Criar ou atualizar um grupo dinâmico no Azure Active Directory

No Azure Active Directory (Azure AD), você pode criar grupos aplicando regras para determinar a associação de grupo com base nas propriedades do usuário ou do dispositivo. Este artigo informa como configurar uma regra de um grupo dinâmico no portal do Azure. A associação dinâmica é compatível com grupos de segurança e grupos do Microsoft 365. Quando uma regra de associação de grupo é aplicada, os atributos de usuário e de dispositivo são avaliados para que se verifiquem as correspondências com a regra de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras de grupos dinâmicos na organização são processadas para possíveis alterações de associação. Os usuários e dispositivos serão adicionados ou removidos se atenderem às condições de um grupo. Os grupos de segurança podem ser usados para dispositivos ou usuários, mas os grupos do Microsoft 365 grupos só podem ser grupos de usuários. Usar grupos dinâmicos requer licença P1 premium do Azure AD ou licença do Intune para Educação. Consulte as Regras de associação dinâmica para grupos para obter mais detalhes.

Construtor de regras no portal do Azure

O Azure AD fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras dá suporte à construção de até cinco expressões. O construtor de regras torna mais fácil formar uma regra com algumas expressões simples, no entanto, ela não pode ser usada para reproduzir todas as regras. Se o construtor de regras não oferecer suporte à regra que você deseja criar, você poderá usar a caixa de texto.

Aqui estão alguns exemplos de regras ou sintaxe avançadas para as quais recomendamos que você construa usando a caixa de texto:

Observação

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você poderá ver uma mensagem quando o construtor de regras não puder exibir a regra. O construtor de regras não altera a sintaxe com suporte, a validação nem o processamento de regras de grupo dinâmicas de modo algum.

Screenshot that shows the

Para obter exemplos de sintaxe, propriedades com suporte, operadores e valores para uma regra de associação, consulte Regras de associação dinâmica para grupos no Azure Active Directory.

Para criar uma regra de associação de grupo

  1. Conecte-se ao Centro de Administração do Microsoft Azure AD usando uma conta que tenha a função de administrador global, administrador de serviços do Intune ou administrador de usuários na organização do Azure AD.

  2. Pesquise e selecione Grupos.

  3. Selecione Todos os grupos e selecione Novo grupo.

    Screenshot showing how to select the

  4. Na página Grupo, insira um nome e uma descrição para o novo grupo. Selecione um Tipo de associação para usuários ou dispositivo, e, em seguida, selecione Adicionar consulta dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.

    Screenshot that shows the

  5. Para ver as propriedades de extensão personalizadas disponíveis para a sua consulta de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.
  6. Depois de criar a regra, selecione Salvar.

  7. Na página Novo grupo, selecione Criar para criar o grupo.

Se você inserir uma regra que não é válida, o motivo pelo qual a regra não pôde ser processada será exibido em uma notificação do Azure no Portal. Leia-a com cuidado para entender como corrigir a regra.

Atualizar uma função existente

  1. Conecte-se ao Centro de Administração do Azure AD usando uma conta que tenha a função de administrador global, administrador de serviços do Intune ou administrador de usuários na organização do Azure AD.

  2. Selecione Grupos>Todos os grupos.

  3. Selecione um grupo para abrir o perfil do grupo.

  4. Na página de perfil do grupo, selecione Regras de associação dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.

    Screenshot showing how to add a membership rule for a dynamic group

  5. Para ver as propriedades de extensão personalizadas disponíveis para a sua consulta de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.
  6. Depois de criar a regra, selecione Salvar.

Ativar ou desativar email de boas-vindas

Quando um novo grupo do Microsoft 365 é criado, um email de boas-vindas é enviado para todos os usuários que foram adicionados ao grupo. Posteriormente, se algum atributo de um usuário ou dispositivo for alterado (apenas no caso de grupos de segurança), todas as regras de grupos dinâmicos da organização serão processadas nas alterações de associação. Os usuários que são adicionados também recebem a notificação de boas-vindas. É possível desativar esse comportamento no PowerShell do Exchange.

Verificar o status de processamento de uma regra

Veja o status do processamento de regra dinâmica e da última alteração de associação na página Visão Geral do grupo.

Diagram of dynamic group status

As seguintes mensagens de status podem ser mostradas para o status Processamento de regra dinâmica:

  • Avaliando: a alteração do grupo foi recebida e as atualizações estão sendo avaliadas.
  • Processando: as atualizações estão sendo processadas.
  • Atualização concluída: o processamento foi concluído e todas as atualizações aplicáveis foram feitas.
  • Erro de processamento: não foi possível concluir o processamento devido a um erro ao avaliar a regra de associação.
  • Atualização em pausa: as atualizações da regra de associação dinâmica foram pausadas pelo administrador. MembershipRuleProcessingState é definido como "Em pausa".

As seguintes mensagens de status podem ser mostradas para o status Última alteração de associação:

  • <Data e hora>: a última vez em que a associação foi atualizada.
  • Em Andamento: as atualizações estão em andamento no momento.
  • Desconhecido: não é possível recuperar a hora da última atualização. O grupo pode ser novo.

Se ocorrer um erro ao processar a regra de associação de um grupo específico, um alerta será mostrado na parte superior da página Visão Geral do grupo. Se nenhuma atualização de associação dinâmica pendente puder ser processada em nenhum dos grupos do locatário por mais de 24 horas, um alerta será mostrado na parte superior da guia Todos os grupos.

Screenshot showing how to process error message alerts

Próximas etapas

Os artigos a seguir fornecem mais informações de como usar grupos no Azure Active Directory.