Creare o aggiornare un gruppo dinamico in Microsoft Entra ID

  • Articolo

È possibile usare le regole per determinare l'appartenenza al gruppo in base alle proprietà dell'utente o del dispositivo in Microsoft Entra ID, parte di Microsoft Entra. Questo articolo descrive come configurare una regola per un gruppo dinamico nel portale di Azure.

L'appartenenza dinamica è supportata per i gruppi di sicurezza e i Gruppi di Microsoft 365. Quando viene applicata una regola di appartenenza ai gruppi, gli attributi utente e dispositivo vengono valutati per le corrispondenze con la regola di appartenenza. Quando un attributo cambia per un utente o un dispositivo, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per le modifiche di appartenenza. Gli utenti e i dispositivi vengono aggiunti o rimossi se soddisfano le condizioni per un gruppo.

I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma Gruppi di Microsoft 365 possono essere solo gruppi di utenti. L'uso di gruppi dinamici richiede la licenza Microsoft Entra ID P1 o la licenza di Intune per Education. Per altri dettagli, vedere Regole di appartenenza dinamica per i gruppi .

Generatore di regole nel portale di Azure

Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare più rapidamente le regole importanti. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.

Di seguito sono riportati alcuni esempi di regole o sintassi avanzate che si consiglia di generare utilizzando la casella di testo:

Nota

Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Può essere visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole di gruppo dinamiche supportate.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Per esempi di sintassi, proprietà, operatori e valori supportati per una regola di appartenenza, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.

Per creare una regola di appartenenza a un gruppo

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Selezionare Microsoft Entra ID.Select Microsoft Entra ID.>Gruppi.

  3. Selezionare Tutti i gruppi e selezionare Nuovo gruppo.

    Screenshot showing how to select the Add new group action.

  4. Nella pagina Gruppo immettere un nome e una descrizione per il nuovo gruppo. Selezionare un tipo di appartenenza per utenti o dispositivi e quindi selezionare Aggiungi query dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

    Screenshot that shows the All groups page with the New group action selected.

  5. Per visualizzare le proprietà di estensione personalizzate disponibili per la query di appartenenza:

    1. Selezionare Recupera proprietà dell'estensione personalizzata
    2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.

  6. Dopo aver creato la regola, selezionare Salva.

  7. Selezionare Crea nella pagina Nuovo gruppo per creare il gruppo.

Se la regola immessa non è valida, viene visualizzata una spiegazione del motivo per cui non è stato possibile elaborare la regola in una notifica nel portale. Leggere attentamente per comprendere come correggere la regola.

Per aggiornare una regola esistente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare Gruppi>Tutti i gruppi.

  4. Selezionare un gruppo per aprirlo.

  5. Nella pagina del profilo per il gruppo selezionare Regole di appartenenza dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Per visualizzare le proprietà di estensione personalizzate disponibili per la regola di appartenenza:

    1. Selezionare Recupera proprietà dell'estensione personalizzata
    2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.

  7. Dopo aver aggiornato la regola, selezionare Salva.

Attivare o disattivare il messaggio di posta elettronica di benvenuto

Quando viene creato un nuovo gruppo di Microsoft 365, viene inviata una notifica di posta elettronica di benvenuto agli utenti aggiunti al gruppo. In seguito, se gli attributi di un utente o di un dispositivo (solo in caso di gruppi di sicurezza) cambiano, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per le modifiche di appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Controllare lo stato di elaborazione per una regola

È possibile visualizzare lo stato di elaborazione delle regole dinamiche e l'ultima data di modifica dell'appartenenza nella pagina Panoramica del gruppo.

Screenshot of a diagram of the dynamic group status.

Per lo stato di elaborazione delle regole dinamiche è possibile visualizzare i messaggi di stato seguenti:

  • Valutazione: la modifica dei gruppi è stata ricevuta e gli aggiornamenti sono in fase di valutazione.
  • Elaborazione: gli aggiornamenti sono in fase di elaborazione.
  • Aggiornamento completato: l’elaborazione è stata completata e tutti gli aggiornamenti sono stati apportati.
  • Errore di elaborazione: impossibile completare l'elaborazione a causa di un errore durante la valutazione della regola di appartenenza.
  • Aggiornamento sospeso: regola di appartenenza dinamica, gli aggiornamenti sono stati sospesi dall'amministratore. MembershipRuleProcessingState è impostato su "Paused".

Nota

In questa schermata è anche possibile scegliere Sospendi elaborazione. In precedenza, questa opzione era disponibile solo tramite la modifica della proprietà membershipRuleProcessingState. Gli amministratori globali, gli amministratori di gruppo, gli amministratori degli utenti e gli amministratori di Intune possono gestire questa impostazione e possono sospendere e riprendere l'elaborazione dinamica dei gruppi. I proprietari del gruppo senza i ruoli corretti non dispongono dei diritti necessari per modificare questa impostazione.

I messaggi di stato seguenti possono essere visualizzati per Stato ultima modifica appartenenza:

  • <Data e ora>: ora dell'ultimo aggiornamento dell'appartenenza.
  • In corso: aggiornamenti in corso.
  • Sconosciuto: non è possibile recuperare l'ora dell'ultimo aggiornamento. Il gruppo potrebbe essere nuovo.

Importante

Dopo la sospensione e l'annullamento delpauso dell'appartenenza dinamica al gruppo, la data "Ultima modifica dell'appartenenza" mostrerà un valore segnaposto. Questo valore verrà aggiornato al termine dell'elaborazione.

Se si verifica un errore durante l'elaborazione della regola di appartenenza per un gruppo specifico, un avviso viene visualizzato nella parte superiore della Pagina di panoramica per il gruppo. Se non è possibile elaborare aggiornamenti di appartenenza dinamica in sospeso per tutti i gruppi all'interno dell'organizzazione per più di 24 ore, viene visualizzato un avviso nella parte superiore di Tutti i gruppi.

Screenshot showing how to process error message alerts.

Passaggi successivi

Gli articoli seguenti forniscono informazioni aggiuntive su come usare i gruppi in Microsoft Entra ID.