Pertenencia a grupos en un grupo dinámico (versión preliminar) en Microsoft Entra ID

  • Artículo

Esta versión preliminar de características en Microsoft Entra ID permite a los administradores crear grupos dinámicos y unidades administrativas que se rellenan agregando miembros de otros grupos mediante el atributo memberOf. Las apps que no podían leer la pertenencia basada en grupos anteriormente en Microsoft Entra ID ahora pueden leer toda la pertenencia de estos nuevos grupos memberOf. Estos grupos no solo se pueden usar para las apps, sino también para la asignación de licencias.

En el diagrama siguiente se muestra cómo puede crear Dynamic-Group-A con miembros de Security-Group-X y Security-Group-Y. Los miembros de los grupos dentro de Security-Group-X y Security-Group-Y no se convierten en miembros de Dynamic-Group-A.

Diagram that shows how the memberOf attribute works.

Con esta versión preliminar, los administradores pueden configurar grupos dinámicos con el atributo memberOf en Azure Portal, Microsoft Graph y PowerShell. Los grupos de seguridad, los grupos de Microsoft 365 y los grupos que se sincronizan desde Active Directory local se pueden agregar como miembros de estos grupos dinámicos. También se pueden agregar todos a un único grupo. Por ejemplo, el grupo dinámico podría ser un grupo de seguridad, pero puede usar grupos de Microsoft 365, grupos de seguridad y grupos que se sincronizan desde el entorno local para definir su pertenencia.

Requisitos previos

Solo los administradores con el rol Administrador global, Administrador de Intune o Administrador de usuarios pueden usar el atributo memberOf para crear un grupo dinámico de Microsoft Entra. Debe tener una licencia Microsoft Entra ID P1 o P2 para el inquilino de Microsoft Entra.

Limitaciones de vista previa

  • Cada inquilino de Microsoft Entra está limitado a 500 grupos dinámicos con el atributo memberOf. Los grupos memberOf cuentan para la cuota total de miembros del grupo dinámico de 5000.
  • Cada grupo dinámico puede tener hasta 50 grupos de miembros.
  • Al agregar miembros de grupos de seguridad a grupos dinámicos memberOf, solo los miembros directos del grupo de seguridad se convierten en miembros del grupo dinámico.
  • No se puede usar un grupo dinámico memberOf para definir la pertenencia de otros grupos dinámicos memberOf. Por ejemplo, el grupo dinámico A, que tiene miembros del grupo B y C, no puede ser miembro del grupo dinámico D.
  • El atributo memberOf no se puede usar con otras reglas. Por ejemplo, una regla que indica el grupo dinámico A debe contener miembros del grupo B y también debe contener solo los usuarios ubicados en Redmond producirán un error.
  • El generador de reglas de grupo dinámico y la característica de validación no se pueden usar para memberOf en este momento.
  • El atributo memberOf no se puede usar con otros operadores. Por ejemplo, no se puede crear una regla que indique "Los miembros del grupo A no pueden estar en el grupo dinámico B".

Introducción

Esta característica se puede usar en Azure Portal, Microsoft Graph y PowerShell. Dado que memberOf aún no se admite en el generador de reglas, se debe escribir la regla en el editor de reglas.

Creación de un grupo dinámico memberOf

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. Seleccione Nuevo grupo.
  4. Rellene los detalles del grupo. El tipo de grupo puede ser Seguridad o Microsoft 365, y el tipo de pertenencia se puede establecer en Usuario dinámico o Dispositivo dinámico.
  5. Seleccione Agregar una consulta dinámica.
  6. MemberOf aún no se admite en el generador de reglas. Seleccione Editar para escribir la regla en el cuadro Sintaxis de regla.
    1. Regla de usuario de ejemplo: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Regla de dispositivo de ejemplo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Seleccione Aceptar.
  8. Seleccione Create group (Crear grupo).