memberof Attribut Azure AD Gruppen

[jimmyone 15]

Hallo Zusammen,

 

leider gibt es ja noch immer nicht die Möglichkeit, dynamische Gruppen auf Basis des memberOf Attribut zu befüllen.

Ich überlege nun also folgendes zu machen und wollte mal hören, ob es ggf. einen eleganteren Weg gibt, den ich nicht beachtet habe.

Vielleicht vorweg: Ja, ich könnte die MS 365 Gruppe auch direkt im Azure AD befüllen. Allerdings hat nicht jeder Admin Zugriff auf das Azure AD, wohl aber auf Teile des on-premise AD.

Eine derzeit gesetzte Entscheidung, ob persönlich für gut befunden oder nicht sei mal dahingestellt, ist: Das wir möglichst viel im Identity Management über das on-premise AD abwickeln.

 

Ich würde jetzt eine on-premise Gruppe erstellen, dieser das Sync Flag geben, damit sie im Azure AD verfügbar und entsprechend mit Usern aufgefüllt ist.

Zusätzlich erstelle ich eine Microsoft 365 Gruppe für die nötigen Dienste.

Per Powershell hole ich mir dann die beiden Gruppen, setze die "on-premise" Gruppe als Referenz und fülle mit einem for each entweder die MS 365 Gruppe auf oder lösche einzelne Benutzer aus dieser.

Mir erscheint das aber irgendwie sehr umständlich, zumal das bei wenigen Usern gut gehen könnte, bei vielen aber vielleicht ewig läuft.

 

Habt ihr für einen solchen Fall Best Practices oder steuert ihr das dann über AAD direkt?

 

Liebe Grüße

jimmyone

[Gerber 15]

Hey,

 

wenn ich dich richtig verstehe, willst du mit den M365 Gruppen Berechtigungen im M365 steuern?

Um was geht es denn genau?
Exchange Berechtigungen, SharePoint, Azure AD?

 

Grüße

Phil

[jimmyone 15]

Hi,

 

eigentlich trivialer. Es geht um Zugehörigkeit in MS TEAMS - Teams. 

Wer in Gruppe XY ist, ist auch im Team in Teams.

[Gerber 15]

Heißt also du hast eine Teams Gruppe, welche ein Benutzer erstellt hat (oder du) und willst die Benutzer einer lokalen AD Gruppe in dieses Team als Mitglied hinzufügen?

 

 

[jimmyone 15]

Hey,

Benutzer können keine Gruppen oder Teams erstellen, also die Gruppen dahinter sind von uns erzeugt.

Die Frage kann ich aber mit Ja beantworten. Mitglieder der on-premise Gruppe sollen Mitglieder dieses Teams werden.

[Gerber 15]

Alles klar. 

Also Gruppen können keinen Teams Gruppen hinzugefügt werden, wie du mit Sicherheit bereits erkannt hast.
Du könntest aber im Azure AD Portal die Gruppe von Teams auf eine Dynamische Gruppe umstellen und dann eine Abfrage aufs Azure AD machen, welche automatisch die Benutzer der Gruppe hinzufügt.

 

Edit:

Dann über z.B. Benutzerdefinierte Attribute und dem Azure AD Sync arbeiten.

Grüße

bearbeitet 15. April 2021 von Gerber

[jimmyone 15]

vor 9 Minuten schrieb Gerber:

Du könntest aber im Azure AD Portal die Gruppe von Teams auf eine Dynamische Gruppe umstellen und dann eine Abfrage aufs Azure AD machen, welche automatisch die Benutzer der Gruppe hinzufügt.

 

Nein, das geht ja nicht.

Das memberOf Attribut ist ja nicht verfügbar. Sonst hätten wir das mittels dynamischer Gruppen so umgesetzt, wie beschrieben.

 

Siehe die Anforderung an das Azure AD Team:

Dynamic Groups: Member of group – Customer Feedback for ACE Community Tooling (azure.com)

 

 

[Gerber 15]

Ist klar. 
Du könntest aber vllt mit anderen Attributen arbeiten, welche nicht genutzt werden  .

Bis das "memberof" mit reinkommt. Die Abstimmung ist ja ziemlich hoch, so dass es vermutlich umgesetzt wird.

 

Edit:

Theoretisch könntest du lokal die Gruppen anlegen/pflegen (wenn du denkst das Feature kommt) und per Powershell alle in der Gruppe befindlichen Benutzer ein Attribut zuweisen, welches dann die Teams Gruppe steuert.

 

bearbeitet 15. April 2021 von Gerber