Dynamische Gruppen klingen super!

aber wie vieles im Leben, lösen sie nicht alle Probleme….

Aber im Detail:

Als Teil von Azure Ad Premium P1 lösen dynamische Office 365 Gruppen ein paar grundlegende Admin-Aufgaben im Bereich Teams und Co.

Die Idee an einer dynamischen Gruppe ist, das die Mitglieder aufgrund ihrer Eigenschaften im Azrue AD verwaltet werden  und nicht manuell.

Besonders spannend, wenn ich Abteilungs-Teams machen möchte oder Standort-Teams – weil ich – bei einem gut gepflegten AD – immer aktuelle Mitglieder in meiner Group habe.

Als Architekt habe ich mir das natürlich angesehen, ausprobiert und für gut empfunden.

Den großen Unterschied zwischen einem Architekten und einem Maurer erkennt man spätestens beim Hausbauen, wenn die geplanten Dinge dann in der Praxis eingesetzt werden und sich zeigt, das das Ding zwar GRUNDSÄTZLICH das tut, was es tun sollte, IM DETAIL dann aber doch nicht ganz so funktioniert, wie gedacht.

Was funktioniert in einer Dynamischen Gruppe ?

Die Dokumentation ist (wie meistens bei Office 365) ausführlich und gut:
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-dynamic-membership

 

Ich kann hier sehr umfangreiche Querys bauen, und Eigenschaften des Benutzers gut verknüpfen. Und so zB eine Gruppe bauen, die alle Benutzer aus der Abteilung Marketing beinhaltet:

(user.department -eq „Marketing“)

Und das sogar fein erweitern und sagen, ich möchte nur User aus Marketing aus Wien

(user.department -eq „Marketing“) and (user.City -eq „Wien“)

Und kann nicht nur -eq (also = ) nutzen, sondern auch so Dinge wie „Starts with“, „Contains“, „in“ usw.)

So weit, so cool…

Was funktioniert NICHT bei einer Dynamischen Gruppe ?

Wie so oft liegt der Teufel im Detail…

Ich kann für die Abfragen so ziemlich alle Properties des Benutzers im Azure AD nutzen.

City, Country, Department, …

Auch die 15 ExtensionAttributes stehen zur Verfügung, sowie die Möglichkeit, Schema-Erweiterungen von Apps zu nutzen.

Viele Kunden nutzen allerdings bestehende AD Gruppen zur „Organisation“ von Berechtigungen und würden diese gerne als Basis für Teams verwenden.

Leider kann ich (derzeit) „Member of Group“ nicht als Abfrage einer dynamischen Gruppe nutzen

(siehe auch https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/18772342-dynamic-groups-member-of-group )

Eine „Spezial-Rules“ gibt es noch:

Direct Reports for „User-ID“

Hier kann ich eine Gruppe erstellen aller Personen, die einem bestimmten Manager reporten. Achtung: Diese Rule kann mit keiner anderen Rule kombiniert werden !

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code