🧩 Del 2: Dynamiske grupper og automatisert medlemskap

Få riktige personer i riktige grupper, helt automatisk

Ofte snakker man om onboarding og offboarding, også er det fort gjort å glemme det som skjer i mellom. Hvem har vel ikke byttet avdeling, rolle eller ansvar og fått noen nye tilganger og rettigheter? Selvfølgelig i tillegg til de man allerede har fordi det er "kjekt å ha" i en overgangsfase.. Så var det varighet på denne overgangsfasen da..

Med dynamiske grupper i Microsoft Entra ID kan du definere regler som automatisk legger brukere (eller enheter) til i grupper basert på attributter som:

• Avdeling

• Stillingstittel

• Lokasjon

• Brukertype

• Egendefinerte attributter

  
  

Dette gir deg automatisert medlemskap som alltid er oppdatert – uten manuell innsats. Det krever dog at man har kontroll på metadata på brukerobjektene, optimalt synkroniseres dette fra et HR system eller lignende. En anbefaling er å starte med et overblikk i EntraID for å se om metadata er konsistent og populert på alle brukere.

Hvordan fungerer det?

Dynamiske grupper bruker regelbasert logikk. Du definerer en regel i Entra ID som evalueres kontinuerlig. Når en brukers attributter samsvarer med regelen, legges de automatisk til i gruppen – og fjernes igjen hvis de ikke lenger matcher.

Eksempel:

(user.department -eq "Økonomi")

Denne regelen legger automatisk alle brukere i avdelingen "Økonomi" til i gruppen.

Du kan også kombinere flere kriterier:

(user.department -eq "IT") and (user.jobTitle -eq "Utvikler")

Man kan også bruke spørringer som går på medlem i grupper, eksempelvis: Alle medlemmer i gruppe X, Y og Z skal inn i gruppe XYZ. (Funksjonen har vært i Preview siden 2024..). Det fine med å bruke spørring på medlem av gruppe er at du oppnår det beste fra begge verdener, du kan få dynamikken du ønsker i tillegg til at du kan legge på en statisk gruppe i spørringen for å overstyre dynamikken. La oss si at du har et Engage felleskap hvor alle ansatte på Innlandet skal være medlemmer = Dynamisk gruppe. I tillegg ønsker du at ledergruppen på tvers av landet skal være medlem i Innlandet fellesskapet, de har ikke Innlandet som lokasjon og blir derfor ikke lagt til i den dynamiske gruppen automatisk. Da oppretter du en statisk gruppe hvor du kan styre medlemmer inn og ut og inkluderer den i spørringen til fellesskapsgruppen. (Eller du kan bruke custom attributes på brukere, en litt mer sølete vei..)

For brukere eller enheter:

user.memberof -any (group.objectId -in ['groupId']) 
device.memberof -any (group.objectId -in ['groupId'])

Bruksområder

Dynamiske grupper er nyttige i mange scenarier:

• Tilgangsstyring: Automatisk tilgang til apper, SharePoint-områder eller Teams basert på rolle eller avdeling.

• Lisensiering: Bruk dynamiske grupper til å tildele lisenser automatisk.

• Policyer: Bruk grupper til å målrette Intune-policyer eller Conditional Access.

  
  
  
  

Type dynamiske grupper

Begrensninger og krav

• Krever Microsoft Entra ID P1 (=Alle lisensierte brukere)

• Dynamiske grupper støtter ikke manuelt medlemskap – det er enten/eller (Med mindre du gjør spørring mot både dynamisk og statisk gruppe som beskrevet over)

• Ikke alle attributter er tilgjengelige for alle objekttyper

• Det kan ta noen minutter før endringer slår inn

  
  

Kom i gang

• Start enkelt: Begynn med én regel og test i liten skala

• Bruk egendefinerte attributter hvis standardfeltene ikke dekker behovet

• Navnekonvensjoner: Skill dynamiske grupper tydelig fra manuelle

• Overvåk og dokumenter: Hold oversikt over hvilke regler som gjelder hvor

  
  

Eksempel: Automatisk Teams-medlemskap

1. Opprett en dynamisk M365-gruppe basert på avdeling

2. Koble gruppen til et Team

3. Alle i avdelingen får automatisk tilgang til Teams-kanaler, filer og møter

   
   

🚀 Neste steg

I neste innlegg ser vi på automatisert livssyklus og opprydding av grupper – hvordan du kan bruke policyer og automatisering for å unngå gruppekaos og sikre at gamle grupper ikke blir hengende igjen.

Bjørnar&AI