Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede cambiar la pertenencia de un grupo de estático a dinámico (o viceversa) en el id. de Microsoft Entra. Microsoft Entra ID mantiene el mismo nombre e identificador del grupo en el sistema, por lo que todas las referencias existentes al grupo siguen siendo válidas. Si crea un nuevo grupo en su lugar, debe actualizar esas referencias.
La creación de grupos de pertenencia dinámica elimina la sobrecarga de administración de agregar y quitar usuarios. En este artículo se muestra cómo convertir los grupos de pertenencia existentes de estáticos a dinámicos mediante Azure Portal o cmdlets de PowerShell. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.
Advertencia
Al cambiar un grupo estático existente a un grupo dinámico, se quitan todos los miembros existentes del grupo. A continuación, se procesa la regla de pertenencia para agregar nuevos miembros. Si el grupo se usa para controlar el acceso a aplicaciones o recursos, es posible que los miembros originales pierdan acceso hasta que la regla de pertenencia se procese por completo.
Es recomendable que pruebes la nueva regla de pertenencia con antelación para asegurarte de que la nueva pertenencia al grupo es la que se preveía. Si se producen errores durante la prueba, consulta Resolución de problemas de licencias de grupo.
Prerrequisitos
Para cambiar el tipo de pertenencia mediante el portal, necesita una cuenta que tenga al menos el rol Administrador de grupos .
Para cambiar las propiedades de grupo dinámico mediante PowerShell, debe usar cmdlets del módulo de PowerShell de Microsoft Graph. Para más información, vea Instalación del SDK de PowerShell en Microsoft Graph.
Cambiar el tipo de pertenencia de un grupo (portal)
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de grupos.
Seleccione Microsoft Entra ID.
Seleccione Grupos.
En la lista Todos los grupos , abra el grupo que desea cambiar.
Selecciona Propiedades.
En la página Propiedades del grupo, seleccione un valor de Tipo de pertenencia asignado (estático),Usuario dinámico o Dispositivo dinámico, según el tipo de pertenencia deseado. Para los grupos de pertenencia dinámica, puedes usar el generador de reglas para seleccionar opciones para una regla sencilla o escribir tu propia regla de pertenencia.
Los pasos siguientes son un ejemplo de cómo cambiar un grupo de usuarios de grupos de pertenencia estáticos a dinámicos:
En Tipo de pertenencia, seleccione Usuario dinámico. En el cuadro de diálogo que explica los cambios en los grupos de pertenencia dinámica, seleccione Sí para continuar.
Selecciona Agregar una consulta dinámica y, a continuación, proporciona la regla.
Después de crear la regla, seleccione Agregar consulta.
En la página Propiedades del grupo, seleccione Guardar para guardar los cambios. El tipo de pertenencia del grupo se actualiza inmediatamente en la lista de grupos.
Sugerencia
Es posible que se produzca un error en la conversión de grupo si la regla de pertenencia especificada no es correcta. En la esquina superior derecha del portal, una notificación explica por qué no se puede aceptar la regla. Léela con cuidado para saber cómo debes ajustar la regla para que sea válida. Para ver ejemplos de sintaxis de reglas y una lista completa de las propiedades, operadores y valores admitidos para una regla de pertenencia, consulta Administración de reglas de grupos de pertenencia dinámica en Microsoft Entra ID.
Cambiar el tipo de pertenencia de un grupo (PowerShell)
Este es un ejemplo de funciones que cambian la administración de pertenencia a un grupo existente. En este ejemplo se manipula correctamente la GroupTypes propiedad para conservar los valores que no están relacionados con los grupos de pertenencia dinámica.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Para que un grupo sea estático, use este comando:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Para que un grupo sea dinámico, use este comando:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""