Creación o actualización de un grupo de pertenencia dinámica en Microsoft Entra ID

Puedes usar reglas para determinar los grupos de pertenencia dinámica según las propiedades de usuario o dispositivo en Microsoft Entra ID, parte de Microsoft Entra. En este artículo se explica cómo configurar una regla para grupos de pertenencia dinámica en Azure Portal.

La pertenencia a grupos en función de las propiedades de usuario o dispositivo es compatible con grupos de seguridad y grupos de Microsoft 365. Cuando se aplica una regla para un grupo de pertenencia dinámica, se evalúan los atributos de usuario y dispositivo para ver si coinciden con la regla de pertenencia. Cuando cambia un atributo de un usuario o dispositivo, se procesan todas las reglas de grupos de pertenencia dinámica de la organización. Los usuarios y dispositivos se agregan o quitan si cumplen las condiciones de un grupo de pertenencia dinámica. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.

Nota

Los grupos de seguridad se pueden usar para dispositivos o usuarios, pero los grupos de Microsoft 365 solo pueden incluir usuarios.

Para usar los grupos de pertenencia dinámica, se necesita una licencia de Microsoft Entra ID P1 o una licencia de Intune para Educación. Para obtener más información, consulte Administrar reglas para grupos de pertenencia dinámica en Microsoft Entra ID.

Generador de reglas en Azure Portal

Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Facilita la creación de reglas con unas cuantas expresiones sencillas; no obstante, no se puede usar para reproducir todas las reglas. En caso de que no admita la regla que quiere crear, puede usar el cuadro de texto.

Estos son algunos ejemplos de reglas o sintaxis avanzadas para las que se recomienda construir mediante el cuadro de texto:

• Regla con más de cinco expresiones
• La regla de subordinados directos
• Configuración de la precedencia de operadores
• Reglas con expresiones complejas; por ejemplo, (user.proxyAddresses -any (_ -contains "contoso"))

Nota

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. En este caso, podría aparecer un mensaje. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos de pertenencia dinámica de ninguna manera.

Para ver ejemplos de sintaxis, propiedades admitidas, operadores y valores de una regla de pertenencia, consulta Administración de reglas de grupos de pertenencia dinámica de Microsoft Entra ID.

Para crear una regla para un grupo de pertenencia dinámica

1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

2. Selecciona Microsoft Entra ID>Grupos.

3. Selecciona Todos los grupos y, luego, Nuevo grupo.

   

4. En la página Grupo, escribe un nombre y una descripción para el nuevo grupo. Selecciona un tipo de pertenencia para los usuarios o dispositivos y, luego, selecciona Agregar una consulta dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debes usar el cuadro de texto.

   

5. Para ver las propiedades de extensión personalizadas disponibles para tu consulta de pertenencia:

   1. Selecciona Obtener las propiedades de extensión personalizadas.
   2. Escribe el identificador de aplicación y, luego, selecciona Actualizar propiedades.

6. Después de crear la regla, selecciona Guardar.

7. Selecciona Crear en la página Nuevo grupo para crear el grupo.

Si la regla introducida no es válida, se muestra una explicación de por qué no se pudo procesar la regla en una notificación en el portal. Léela con cuidado para saber cómo corregir la regla.

Para actualizar una regla existente

1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

2. Selecciona Microsoft Entra ID.

3. Selecciona Grupos>Todos los grupos.

4. Selecciona un grupo para abrir su perfil.

5. En la página de perfil del grupo, selecciona Reglas de pertenencia dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debes usar el cuadro de texto.

   

6. Para ver las propiedades de extensión personalizadas disponibles para tu regla de pertenencia:

   1. Selecciona Obtener las propiedades de extensión personalizadas.
   2. Escribe el identificador de aplicación y, luego, selecciona Actualizar propiedades.

7. Después de actualizar la regla, selecciona Guardar.

Activación o desactivación del correo electrónico de bienvenida

Cuando se crea un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida por correo a los usuarios que se agregaron al grupo. Más adelante, si cambian los atributos de un usuario o dispositivo (solo para grupos de seguridad), se procesan todas las reglas de los grupos de pertenencia dinámica de la organización para los cambios. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Comprobación del estado de procesamiento de una regla

Puedes ver el estado de procesamiento de la regla y la fecha del último cambio de pertenencia en la página Información general del grupo de pertenencia dinámica.

Los mensajes de estado siguientes se pueden mostrar para el estado de procesamiento de la regla dinámica:

• Evaluando: se ha recibido el cambio de grupo y las actualizaciones se están evaluando.
• Procesamiento: las actualizaciones se están procesando.
• Actualización Completa: Procesamiento Completado y Todas las Actualizaciones Aplicables Realizadas.
• Error de procesamiento: no se pudo completar el procesamiento debido a un error al evaluar la regla de pertenencia.
• Actualización pausada: regla para las actualizaciones del grupo de pertenencia dinámica pausadas por el administrador. MembershipRuleProcessingState se establece en "Paused".
• No iniciado: todavía no se ha iniciado el procesamiento.

Nota

En esta pantalla también puedes elegir Pausar el procesamiento. Anteriormente, esta opción solo estaba disponible a través de la modificación de la propiedad membershipRuleProcessingState. Aquellos que tengan asignado al menos el rol Administrador de grupos pueden administrar esta configuración y pueden pausar y reanudar el procesamiento del grupo de pertenencia dinámica. Los propietarios de grupos sin los roles correctos no tienen los derechos necesarios para editar esta configuración.

Los mensajes de estado siguientes se pueden mostrar para el estado del último cambio de pertenencia:

• < Fecha y hora>: la última vez que se actualizó la pertenencia.
• En curso: las actualizaciones están actualmente en curso.
• Desconocido: no se puede recuperar la hora de la última actualización. El grupo podría ser nuevo.

Importante

Después de pausar y reanudar el procesamiento de los grupos de pertenencia dinámica, la fecha "Último cambio de pertenencia" mostrará un valor de marcador de posición. Este valor se actualizará una vez completado el procesamiento.

Si se produce un error al procesar la regla de pertenencia para un grupo específico, se muestra una alerta en la parte superior de la página de información general del grupo. Si no se puede procesar ninguna actualización de grupos de pertenencia dinámica pendiente para todos los grupos de la organización durante más de 24 horas, se muestra una alerta en la parte superior de Todos los grupos.

Pasos siguientes

En los siguientes artículos se proporciona información adicional sobre cómo usar los grupos en Microsoft Entra ID.

• Consulta de los grupos existentes
• Crear un nuevo grupo y agregar miembros
• Administración de la configuración de un grupo
• Administrar la pertenencia a grupos
• Administración de reglas de grupos de pertenencia dinámica para usuarios