的另一种方法,我也许可以避免这种情况动态组的成员。)
答案 0 :(得分:1)
Philippe是正确的,您不能直接 创建使用组成员身份作为条件的查询,但是如果要针对本地ActiveDirectory环境同步Azure AD,则可以使用预定脚本将值放入extensionAttributeX字段中,然后根据没有问题的值建立条件。
我们需要使用distinguishedName参数来基于OU成员资格创建动态组,但是DN字段也不被支持。因此,使用运行Powershell脚本的计划作业,我将extensionAttribute9的值更新为DN(如果它已更改),然后我们的Azure Connect同步负责将数据放入Azure AD中以进行动态组成员分配。
为组成员身份执行此操作的Powershell脚本示例如下所示:
Import-Module ActiveDirectory
$exclude = Get-ADGroupMember -Identity "excludeGroup" -Recursive | select -ExpandProperty SamaccountName
$population = Get-ADUser -Filter {enabled -eq $true}
foreach($p in $population) {
if (-not $exclude.Contains($p.SamAccountName)) { Set-ADUser -Replace @{extensionAttribute4 = "Good"} }
}
将其放入按计划运行的脚本中,然后根据extensionAttribute4(或尚未使用或不喜欢的extensionAttribute)中的值创建动态Azure AD组成员身份。
请确保在本地AD和Azure AD之间同步这些字段,但IIRC处于默认集中。
答案 1 :(得分:0)
否,当前无法使用组成员身份作为动态组查询的一部分。