Associação de grupo em um grupo dinâmico no Microsoft Entra ID

  • Artigo

Essa visualização de recurso no Microsoft Entra ID permite que os administradores criem grupos dinâmicos e unidades administrativas que são preenchidos adicionando membros de outros grupos usando o memberOf atributo. Os aplicativos que não podiam ler a associação baseada em grupo anteriormente no Microsoft Entra ID agora podem ler toda a associação desses novos memberOf grupos. Esses grupos não só podem ser usados para aplicativos, mas também podem ser usados para atribuições de licenciamento.

O diagrama a seguir ilustra como você pode criar o Dynamic-Group-A com membros do Security-Group-X e Security-Group-Y. Os membros dos grupos dentro do Security-Group-X e Security-Group-Y não se tornam membros do Dynamic-Group-A.

Diagrama que mostra como o atributo memberOf funciona.

Com essa visualização, os administradores podem configurar grupos dinâmicos com o memberOf atributo no portal do Azure, no Microsoft Graph e no PowerShell. Grupos de segurança, grupos do Microsoft 365 e grupos sincronizados do Ative Directory local podem ser adicionados como membros desses grupos dinâmicos. Todos eles também podem ser adicionados a um único grupo. Por exemplo, o grupo dinâmico pode ser um grupo de segurança, mas você pode usar grupos do Microsoft 365, grupos de segurança e grupos sincronizados localmente para definir sua associação.

Pré-requisitos

Apenas os administradores nas funções de Administrador Global, Administrador do Intune ou Administrador de Utilizadores podem utilizar o memberOf atributo para criar um grupo dinâmico do Microsoft Entra. Você deve ter uma licença do Microsoft Entra ID P1 ou P2 para o locatário do Microsoft Entra.

Limitações de pré-visualização

  • Cada locatário do Microsoft Entra é limitado a 500 grupos dinâmicos usando o memberOf atributo. Os memberOf grupos contam para a cota total de membros do grupo dinâmico de 15.000.
  • Cada grupo dinâmico pode ter até 50 grupos de membros.
  • Quando adiciona membros de grupos de segurança a memberOf grupos dinâmicos, apenas os membros diretos do grupo de segurança tornam-se membros do grupo dinâmico.
  • Não é possível usar um memberOf grupo dinâmico para definir a associação de outro memberOf grupo dinâmico. Por exemplo, o Grupo Dinâmico A, com membros do Grupo B e C, não pode ser membro do Grupo Dinâmico D.
  • O memberOf atributo não pode ser usado com outras regras. Por exemplo, uma regra que afirma que o grupo dinâmico A deve conter membros do grupo B e também deve conter apenas usuários localizados em Redmond falhará.
  • O construtor de regras de grupo dinâmico e o recurso de validação não podem ser usados no memberOf momento.
  • O memberOf atributo não pode ser usado com outros operadores. Por exemplo, não é possível criar uma regra que indique "Os membros do grupo A não podem estar no grupo dinâmico B".

Começar agora

Esse recurso pode ser usado no portal do Azure, no Microsoft Graph e no PowerShell. Como memberOf ainda não há suporte no construtor de regras, você deve inserir sua regra no editor de regras.

Criar um membroDe grupo dinâmico

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Selecione Novo grupo.
  4. Preencha os detalhes do grupo. O tipo de grupo pode ser Segurança ou Microsoft 365, e o tipo de associação pode ser definido como Usuário Dinâmico ou Dispositivo Dinâmico.
  5. Selecione Adicionar consulta dinâmica.
  6. MemberOf ainda não é suportado no construtor de regras. Selecione Editar para escrever a regra na caixa Sintaxe da regra.
    1. Exemplo de regra de usuário: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Exemplo de regra de dispositivo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Selecione OK.
  8. Selecione Criar grupo.