Azure active directory 基于组成员资格的Azure AD动态组
是否可以基于用户的其他组成员身份创建Azure AD动态组,或者只能基于用户属性动态分配 我想要创建的是一个“Everyone”类型的组,它将包括除ExceptionGroup中的用户之外的所有人。这是针对O365授权的,因此默认情况下,所有用户都将获得基本O365许可证,但需要Project的用户将应用不同的许可证Azure active directory 基于组成员资格的Azure AD动态组,azure-active-directory,Azure Active Directory,是否可以基于用户的其他组成员身份创建Azure AD动态组,或者只能基于用户属性动态分配 我想要创建的是一个“Everyone”类型的组,它将包括除ExceptionGroup中的用户之外的所有人。这是针对O365授权的,因此默认情况下,所有用户都将获得基本O365许可证,但需要Project的用户将应用不同的许可证 (之所以需要完全分开,是因为O365 Business Premium和Project所需的SharePoint许可证之间存在冲突——如果有其他方法解决这部分问题,我可能能够避免这
(之所以需要完全分开,是因为O365 Business Premium和Project所需的SharePoint许可证之间存在冲突——如果有其他方法解决这部分问题,我可能能够避免这种类型的动态组。)否,当前不可能将组成员身份用作动态组查询的一部分。Philippe的说法是正确的,即您不能直接创建使用组成员身份作为条件的查询,但如果您正在根据本地ActiveDirectory环境同步Azure广告,当然,您可以使用计划脚本将值放入extensionAttributeX字段,然后基于那些没有问题的值构建标准 我们需要使用DifferencedName参数根据OU成员身份创建动态组,但也不支持DN字段。因此,使用运行Powershell脚本的计划作业,我将extensionAttribute9的值更新为DN(如果已更改),然后我们的Azure Connect同步将负责将该数据获取到Azure AD中以用于动态组成员分配 为组成员身份执行此操作的Powershell脚本示例如下所示:
Import-Module ActiveDirectory
$exclude = Get-ADGroupMember -Identity "excludeGroup" -Recursive | select -ExpandProperty SamaccountName
$population = Get-ADUser -Filter {enabled -eq $true}
foreach($p in $population) {
if (-not $exclude.Contains($p.SamAccountName)) { Set-ADUser -Replace @{extensionAttribute4 = "Good"} }
}
请确保您正在本地广告和Azure广告之间同步这些字段,但IIRC这些字段在默认设置中。我们也欢迎您提供更好的方法解决许可问题的建议,因为这并不是此问题的直接答案。