Reglas de pertenencia dinámica a grupos de Azure Active DirectoryDynamic membership rules for groups in Azure Active Directory

En Azure Active Directory (Azure AD), puede crear reglas basadas en atributos complejos para habilitar la pertenencia dinámica a grupos.In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. La pertenencia dinámica a grupos reduce la sobrecarga administrativa que conlleva agregar y eliminar usuarios.Dynamic group membership reduces the administrative overhead of adding and removing users. En este artículo se detallan las propiedades y la sintaxis para crear reglas de pertenencia dinámica para usuarios o dispositivos.This article details the properties and syntax to create dynamic membership rules for users or devices. Puede configurar una regla de pertenencia dinámica en grupos de seguridad o grupos de Microsoft 365.You can set up a rule for dynamic membership on security groups or Microsoft 365 groups.

Cuando cambia cualquier atributo de un usuario, el sistema evalúa todas las reglas de grupos dinámicos de un directorio para ver si la modificación desencadenaría adiciones o retiradas en el grupo.When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. Si un usuario o dispositivo cumple una regla de un grupo, se agrega a este como miembro.If a user or device satisfies a rule on a group, they are added as a member of that group. Cuando ya no cumple la regla, se quita.If they no longer satisfy the rule, they are removed. No se puede agregar o quitar un miembro de un grupo dinámico de forma manual.You can't manually add or remove a member of a dynamic group.

  • Puede crear un grupo dinámico para dispositivos o usuarios, pero no se puede crear una regla que contenga tanto usuarios como dispositivos.You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • No se puede crear un grupo de dispositivos basado en los atributos de los propietarios de los dispositivos.You can't create a device group based on the device owners' attributes. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atributos de dispositivos.Device membership rules can only reference device attributes.

Nota

Esta característica requiere una licencia de Azure AD Premium P1 para cada usuario único que sea miembro de uno o varios grupos dinámicos.This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. Aunque no es necesario asignar licencias a los usuarios para que sean miembros de los grupos dinámicos, es preciso tener el número mínimo de licencias en la organización de Azure AD para abarcarlos a todos.You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the Azure AD organization to cover all such users. Por ejemplo, si tiene un total de 1000 usuarios únicos en todos los grupos dinámicos de la organización, necesitará al menos 1000 licencias de Azure AD Premium P1 para cumplir el requisito de licencia.For example, if you had a total of 1,000 unique users in all dynamic groups in your organization, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement. No es necesaria ninguna licencia para los dispositivos que son miembros de un grupo de dispositivos dinámico.No license is required for devices that are members of a dynamic device group.

Generador de reglas en Azure PortalRule builder in the Azure portal

Azure AD proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez.Azure AD provides a rule builder to create and update your important rules more quickly. El generador de reglas admite la construcción de hasta cinco expresiones.The rule builder supports the construction of up to five expressions. Facilita la creación de reglas con unas cuantas expresiones sencillas; no obstante, no se puede usar para reproducir todas las reglas.The rule builder makes it easier to form a rule with a few simple expressions, however, it can't be used to reproduce every rule. En caso de que no admita la regla que quiere crear, puede usar el cuadro de texto.If the rule builder doesn't support the rule you want to create, you can use the text box.

Estos son algunos ejemplos de reglas o sintaxis avanzadas para las que se recomienda construir mediante el cuadro de texto:Here are some examples of advanced rules or syntax for which we recommend that you construct using the text box:

Nota

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto.The rule builder might not be able to display some rules constructed in the text box. En este caso, podría aparecer un mensaje.You might see a message when the rule builder is not able to display the rule. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos dinámicos de ninguna manera.The rule builder doesn't change the supported syntax, validation, or processing of dynamic group rules in any way.

Para obtener instrucciones paso a paso, consulte Creación o actualización de un grupo dinámico.For more step-by-step instructions, see Create or update a dynamic group.

Adición de una regla de pertenencia a un grupo dinámico

<a name="rule-syntax-for-a-single-expression">Sintaxis de regla para una sola expresiónRule syntax for a single expression

Una expresión única es la forma más sencilla de una regla de pertenencia y solo tiene los tres elementos mencionados anteriormente.A single expression is the simplest form of a membership rule and only has the three parts mentioned above. Una regla con una expresión única tiene un aspecto similar al siguiente: Property Operator Value, donde la sintaxis de la propiedad es el nombre de object.property.A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of object.property.

El siguiente es un ejemplo de una regla de pertenencia construida correctamente con una expresión única:The following is an example of a properly constructed membership rule with a single expression:

user.department -eq &quot;Sales&quot;

Los paréntesis son opcionales para una expresión única.Parentheses are optional for a single expression. La longitud total del cuerpo de la regla de pertenencia no puede superar los 3072 caracteres.The total length of the body of your membership rule cannot exceed 3072 characters.

Construcción del cuerpo de una regla de pertenenciaConstructing the body of a membership rule

Una regla de pertenencia que rellena automáticamente un grupo con usuarios o dispositivos es una expresión binaria que genera un resultado true o false.A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. Los tres elementos de una regla simple son:The three parts of a simple rule are:

  • PropiedadProperty
  • OperatorOperator
  • ValueValue

El orden de los elementos de una expresión es importante para evitar errores de sintaxis.The order of the parts within an expression are important to avoid syntax errors.

Propiedades admitidasSupported properties

Hay tres tipos de propiedades que se pueden usar para construir una regla de pertenencia.There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • StringString
  • Colección de cadenasString collection

Las siguientes son las propiedades de usuario que puede utilizar para crear una expresión única.The following are the user properties that you can use to create a single expression.

Propiedades de tipo booleanoProperties of type boolean

PropiedadesProperties Valores permitidosAllowed values UsoUsage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

Propiedades de tipo cadenaProperties of type string

PropiedadesProperties Valores permitidosAllowed values UsoUsage
citycity Cualquier valor de cadena o nullAny string value or null (user.city -eq "value")(user.city -eq "value")
countrycountry Cualquier valor de cadena o nullAny string value or null (user.country -eq "value")(user.country -eq "value")
companyNamecompanyName Cualquier valor de cadena o nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment Cualquier valor de cadena o nullAny string value or null (user.department -eq "value")(user.department -eq "value")
DisplayNamedisplayName Cualquier valor de cadenaAny string value (user.displayName -eq "value")(user.displayName -eq "value")
employeeIdemployeeId Cualquier valor de cadenaAny string value (user.employeeId -eq "value")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber Cualquier valor de cadena o nullAny string value or null (user.facsimileTelephoneNumber -eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName Cualquier valor de cadena o nullAny string value or null (user.givenName -eq "value")(user.givenName -eq "value")
jobTitlejobTitle Cualquier valor de cadena o nullAny string value or null (user.jobTitle -eq "value")(user.jobTitle -eq "value")
mailmail Cualquier valor de cadena o null (dirección SMTP del usuario)Any string value or null (SMTP address of the user) (user.mail -eq "value")(user.mail -eq "value")
mailNickNamemailNickName Cualquier valor de cadena (alias de correo electrónico del usuario)Any string value (mail alias of the user) (user.mailNickName -eq "value")(user.mailNickName -eq "value")
mobilemobile Cualquier valor de cadena o nullAny string value or null (user.mobile -eq "value")(user.mobile -eq "value")
objectIdobjectId GUID del objeto de usuarioGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier Identificador de seguridad local (SID) para los usuarios que se han sincronizado desde local a la nube.On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies None DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName Cualquier valor de cadena o nullAny string value or null (user.physicalDeliveryOfficeName -eq "value")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode Cualquier valor de cadena o nullAny string value or null (user.postalCode -eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage Código ISO 639-1ISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress Cualquier valor de cadena o nullAny string value or null (user.sipProxyAddress -eq "value")(user.sipProxyAddress -eq "value")
statestate Cualquier valor de cadena o nullAny string value or null (user.state -eq "value")(user.state -eq "value")
streetAddressstreetAddress Cualquier valor de cadena o nullAny string value or null (user.streetAddress -eq "value")(user.streetAddress -eq "value")
surnamesurname Cualquier valor de cadena o nullAny string value or null (user.surname -eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber Cualquier valor de cadena o nullAny string value or null (user.telephoneNumber -eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation Código de dos letras de país o regiónTwo lettered country/region code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName Cualquier valor de cadenaAny string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType miembro invitado nullmember guest null (user.userType -eq "Member")(user.userType -eq "Member")

Propiedades de colección de cadenas de tipoProperties of type string collection

PropiedadesProperties Valores permitidosAllowed values UsoUsage
otherMailsotherMails Cualquier valor de cadenaAny string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

Para más información sobre las propiedades que se usan para las reglas de dispositivos, consulte Reglas de dispositivos.For the properties used for device rules, see Rules for devices.

Operadores de expresión admitidosSupported expression operators

En la tabla siguiente se enumeran todos los operadores admitidos y su sintaxis para una expresión única.The following table lists all the supported operators and their syntax for a single expression. Los operadores se pueden utilizar con o sin el prefijo de guion (-).Operators can be used with or without the hyphen (-) prefix.

OperatorOperator SintaxisSyntax
Not EqualsNot Equals -ne-ne
EqualsEquals -eq-eq
Not Starts WithNot Starts With -notStartsWith-notStartsWith
Empieza porStarts With -startsWith-startsWith
Not ContainsNot Contains -notContains-notContains
ContainsContains -contains-contains
Not MatchNot Match -notMatch-notMatch
MatchMatch -match-match
EnIn -in-in
No en elNot In -notIn-notIn

Uso de los operadores -In y -notInUsing the -in and -notIn operators

Si desea comparar el valor de un atributo de usuario con un número de valores diferentes, puede usar los operadores -In o -notIn.If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. Utilice los símbolos entre corchetes "[" y "]" para comenzar y terminar la lista de valores.Use the bracket symbols "[" and "]" to begin and end the list of values.

En el ejemplo siguiente, la expresión se evalúa como true si el valor de user.department es igual a cualquiera de los valores de la lista:In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Uso del operador -matchUsing the -match operator

El operador -coinciden se utiliza para que coincida con cualquier expresión regular.The -match operator is used for matching any regular expression. Ejemplos:Examples:

user.displayName -match "Da.*"   

Da, Dav y David se evalúan como true, aDa se evalúa como false.Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David se evalúa como true, Da como false.David evaluates to true, Da evaluates to false.

Valores admitidosSupported values

Los valores utilizados en una expresión pueden ser de varios tipos, incluidos:The values used in an expression can consist of several types, including:

  • CadenasStrings
  • Valor booleano: true, falseBoolean – true, false
  • NúmerosNumbers
  • Matrices: matriz numérica, matriz de cadenasArrays – number array, string array

Al especificar un valor dentro de una expresión es importante utilizar la sintaxis correcta para evitar errores.When specifying a value within an expression it is important to use the correct syntax to avoid errors. Algunas sugerencias de sintaxis son:Some syntax tips are:

  • Las comillas dobles son opcionales a menos que el valor sea una cadena.Double quotes are optional unless the value is a string.
  • Las operaciones de cadena y regex no distinguen mayúsculas de minúsculas.String and regex operations are not case sensitive.
  • Cuando un valor de cadena contiene comillas dobles, se debe utilizar ` como carácter de escape de ambas. Por ejemplo, user.department -eq `"Sales`" es la sintaxis correcta cuando "Sales" es el valor.When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • También puede realizar comprobaciones null, usando null como valor, por ejemplo, user.department -eq null.You can also perform Null checks, using null as a value, for example, user.department -eq null.

Uso de valores nulosUse of Null values

Para especificar un valor nulo en una regla, puede usar el valor null.To specify a null value in a rule, you can use the null value.

  • Use -eq o -ne al comparar el valor null de una expresión.Use -eq or -ne when comparing the null value in an expression.
  • Use comillas alrededor de la palabra null solo si desea que se interprete como un valor de cadena literal.Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • El operador -not no se puede usar como operador comparativo con valores null.The -not operator can't be used as a comparative operator for null. Si lo hace, recibirá un error tanto si usa null como si usa $null.If you use it, you get an error whether you use null or $null.

La manera correcta de hacer referencia al valor null es como sigue:The correct way to reference the null value is as follows:

   user.mail –ne null

Reglas con varias expresionesRules with multiple expressions

Una regla de pertenencia a grupos puede constar de más de una expresión única conectadas por los operadores lógicos -and, -or y -not.A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. Los operadores lógicos también se pueden usar en combinación.Logical operators can also be used in combination.

Los siguientes son ejemplos de reglas de pertenencia construidas correctamente con varias expresiones:The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

Precedencia de operadoresOperator precedence

Todos los operadores se enumeran a continuación, en orden de prioridad de mayor a menor.All operators are listed below in order of precedence from highest to lowest. Los operadores en la misma línea tienen la misma prioridad:Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-not
-and
-or
-any -all

Este es un ejemplo de prioridad de operador en el que el usuario evalúa dos expresiones:The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and user.country –eq "US"

Los paréntesis son necesarios solo si la precedencia no cumple sus requisitos.Parentheses are needed only when precedence does not meet your requirements. Por ejemplo, si desea que el departamento se evalúe primero, el ejemplo siguiente muestra cómo se deben usar los paréntesis para determinar el orden:For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order:

   user.country –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

Reglas con expresiones complejasRules with complex expressions

Una regla de pertenencia puede constar de expresiones complejas donde las propiedades, los operadores y los valores pueden adoptar formas más complejas.A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. Las expresiones se consideran complejas cuando se cumple alguna de las siguientes condiciones:Expressions are considered complex when any of the following are true:

  • La propiedad consta de una colección de valores, especialmente las propiedades con varios valoresThe property consists of a collection of values; specifically, multi-valued properties
  • Las expresiones usan los operadores -any y -allThe expressions use the -any and -all operators
  • El valor de la expresión puede incluir por sí mismo una o varias expresionesThe value of the expression can itself be one or more expressions

Propiedades de varios valoresMulti-value properties

Las propiedades de varios valores son colecciones de objetos del mismo tipo.Multi-value properties are collections of objects of the same type. Se pueden usar para crear reglas de pertenencia mediante los operadores lógicos -any y -all.They can be used to create membership rules using the -any and -all logical operators.

PropiedadesProperties ValoresValues UsoUsage
assignedPlansassignedPlans Cada objeto de la colección expone las siguientes propiedades de cadena: capabilityStatus, service, servicePlanIdEach object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

Uso de los operadores -any y -allUsing the -any and -all operators

Puede usar los operadores -any y -all para aplicar una condición a uno o todos los elementos de la colección, respectivamente.You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -any (se satisface cuando al menos un elemento de la colección coincide con la condición)-any (satisfied when at least one item in the collection matches the condition)
  • -all (se satisface cuando todos los elementos de la colección coinciden con la condición)-all (satisfied when all items in the collection match the condition)

Ejemplo 1Example 1

assignedPlans es una propiedad de varios valores que muestra todos los planes de servicio asignados al usuario.assignedPlans is a multi-value property that lists all service plans assigned to the user. En la expresión siguiente se seleccionarán los usuarios que tienen el plan de servicio (como valor de GUID) Exchange Online (Plan 2) que también está en estado Habilitado:The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

Una regla como esta se puede utilizar para agrupar todos los usuarios en los que la funcionalidad de Microsoft 365 (u otro servicio en línea de Microsoft) está habilitada.A rule such as this one can be used to group all users for whom an Microsoft 365 (or other Microsoft Online Service) capability is enabled. A continuación, podría solicitar la admisión en el grupo con un conjunto de directivas.You could then apply with a set of policies to the group.

Ejemplo 2Example 2

En la expresión siguiente se seleccionan todos los usuarios que tengan algún plan de servicio asociado con el servicio de Intune (identificado por el nombre de servicio "SCO"):The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

Ejemplo 3Example 3

La expresión siguiente selecciona todos los usuarios que no tienen ningún plan de servicio asignado:The following expression selects all users who have no asigned service plan:

user.assignedPlans -all (assignedPlan.servicePlanId -eq "")

Con la sintaxis de guión bajo (_)Using the underscore (_) syntax

La sintaxis de guión bajo (_) coincide con las apariciones de un valor específico en una de las propiedades de la colección de cadenas multivalor para agregar usuarios o dispositivos a un grupo dinámico.The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. Se usa con los operadores -any u -all.It is used with the -any or -all operators.

Este es un ejemplo de uso del guión bajo (_) en una regla para agregar miembros basados en user.proxyAddress (funciona de la misma forma para user.otherMails).Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). Esta regla agrega cualquier usuario con la dirección de proxy que contiene "contoso" al grupo.This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

Otras propiedades y reglas habitualesOther properties and common rules

Creación de una regla de "subordinados directos"Create a "Direct reports" rule

Puede crear un grupo con todos los subordinados directos de un administrador.You can create a group containing all direct reports of a manager. Cuando los subordinados directos de un administrador cambien en el futuro, la pertenencia del grupo se ajustará automáticamente.When the manager's direct reports change in the future, the group's membership is adjusted automatically.

La regla de subordinados directos se construye mediante la sintaxis siguiente:The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

El siguiente es un ejemplo de una regla válida donde "62e19b97-8b3d-4d4a-a106-4ce66896a863" es el identificador de objeto del administrador:Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

Las siguientes sugerencias pueden ayudarle a usar correctamente la regla.The following tips can help you use the rule properly.

  • El identificador del administrador es el identificador de objeto del administrador.The Manager ID is the object ID of the manager. Se puede encontrar en el perfil del administrador.It can be found in the manager's Profile.
  • Para que la regla funcione, asegúrese de que la propiedad de administrador esté establecida correctamente para los usuarios de la organización.For the rule to work, make sure the Manager property is set correctly for users in your organization. Puede comprobar el valor actual en el perfil de usuario.You can check the current value in the user's Profile.
  • Esta regla admite solo subordinados directos del administrador.This rule supports only the manager's direct reports. En otras palabras, no se puede crear un grupo con los subordinados directos del administrador y con los subordinados de estos.In other words, you can't create a group with the manager's direct reports and their reports.
  • Esta regla no se puede combinar con ninguna otra regla de pertenencia.This rule can't be combined with any other membership rules.

Creación de una regla de "todos los usuarios"Create an "All users" rule

Puede crear un grupo que contenga todos los usuarios de una organización mediante una regla de pertenencia.You can create a group containing all users within an organization using a membership rule. Cuando se agreguen o eliminen usuarios de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.When users are added or removed from the organization in the future, the group's membership is adjusted automatically.

La regla de "Todos los usuarios" se construye con una expresión única con el operador -ne y el valor null.The "All users" rule is constructed using single expression using the -ne operator and the null value. Esta regla agrega usuarios invitados de B2B, así como usuarios miembros al grupo.This rule adds B2B guest users as well as member users to the group.

user.objectId -ne null

Si quiere que el grupo excluya los usuarios invitados e incluya solo los miembros de la organización, puede usar la siguiente sintaxis:If you want your group to exclude guest users and include only members of your organization, you can use the following syntax:

(user.objectId -ne null) -and (user.userType -eq "Member")

Creación de una regla de "Todos los dispositivos"Create an "All devices" rule

Puede crear un grupo que contenga todos los dispositivos de una organización mediante una regla de pertenencia.You can create a group containing all devices within an organization using a membership rule. Cuando se agreguen o eliminen dispositivos de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.When devices are added or removed from the organization in the future, the group's membership is adjusted automatically.

La regla de "Todos los dispositivos" se construye con una expresión única con el operador -ne y el valor null:The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectId -ne null

Propiedades de extensión y propiedades de extensión personalizadasExtension properties and custom extension properties

Las reglas de pertenencia dinámica admiten los atributos de extensión y las propiedades de extensión personalizadas como propiedades de cadena.Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. Los atributos de extensión se sincronizan desde Windows Server AD local y tienen el formato "ExtensionAttributeX", donde X es igual a un número del 1 al 15.Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. Este es un ejemplo de una regla que utiliza un atributo de extensión como propiedad:Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

Las propiedades de extensión personalizadas se sincronizan desde una instancia de Windows Server AD local o desde una aplicación SaaS conectada y presentan el formato user.extension_[GUID]_[Attribute], donde:Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]_[Attribute], where:

  • [GUID] es el identificador único de Azure AD para la aplicación que creó la propiedad en Azure AD[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] es el nombre de la propiedad tal y como se creó[Attribute] is the name of the property as it was created

Un ejemplo de una regla que utiliza una propiedad de extensión personalizada es:An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

El nombre de la propiedad personalizada se puede encontrar en el directorio mediante la consulta de una propiedad de usuario a través del explorador de Graph y la búsqueda del nombre en cuestión.The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. También, ahora puede seleccionar el vínculo Get custom extension properties (Obtener propiedades de extensión personalizadas) en el generador de reglas dinámicas de grupos de usuarios para escribir un identificador de aplicación único y recibir la lista completa de propiedades de extensión personalizadas para usar al crear una regla de pertenencia dinámica.Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. Esta lista también se puede actualizar esta lista para obtener nuevas propiedades de extensión personalizada para la aplicación.This list can also be refreshed to get any new custom extension properties for that app.

Reglas de dispositivosRules for devices

También puede crear una regla que selecciona objetos de dispositivo para la pertenencia de un grupo.You can also create a rule that selects device objects for membership in a group. No puede tener usuarios y dispositivos como miembros del grupo a la vez.You can't have both users and devices as group members.

Nota

El atributo organizationalUnit ya no aparece y no debe usarse.The organizationalUnit attribute is no longer listed and should not be used. Intune establece esta cadena en casos concretos, pero Azure AD no la reconoce, por lo que no se agregan dispositivos a grupos basados este atributo.This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.

Nota

systemlabels es un atributo de solo lectura que no se puede establecer con Intune.systemlabels is a read-only attribute that cannot be set with Intune.

En Windows 10, el formato correcto del atributo deviceOSVersion es el siguiente: (device.deviceOSVersion -eq "10.0.17763").For Windows 10, the correct format of the deviceOSVersion attribute is as follows: (device.deviceOSVersion -eq "10.0.17763"). El formato se puede validar con el cmdlet Get-MsolDevice PowerShell.The formatting can be validated with the Get-MsolDevice PowerShell cmdlet.

Pueden utilizarse los siguientes atributos del dispositivo.The following device attributes can be used.

Atributo de dispositivoDevice attribute ValoresValues EjemploExample
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
DisplayNamedisplayName Cualquier valor de cadenaany string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType Cualquier valor de cadenaany string value (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
(device.deviceOSType -eq "Windows")(device.deviceOSType -eq "Windows")
deviceOSVersiondeviceOSVersion Cualquier valor de cadenaany string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
(device.deviceOSVersion -eq "10.0.17763.0")(device.deviceOSVersion -eq "10.0.17763.0")
deviceCategorydeviceCategory un nombre de la categoría de dispositivo válidoa valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer Cualquier valor de cadenaany string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel Cualquier valor de cadenaany string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership Personal, empresa, desconocidoPersonal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Nombre de perfil de inscripción de dispositivo de Apple, nombre de perfil de inscripción de dispositivo dedicado de Android Enterprise o nombre de perfil de Windows AutopilotApple Device Enrollment Profile name, Android Enterprise Corporate-owned dedicated device Enrollment Profile name, or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (para dispositivos móviles)MDM (for mobile devices)
PC (para equipos administrados por el agente de PC de Intune)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId un id. de dispositivo de Azure AD válidoa valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId un id. de objeto de Azure AD válidoa valid Azure AD object ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIdsdevicePhysicalIds cualquier valor de cadena usado por Autopilot, como todos los dispositivos AutoPilot, OrderID o PurchaseOrderIDany string value used by Autopilot, such as all Autopilot devices, OrderID, or PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")(device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabelssystemLabels cualquier cadena que coincida con la propiedad de dispositivo de Intune para etiquetar dispositivos del área de trabajo modernoany string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels -contains "M365Managed")(device.systemLabels -contains "M365Managed")

Nota

Para deviceOwnership, al crear grupos dinámicos para dispositivos, tiene que establecer el valor igual a "Compañía".For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". En Intune la propiedad del dispositivo se representa en su lugar como Corporativa.On Intune the device ownership is represented instead as Corporate. Consulte OwnerTypes para obtener más detalles.Refer to OwnerTypes for more details.

Pasos siguientesNext steps

En estos artículos se proporciona información adicional sobre los grupos en Azure Active Directory.These articles provide additional information on groups in Azure Active Directory.