Cambio de grupos estáticos a los grupos de pertenencia dinámica en Microsoft Entra ID
Puedes cambiar la pertenencia de un grupo de estático a dinámico (o viceversa) en Microsoft Entra ID, parte de Microsoft Entra. Microsoft Entra ID mantiene el mismo nombre e identificador del grupo en el sistema, por lo que todas las referencias existentes al grupo siguen siendo válidas. Si creas un nuevo grupo en su lugar, deberás actualizar esas referencias. La creación de grupos de pertenencia dinámica elimina la sobrecarga de administración al agregar y quitar usuarios. Este artículo explica cómo convertir los grupos existentes de grupos de pertenencia estática a dinámica mediante el portal o cmdlets de PowerShell. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.
Advertencia
Al cambiar un grupo estático existente a uno dinámico, se eliminarán todos sus miembros y, a continuación, se procesará la regla de pertenencia para agregar nuevos miembros. Si el grupo se usa para controlar el acceso a aplicaciones o recursos, ten en cuenta que los miembros originales podrían perder el acceso hasta que se procese por completo la regla de pertenencia.
Es recomendable que pruebes la nueva regla de pertenencia con antelación para asegurarte de que la nueva pertenencia al grupo es la que se preveía. Si se producen errores durante la prueba, consulta Resolución de problemas de licencias de grupo.
Cambio del tipo de pertenencia de un grupo
Los pasos siguientes se pueden realizar mediante una cuenta que tenga al menos el rol Administrador de grupos asignado.
- Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.
- Selecciona Microsoft Entra ID.
- Grupos.
- En la lista Todos los grupos, abre el grupo que deseas cambiar.
- Selecciona Propiedades.
- En la página Propiedades del grupo, selecciona un Tipo de pertenencia, ya sea Asignada (estática), Usuario dinámico o Dispositivo dinámico, según el tipo de pertenencia que desees. Para los grupos de pertenencia dinámica, puedes usar el generador de reglas para seleccionar opciones para una regla sencilla o escribir tu propia regla de pertenencia.
Los pasos siguientes son un ejemplo de cómo cambiar un grupo de usuarios para que pase de una pertenencia estática a una dinámica.
En la página Propiedades del grupo seleccionado, elige un tipo de pertenencia de Usuario dinámico y, a continuación, selecciona Sí en el cuadro de diálogo que explica los cambios en los grupos de pertenencia dinámica para continuar.
Selecciona Agregar una consulta dinámica y, a continuación, proporciona la regla.
Después de crear la regla, selecciona Agregar consulta en la parte inferior de la página.
Selecciona Guardar en la página Propiedades del grupo para guardar los cambios. El tipo de pertenencia del grupo se actualiza inmediatamente en la lista de grupos.
Sugerencia
Es posible que la conversión del grupo produzca un error si la regla de pertenencia que escribió no era correcta. Aparecerá una notificación en la esquina superior derecha del portal, con una explicación de por qué el sistema no pudo aceptar la regla. Léela con cuidado para saber cómo debes ajustar la regla para que sea válida. Para ver ejemplos de sintaxis de reglas y una lista completa de las propiedades, operadores y valores admitidos para una regla de pertenencia, consulta Administración de reglas de grupos de pertenencia dinámica en Microsoft Entra ID.
Cambio del tipo de pertenencia de un grupo (PowerShell)
Nota:
Para cambiar las propiedades del grupo dinámico, debes usar los cmdlets del módulo de PowerShell de Microsoft Graph. Para obtener más información, consulta Instalación del SDK de PowerShell de Microsoft Graph.
Este es un ejemplo e las funciones que cambian la administración de la pertenencia a un grupo existente. En este ejemplo, se actúa con precaución para manipular correctamente la propiedad GroupTypes y preservar todos los valores que no tienen relación con los grupos de pertenencia dinámica.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Para convertir un grupo en estático:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Para convertir un grupo en dinámico:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Pasos siguientes
En estos artículos se proporciona información adicional sobre los grupos en Microsoft Entra ID.