Jump to content

memberof Attribut Azure AD Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Zusammen,

 

leider gibt es ja noch immer nicht die Möglichkeit, dynamische Gruppen auf Basis des memberOf Attribut zu befüllen.

Ich überlege nun also folgendes zu machen und wollte mal hören, ob es ggf. einen eleganteren Weg gibt, den ich nicht beachtet habe.

Vielleicht vorweg: Ja, ich könnte die MS 365 Gruppe auch direkt im Azure AD befüllen. Allerdings hat nicht jeder Admin Zugriff auf das Azure AD, wohl aber auf Teile des on-premise AD.

Eine derzeit gesetzte Entscheidung, ob persönlich für gut befunden oder nicht sei mal dahingestellt, ist: Das wir möglichst viel im Identity Management über das on-premise AD abwickeln.

 

Ich würde jetzt eine on-premise Gruppe erstellen, dieser das Sync Flag geben, damit sie im Azure AD verfügbar und entsprechend mit Usern aufgefüllt ist.

Zusätzlich erstelle ich eine Microsoft 365 Gruppe für die nötigen Dienste.

Per Powershell hole ich mir dann die beiden Gruppen, setze die "on-premise" Gruppe als Referenz und fülle mit einem for each entweder die MS 365 Gruppe auf oder lösche einzelne Benutzer aus dieser.

Mir erscheint das aber irgendwie sehr umständlich, zumal das bei wenigen Usern gut gehen könnte, bei vielen aber vielleicht ewig läuft.

 

Habt ihr für einen solchen Fall Best Practices oder steuert ihr das dann über AAD direkt?

 

Liebe Grüße

jimmyone

Link to post

Hey,

 

wenn ich dich richtig verstehe, willst du mit den M365 Gruppen Berechtigungen im M365 steuern?

Um was geht es denn genau?
Exchange Berechtigungen, SharePoint, Azure AD?

 

Grüße

Phil

Link to post

Hey,

Benutzer können keine Gruppen oder Teams erstellen, also die Gruppen dahinter sind von uns erzeugt.

Die Frage kann ich aber mit Ja beantworten. Mitglieder der on-premise Gruppe sollen Mitglieder dieses Teams werden.

Link to post

Alles klar. 

Also Gruppen können keinen Teams Gruppen hinzugefügt werden, wie du mit Sicherheit bereits erkannt hast.
Du könntest aber im Azure AD Portal die Gruppe von Teams auf eine Dynamische Gruppe umstellen und dann eine Abfrage aufs Azure AD machen, welche automatisch die Benutzer der Gruppe hinzufügt.

 

Edit:

Dann über z.B. Benutzerdefinierte Attribute und dem Azure AD Sync arbeiten.

Grüße

Edited by Gerber
Link to post
vor 9 Minuten schrieb Gerber:

Du könntest aber im Azure AD Portal die Gruppe von Teams auf eine Dynamische Gruppe umstellen und dann eine Abfrage aufs Azure AD machen, welche automatisch die Benutzer der Gruppe hinzufügt.

 

Nein, das geht ja nicht.

Das memberOf Attribut ist ja nicht verfügbar. Sonst hätten wir das mittels dynamischer Gruppen so umgesetzt, wie beschrieben.

 

Siehe die Anforderung an das Azure AD Team:

Dynamic Groups: Member of group – Customer Feedback for ACE Community Tooling (azure.com)

 

 

Link to post

Ist klar. 
Du könntest aber vllt mit anderen Attributen arbeiten, welche nicht genutzt werden ;-) .

Bis das "memberof" mit reinkommt. Die Abstimmung ist ja ziemlich hoch, so dass es vermutlich umgesetzt wird.

 

Edit:

Theoretisch könntest du lokal die Gruppen anlegen/pflegen (wenn du denkst das Feature kommt) und per Powershell alle in der Gruppe befindlichen Benutzer ein Attribut zuweisen, welches dann die Teams Gruppe steuert.

 

Edited by Gerber
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...