Criar ou atualizar um grupo dinâmico no Microsoft Entra ID

  • Artigo

Você pode usar regras para determinar a associação ao grupo com base nas propriedades do usuário ou dispositivo No Microsoft Entra ID, parte do Microsoft Entra. Este artigo explica como configurar uma regra para um grupo dinâmico no portal do Azure.

A associação dinâmica é suportada para grupos de segurança e Grupos do Microsoft 365. Quando uma regra de associação de grupo é aplicada, os atributos de usuário e dispositivo são avaliados quanto a correspondências com a regra de associação. Quando um atributo é alterado para um usuário ou dispositivo, todas as regras de grupo dinâmico na organização são processadas para alterações de associação. Os utilizadores e dispositivos são adicionados ou removidos se cumprirem as condições de um grupo.

Os grupos de segurança podem ser usados para dispositivos ou usuários, mas os Grupos do Microsoft 365 podem ser apenas grupos de usuários. O uso de grupos dinâmicos requer a licença do Microsoft Entra ID P1 ou a licença do Intune for Education. Consulte Regras de associação dinâmicas para grupos para obter mais detalhes.

Construtor de regras no portal do Azure

O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras suporta a construção de até cinco expressões. O construtor de regras facilita a formação de uma regra com algumas expressões simples, no entanto, ela não pode ser usada para reproduzir todas as regras. Se o construtor de regras não suportar a regra que pretende criar, pode utilizar a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe para as quais recomendamos que você construa usando a caixa de texto:

Nota

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você pode ver uma mensagem quando o construtor de regras não conseguir exibir a regra. O construtor de regras não altera a sintaxe, a validação ou o processamento suportados de regras de grupo dinâmico de forma alguma.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Para obter exemplos de sintaxe, propriedades, operadores e valores suportados para uma regra de associação, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.

Para criar uma regra de associação de grupo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.>Grupos.

  3. Selecione Todos os grupos e selecione Novo grupo.

    Screenshot showing how to select the Add new group action.

  4. Na página Grupo, insira um nome e uma descrição para o novo grupo. Selecione um Tipo de associação para usuários ou dispositivos e, em seguida, selecione Adicionar consulta dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

    Screenshot that shows the All groups page with the New group action selected.

  5. Para ver as propriedades de extensão personalizadas disponíveis para sua consulta de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e selecione Atualizar propriedades.

  6. Depois de criar a regra, selecione Salvar.

  7. Selecione Criar na página Novo grupo para criar o grupo .

Se a regra inserida não for válida, uma explicação do motivo pelo qual a regra não pôde ser processada será exibida em uma notificação no portal. Leia com atenção para entender como corrigir a regra.

Para atualizar uma regra existente

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos>Todos os grupos.

  4. Selecione um grupo para abrir seu perfil.

  5. Na página de perfil do grupo, selecione Regras de associação dinâmicas. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Para ver as propriedades de extensão personalizadas disponíveis para sua regra de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e selecione Atualizar propriedades.

  7. Depois de atualizar a regra, selecione Salvar.

Ativar ou desativar o e-mail de boas-vindas

Quando um novo grupo do Microsoft 365 é criado, uma notificação por email de boas-vindas é enviada aos usuários que são adicionados ao grupo. Mais tarde, se quaisquer atributos de um usuário ou dispositivo (somente no caso de grupos de segurança) forem alterados, todas as regras de grupo dinâmico na organização serão processadas para alterações de associação. Os usuários que são adicionados também recebem a notificação de boas-vindas. Você pode desativar esse comportamento no Exchange PowerShell.

Verificar o status de processamento de uma regra

Você pode ver o status de processamento da regra dinâmica e a data da última alteração de associação na página Visão geral do grupo.

Screenshot of a diagram of the dynamic group status.

As seguintes mensagens de status podem ser mostradas para o status de processamento de regras dinâmicas:

  • Avaliação: A mudança de grupo foi recebida e as atualizações estão sendo avaliadas.
  • Processamento: As atualizações estão sendo processadas.
  • Atualização concluída: O processamento foi concluído e todas as atualizações aplicáveis foram feitas.
  • Erro de processamento: o processamento não pôde ser concluído devido a um erro ao avaliar a regra de associação.
  • Atualização pausada: as atualizações da regra de associação dinâmica foram pausadas pelo administrador. MembershipRuleProcessingState está definido como "Paused".

Nota

Nesta tela, agora você também pode optar por Pausar o processamento. Anteriormente, essa opção só estava disponível por meio da modificação da propriedade membershipRuleProcessingState. Os administradores globais, os administradores de grupo, os administradores de utilizadores e os administradores do Intune podem gerir esta definição e podem pausar e retomar o processamento de grupos dinâmicos. Os proprietários de grupos sem as funções corretas não têm os direitos necessários para editar essa configuração.

As seguintes mensagens de status podem ser mostradas para o status Última alteração de associação:

  • <Data e hora>: A última vez que a associação foi atualizada.
  • Em andamento: As atualizações estão atualmente em andamento.
  • Desconhecido: A última hora de atualização não pode ser recuperada. O grupo pode ser novo.

Importante

Depois de pausar e cancelar a pausa da associação ao grupo dinâmico, a data "Última alteração de associação" mostrará um valor de espaço reservado. Este valor será atualizado assim que o processamento for concluído.

Se ocorrer um erro durante o processamento da regra de associação para um grupo específico, um alerta será exibido na parte superior da página Visão geral do grupo. Se nenhuma atualização de associação dinâmica pendente puder ser processada para todos os grupos dentro da organização por mais de 24 horas, um alerta será exibido na parte superior de Todos os grupos.

Screenshot showing how to process error message alerts.

Próximos passos

Os seguintes artigos fornecem informações adicionais sobre como usar grupos no Microsoft Entra ID.