Pertenencia a grupos en un grupo dinámico (versión preliminar) en Microsoft Entra ID
Esta versión preliminar de características en Microsoft Entra ID permite a los administradores crear grupos dinámicos y unidades administrativas que se rellenan agregando miembros de otros grupos mediante el atributo memberOf
. Las apps que no podían leer la pertenencia basada en grupos anteriormente en Microsoft Entra ID ahora pueden leer toda la pertenencia de estos nuevos grupos memberOf
. Estos grupos no solo se pueden usar para las apps, sino también para la asignación de licencias.
En el diagrama siguiente se muestra cómo puede crear Dynamic-Group-A con miembros de Security-Group-X y Security-Group-Y. Los miembros de los grupos dentro de Security-Group-X y Security-Group-Y no se convierten en miembros de Dynamic-Group-A.
Con esta versión preliminar, los administradores pueden configurar grupos dinámicos con el atributo memberOf
en Azure Portal, Microsoft Graph y PowerShell. Los grupos de seguridad, los grupos de Microsoft 365 y los grupos que se sincronizan desde Active Directory local se pueden agregar como miembros de estos grupos dinámicos. También se pueden agregar todos a un único grupo. Por ejemplo, el grupo dinámico podría ser un grupo de seguridad, pero puede usar grupos de Microsoft 365, grupos de seguridad y grupos que se sincronizan desde el entorno local para definir su pertenencia.
Requisitos previos
Solo los administradores con el rol Administrador global, Administrador de Intune o Administrador de usuarios pueden usar el atributo memberOf
para crear un grupo dinámico de Microsoft Entra. Debe tener una licencia Microsoft Entra ID P1 o P2 para el inquilino de Microsoft Entra.
Limitaciones de vista previa
- Cada inquilino de Microsoft Entra está limitado a 500 grupos dinámicos con el atributo
memberOf
. Los gruposmemberOf
cuentan para la cuota total de miembros del grupo dinámico de 5000. - Cada grupo dinámico puede tener hasta 50 grupos de miembros.
- Al agregar miembros de grupos de seguridad a grupos dinámicos
memberOf
, solo los miembros directos del grupo de seguridad se convierten en miembros del grupo dinámico. - No se puede usar un grupo dinámico
memberOf
para definir la pertenencia de otros grupos dinámicosmemberOf
. Por ejemplo, el grupo dinámico A, que tiene miembros del grupo B y C, no puede ser miembro del grupo dinámico D. - El atributo
memberOf
no se puede usar con otras reglas. Por ejemplo, una regla que indica el grupo dinámico A debe contener miembros del grupo B y también debe contener solo los usuarios ubicados en Redmond producirán un error. - El generador de reglas de grupo dinámico y la característica de validación no se pueden usar para
memberOf
en este momento. - El atributo
memberOf
no se puede usar con otros operadores. Por ejemplo, no se puede crear una regla que indique "Los miembros del grupo A no pueden estar en el grupo dinámico B".
Introducción
Esta característica se puede usar en Azure Portal, Microsoft Graph y PowerShell. Dado que memberOf
aún no se admite en el generador de reglas, se debe escribir la regla en el editor de reglas.
Creación de un grupo dinámico memberOf
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Vaya aIdentidad>Grupos>Todos los grupos.
- Seleccione Nuevo grupo.
- Rellene los detalles del grupo. El tipo de grupo puede ser Seguridad o Microsoft 365, y el tipo de pertenencia se puede establecer en Usuario dinámico o Dispositivo dinámico.
- Seleccione Agregar una consulta dinámica.
- MemberOf aún no se admite en el generador de reglas. Seleccione Editar para escribir la regla en el cuadro Sintaxis de regla.
- Regla de usuario de ejemplo:
user.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Regla de dispositivo de ejemplo:
device.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Regla de usuario de ejemplo:
- Seleccione Aceptar.
- Seleccione Create group (Crear grupo).