Cambio de la pertenencia a un grupo estático a dinámico en Microsoft Entra ID

Puede cambiar la pertenencia de un grupo de estático a dinámico (o viceversa) en Microsoft Entra ID, parte de Microsoft Entra. Microsoft Entra ID mantiene el mismo nombre e identificador del grupo en el sistema, por lo que todas las referencias existentes al grupo siguen siendo válidas. Si crea un nuevo grupo en su lugar, deberá actualizar esas referencias. La pertenencia a grupos dinámicos elimina la sobrecarga de administración al agregar y quitar usuarios. Este artículo explica cómo convertir los grupos existentes de pertenencia estática a dinámica mediante el portal o cmdlets de PowerShell.

Advertencia

Al cambiar un grupo estático existente a uno dinámico, se eliminarán todos sus miembros y, a continuación, se procesará la regla de pertenencia para agregar nuevos miembros. Si el grupo se usa para controlar el acceso a aplicaciones o recursos, tenga en cuenta que los miembros originales podrían perder el acceso hasta que se procese por completo la regla de pertenencia.

Es recomendable que pruebe la nueva regla de pertenencia con antelación para asegurarse de que la nueva pertenencia al grupo es la que se preveía.

Cambio del tipo de pertenencia de un grupo

Los pasos siguientes se pueden realizar mediante una cuenta que tenga asignados los roles de administrador global, administrador de usuarios o administrador de grupos.

1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
2. Seleccione Microsoft Entra ID.
3. Grupos.
4. En la lista Todos los grupos, abra el grupo que desea cambiar.
5. Seleccione Propiedades.
6. En la página Propiedades del grupo, seleccione un Tipo de pertenencia, ya sea Asignada (estática), Usuario dinámico o Dispositivo dinámico, según el tipo de pertenencia que desee. Para la pertenencia dinámica, puede usar el generador de reglas para seleccionar opciones para una regla sencilla o escribir usted mismo una regla de pertenencia.

Los pasos siguientes son un ejemplo de cómo cambiar un grupo de usuarios para que pase de una pertenencia estática a una dinámica.

1. En la página Propiedades del grupo seleccionado, elija un tipo de pertenencia de Usuario dinámico y, a continuación, seleccione Sí en el cuadro de diálogo que explica los cambios en la pertenencia del grupo para continuar.

   

2. Seleccione Agregar una consulta dinámica y, a continuación, proporcione la regla.

   

3. Después de crear la regla, seleccione Agregar consulta en la parte inferior de la página.

4. Seleccione Guardar en la página Propiedades del grupo para guardar los cambios. El tipo de pertenencia del grupo se actualiza inmediatamente en la lista de grupos.

Sugerencia

Es posible que la conversión del grupo produzca un error si la regla de pertenencia que escribió no era correcta. Aparecerá una notificación en la esquina superior derecha del portal, con una explicación de por qué el sistema no pudo aceptar la regla. Léala con cuidado para saber cómo debe ajustar la regla para que sea válida. Para ver ejemplos de sintaxis de reglas y una lista completa de las propiedades, operadores y valores admitidos para una regla de pertenencia, consulte Reglas de pertenencia a grupos dinámicos en Microsoft Entra ID.

Cambio del tipo de pertenencia de un grupo (PowerShell)

Nota:

Para cambiar las propiedades del grupo dinámico, debe usar los cmdlets del módulo de PowerShell de Microsoft Graph. para más información, vea Instalación del SDK de PowerShell de Microsoft Graph.

Este es un ejemplo e las funciones que cambian la administración de la pertenencia a un grupo existente. En este ejemplo, se actúa con precaución para manipular correctamente la propiedad GroupTypes y preservar todos los valores que no tienen relación con la pertenencia a un grupo dinámico.

#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Para convertir un grupo en estático:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Para convertir un grupo en dinámico:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Pasos siguientes

En estos artículos se proporciona información adicional sobre los grupos en Microsoft Entra ID.

• Consulta de los grupos existentes
• Crear un nuevo grupo y agregar miembros
• Administración de la configuración de un grupo
• Administrar la pertenencia a grupos
• Administrar reglas dinámicas de los usuarios de un grupo