Crear o actualizar un grupo dinámico en Microsoft Entra ID

  • Artículo

Puede usar reglas para determinar la pertenencia a grupos según las propiedades de usuario o dispositivo en Microsoft Entra ID, parte de Microsoft Entra. En este artículo se explica cómo configurar una regla para un grupo dinámico en Azure Portal.

La pertenencia dinámica es compatible con grupos de seguridad y grupos de Microsoft 365. Cuando se aplica una regla de pertenencia a grupos, se evalúan los atributos de usuario y dispositivo para ver si coinciden con la regla de pertenencia. Cuando cambian los atributos de un usuario o dispositivo, se procesan todos los cambios de pertenencia de las reglas de grupo dinámico de la organización. Los usuarios y dispositivos se agregan o quitan si cumplen las condiciones de un grupo.

Los grupos de seguridad se pueden aplicar a dispositivos o usuarios, pero los grupos de Office 365 solo pueden ser grupos de usuarios. Para usar grupos dinámicos, se necesita una licencia de Microsoft Entra ID P1 o una licencia de Intune para Educación. Consulte Reglas de pertenencia dinámica a grupos para obtener más información.

Generador de reglas en Azure Portal

Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Facilita la creación de reglas con unas cuantas expresiones sencillas; no obstante, no se puede usar para reproducir todas las reglas. En caso de que no admita la regla que quiere crear, puede usar el cuadro de texto.

Estos son algunos ejemplos de reglas o sintaxis avanzadas para las que se recomienda construir mediante el cuadro de texto:

Nota:

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. En este caso, podría aparecer un mensaje. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos dinámicos de ninguna manera.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Para ver ejemplos de sintaxis, propiedades admitidas, operadores y valores de una regla de pertenencia, vea Reglas de pertenencia dinámica a grupos de Microsoft Entra ID.

Para crear una regla de pertenencia a grupo, siga estos pasos:

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID>Grupos.

  3. Seleccione Todos los grupos y, luego, Nuevo grupo.

    Screenshot showing how to select the Add new group action.

  4. En la página Grupo, escriba un nombre y una descripción para el nuevo grupo. Seleccione un tipo de pertenencia para los usuarios o dispositivos y, luego, seleccione Agregar una consulta dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debe usar el cuadro de texto.

    Screenshot that shows the All groups page with the New group action selected.

  5. Para ver las propiedades de extensión personalizadas disponibles para su consulta de pertenencia, siga estos pasos:

    1. Seleccione Obtener las propiedades de extensión personalizadas.
    2. Escriba el identificador de aplicación y, luego, seleccione Actualizar propiedades.

  6. Después de crear la regla, seleccione Guardar.

  7. Seleccione Crear en la página Nuevo grupo para crear el grupo.

Si la regla introducida no es válida, se muestra una explicación de por qué no se pudo procesar la regla en una notificación en el portal. Léala con cuidado para saber cómo corregir la regla.

Para actualizar una regla existente

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos>Todos los grupos.

  4. Seleccione un grupo para abrir su perfil.

  5. En la página de perfil del grupo, seleccione Reglas de pertenencia dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debe usar el cuadro de texto.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Para ver las propiedades de extensión personalizadas disponibles para su regla de pertenencia, siga estos pasos:

    1. Seleccione Obtener las propiedades de extensión personalizadas.
    2. Escriba el identificador de aplicación y, luego, seleccione Actualizar propiedades.

  7. Después de actualizar la regla, seleccione Guardar.

Activación o desactivación del correo electrónico de bienvenida

Cuando se crea un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida por correo a los usuarios que se agregaron al grupo. Más tarde, si cambian los atributos de un usuario o dispositivo (solo en el caso de los grupo de seguridad), se procesan los cambios de pertenencia de todas las reglas de grupo dinámico de la organización. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Comprobación del estado de procesamiento de una regla

Puede ver el estado de procesamiento de la regla dinámica y la fecha del último cambio de pertenencia en la página Información general del grupo.

Screenshot of a diagram of the dynamic group status.

Los mensajes de estado siguientes se pueden mostrar para el estado de procesamiento de la regla dinámica:

  • Evaluando: se ha recibido el cambio de grupo y las actualizaciones se están evaluando.
  • Procesamiento: las actualizaciones se están procesando.
  • Actualización completada: se ha completado el procesamiento y se han realizado todas las actualizaciones aplicables.
  • Error de procesamiento: no se pudo completar el procesamiento debido a un error al evaluar la regla de pertenencia.
  • Actualización en pausa: el administrador han pausado las actualizaciones de la regla de pertenencia dinámica. MembershipRuleProcessingState se establece en "Paused".

Nota

En esta pantalla también puede elegir Pausar el procesamiento. Anteriormente, esta opción solo estaba disponible a través de la modificación de la propiedad membershipRuleProcessingState. Los administradores globales, los administradores de grupos, los administradores de usuarios y los administradores de Intune pueden administrar esta configuración y pueden pausar y reanudar el procesamiento dinámico de grupos. Los propietarios de grupos sin los roles correctos no tienen los derechos necesarios para editar esta configuración.

Los mensajes de estado siguientes se pueden mostrar para el estado del último cambio de pertenencia:

  • <Fecha y hora>: la última vez que se actualizó la pertenencia.
  • En curso: las actualizaciones están actualmente en curso.
  • Desconocido: no se puede recuperar la hora de la última actualización. El grupo podría ser nuevo.

Si se produce un error al procesar la regla de pertenencia para un grupo específico, se muestra una alerta en la parte superior de la página de información general del grupo. Si no se puede procesar ninguna actualización de pertenencia dinámica pendiente para todos los grupos de la organización durante más de 24 horas, se muestra una alerta en la parte superior de Todos los grupos.

Screenshot showing how to process error message alerts.

Pasos siguientes

En los siguientes artículos se proporciona información adicional sobre cómo usar los grupos en Microsoft Entra ID.