Eventos
9 de abr., 15 - 10 de abr., 12
Codifique o futuro com IA e conecte-se com colegas e especialistas em Java no JDConf 2025.
Registre-se agoraCriar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID
É possível usar regras para determinar grupos de associação dinâmica com base nas propriedades do usuário ou do dispositivo no Microsoft Entra ID, parte do Microsoft Entra. Este artigo informa como configurar uma regra de um grupo de associação dinâmica no portal do Azure.
A associação de grupo com base nas propriedades do usuário ou do dispositivo é compatível com grupos de segurança e grupos do Microsoft 365. Quando uma regra de grupo de associação dinâmica é aplicada, os atributos de usuário e de dispositivo são avaliados quanto às correspondências com a regra de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras de grupos de associação dinâmica na organização são processadas para alterações. Os usuários e dispositivos serão adicionados ou removidos se atenderem às condições de um grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter no máximo 15.000 grupos de associação dinâmica.
Observação
Os grupos de segurança podem ser usados para dispositivos ou usuários, mas os grupos do Microsoft 365 só podem incluir usuários.
Usar grupos de associação dinâmica requer a licença do Microsoft Entra ID P1 ou a licença do Intune para Educação. Para obter mais informações, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID para obter mais detalhes.
O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras dá suporte à construção de até cinco expressões. O construtor de regras torna mais fácil formar uma regra com algumas expressões simples, no entanto, ela não pode ser usada para reproduzir todas as regras. Se o construtor de regras não oferecer suporte à regra que você deseja criar, você poderá usar a caixa de texto.
Aqui estão alguns exemplos de regras ou sintaxe avançadas para as quais recomendamos que você construa usando a caixa de texto:
- Regra com mais de cinco expressões
- A regra de Subordinados diretos
- Como definir a precedência do operador
-
Regras com expressões complexas; por exemplo
(user.proxyAddresses -any (_ -contains "contoso"))
Observação
O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você poderá ver uma mensagem quando o construtor de regras não puder exibir a regra. O construtor de regras não altera a sintaxe compatível, a validação nem o processamento de regras de grupos de associação dinâmica de modo algum.
Para obter exemplos de sintaxe, propriedades compatíveis, operadores e valores para uma regra de associação, consulte Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Selecione Microsoft Entra ID.>Grupos.
Selecione Todos os grupos e selecione Novo grupo.
Na página Grupo, insira um nome e uma descrição para o novo grupo. Selecione um Tipo de associação para usuários ou dispositivo, e, em seguida, selecione Adicionar consulta dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.
Para ver as propriedades de extensão personalizadas disponíveis para a sua consulta de associação:
- Selecione Obter propriedades de extensão personalizadas
- Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.
Depois de criar a regra, selecione Salvar.
Na página Novo grupo, selecione Criar para criar o grupo.
Se a regra inserida não for válida, uma explicação de por que a regra não pôde ser processada será exibida em uma notificação no portal. Leia-a com cuidado para entender como corrigir a regra.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Selecione ID do Microsoft Entra.
Selecione Grupos>Todos os grupos.
Selecione um grupo para abrir o perfil do grupo.
Na página de perfil do grupo, selecione Regras de associação dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.
Para ver as propriedades de extensão personalizadas disponíveis para a sua regra de associação:
- Selecione Obter propriedades de extensão personalizadas
- Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.
Depois de atualizar a regra, selecione Salvar.
Quando um novo grupo do Microsoft 365 é criado, um email de boas-vindas é enviado para todos os usuários que foram adicionados ao grupo. Posteriormente, se algum atributo de um usuário ou dispositivo (somente para grupos de segurança) for alterado, todas as regras para grupos de associação dinâmica na organização serão processadas para alterações. Os usuários que são adicionados também recebem a notificação de boas-vindas. É possível desativar esse comportamento no PowerShell do Exchange.
Veja o status do processamento da regra e a data da última alteração de associação na página Visão Geral do grupo de associação dinâmica.
As seguintes mensagens de status podem ser mostradas para o status Processamento de regra dinâmica:
- Avaliando: a alteração do grupo foi recebida e as atualizações estão sendo avaliadas.
- Processando: as atualizações estão sendo processadas.
- Atualização completa: processamento concluído e todas as atualizações aplicáveis feitas.
- Erro de processamento: não foi possível concluir o processamento devido a um erro ao avaliar a regra de associação.
- Atualização pausada: Regra de atualização de grupo de associação dinâmica pausada pelo administrador. MembershipRuleProcessingState é definido como "Em pausa".
- Não iniciado: o processamento ainda não foi iniciado.
Observação
Nesta tela, agora você também pode optar por Pausar o processamento. Anteriormente, essa opção estava disponível somente por meio da modificação da propriedade membershipRuleProcessingState. Quem recebeu pelo menos a função de Administrador de grupos pode gerenciar essa configuração, bem como pausar e retomar o processamento do grupo de associação dinâmica. Os proprietários de grupo sem as funções corretas não têm os direitos necessários para editar essa configuração.
As seguintes mensagens de status podem ser mostradas para o status Última alteração de associação:
- < Data e hora>: a última vez em que a associação foi atualizada.
- Em Andamento: as atualizações estão em andamento no momento.
- Desconhecido: não é possível recuperar a hora da última atualização. O grupo pode ser novo.
Importante
Depois de pausar e retomar o processamento do grupo de associação dinâmica, a data da "Última alteração de associação" mostrará um valor de espaço reservado. Esse valor será atualizado assim que o processamento for concluído.
Se ocorrer um erro ao processar a regra de associação de um grupo específico, um alerta será mostrado na parte superior da página Visão Geral do grupo. Se nenhuma atualização de grupos de associação dinâmica pendente puder ser processada em nenhum dos grupos da organização por mais de 24 horas, um alerta será mostrado na parte superior da guia Todos os grupos.
Os artigos a seguir fornecem mais informações de como usar grupos no Microsoft Entra ID.
Recursos adicionais
Treinamento
Módulo
Gerenciar usuários e grupos no Microsoft Entra ID - Training
Gerenciar usuários e grupos no Microsoft Entra ID
Certificação
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.