Associação de grupo em um grupo dinâmico (versão prévia) na ID do Microsoft Entra

  • Artigo

A versão prévia desse recurso no Microsoft Entra ID permite que os administradores criem grupos dinâmicos e unidades administrativas que são preenchidos adicionando os membros de outros grupos usando o atributo memberOf. Os aplicativos que antes não podiam ler a associação baseada em grupo no Microsoft Entra ID já podem ler toda a associação desses novos grupos memberOf. Esses grupos não só podem ser usados para aplicativos, mas também podem ser usados para atribuição de licenciamento.

O diagrama a seguir ilustra como é possível criar o Grupo Dinâmico A com membros do Grupo de Segurança X e do Grupo de Segurança Y. Os membros dos grupos dentro do Grupo de Segurança X e do Grupo de Segurança Y não se tornam membros do Grupo Dinâmico A.

Diagram that shows how the memberOf attribute works.

Com essa versão prévia, os administradores podem configurar grupos dinâmicos com o atributo memberOf no portal do Azure, no Microsoft Graph e no PowerShell. Grupos de segurança, grupos do Microsoft 365 e grupos sincronizados pelo Active Directory local podem ser adicionados como membros desses grupos dinâmicos. Eles também podem ser adicionados a um único grupo. Por exemplo, o grupo dinâmico pode ser um grupo de segurança, mas você pode usar grupos do Microsoft 365, grupos de segurança e grupos sincronizados do local para definir a associação.

Pré-requisitos

Somente administradores na função de Administrador Global, Administrador do Intune ou Administrador de Usuários podem usar o atributo memberOf para criar um grupo dinâmico do Microsoft Entra. Você deve ter uma licença P1 ou P2 da ID do Microsoft Entra para o locatário do Microsoft Entra.

Limitações de visualização

  • Cada locatário do Microsoft Entra é limitado a 500 grupos dinâmicos usando o atributo memberOf. Os grupos memberOf contam para a cota total de membros do grupo dinâmico de 5.000.
  • Cada grupo dinâmico pode ter grupos de até 50 membros.
  • Quando você adiciona membros de grupos de segurança a grupos dinâmicos de memberOf, apenas os membros diretos do grupo de segurança se tornam membros do grupo dinâmico.
  • Você não pode usar um grupo dinâmico de memberOf para definir a associação de outro grupo dinâmico de memberOf. Por exemplo, o Grupo Dinâmico A, com membros do grupo B e C contidos nele, não pode ser membro do Grupo Dinâmico D.
  • O atributo memberOf não pode ser usado com outras regras. Por exemplo, uma regra que afirme que o grupo dinâmico A deve conter membros do grupo B e também deve conter apenas usuários localizados em Redmond falhará.
  • O construtor de regras de grupo dinâmico e o recurso de validação não podem ser usados para memberOf no momento.
  • O atributo memberOf não pode ser usado com outros operadores. Por exemplo, não é possível criar uma regra que afirme que "Membros do grupo A não podem estar no grupo Dinâmico B".

Introdução

Esse recurso pode ser usado no portal do Azure, no Microsoft Graph e no PowerShell. Como memberOf ainda não tem suporte no construtor de regras, é necessário inserir sua regra no editor de regras.

Criar um grupo dinâmico de memberOf

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue atéIdentidade>Grupos>Todos os grupos.
  3. Selecione Novo grupo.
  4. Preencha os detalhes do grupo. O tipo de grupo pode ser Segurança ou Microsoft 365 e o tipo de associação pode ser definido como Usuário Dinâmico ou Dispositivo Dinâmico.
  5. Selecione Adicionar consulta dinâmica.
  6. MemberOf ainda não tem suporte no construtor de regras. Selecione Editar para gravar a regra na caixa Sintaxe da regra.
    1. Exemplo de regra de usuário: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Exemplo de regra de dispositivo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Selecione OK.
  8. Selecione Criar grupo.