Creación o actualización de un grupo de pertenencia dinámica en Microsoft Entra ID

Puede usar reglas para determinar los grupos de pertenencia dinámicos en función de las propiedades de usuario o dispositivo de Microsoft Entra ID. En este artículo se describe cómo configurar una regla para grupos de pertenencia dinámica en Azure Portal.

La pertenencia a grupos en función de las propiedades de usuario o dispositivo es compatible con grupos de seguridad y grupos de Microsoft 365. Cuando se aplica una regla para un grupo de pertenencia dinámica, se evalúan los atributos de usuario y dispositivo para ver si coinciden con la regla de pertenencia. Cuando cambia un atributo de un usuario o dispositivo, se procesan todas las reglas de grupos de pertenencia dinámica de la organización. Los usuarios y dispositivos se agregan o quitan si cumplen las condiciones de un grupo de pertenencia dinámica. En microsoft Entra ID, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.

Nota:

Los grupos de seguridad pueden incluir dispositivos o usuarios, pero los grupos de Microsoft 365 solo pueden incluir usuarios.

El uso de grupos de pertenencia dinámica requiere una licencia P1 de Id. de Microsoft Entra o una licencia de Intune for Education. Para obtener más información, consulte Administrar reglas para grupos de pertenencia dinámica en El identificador de Entra de Microsoft.

Generador de reglas en Azure Portal

Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones.

El generador de reglas facilita la forma de una regla con algunas expresiones simples. Sin embargo, no se puede usar para reproducir todas las reglas. Si el generador de reglas no admite la regla que desea crear, puede usar el cuadro de texto.

Estos son algunos ejemplos de reglas o sintaxis avanzadas para las que se recomienda usar el cuadro de texto:

• Regla con más de cinco expresiones
• Regla para informes directos
• Configuración de la precedencia de operadores
• Regla con expresiones complejas; por ejemplo (user.proxyAddresses -any (_ -contains "contoso"))

Nota:

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. Es posible que vea un mensaje cuando el generador de reglas no pueda mostrar la regla. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos de pertenencia dinámica de ninguna manera.

Para obtener ejemplos de sintaxis y propiedades, operadores y valores admitidos para una regla de pertenencia, vea Administrar reglas para grupos de pertenencia dinámica en el identificador de Microsoft Entra.

Creación de una regla para un grupo de pertenencia dinámica

1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

2. Seleccione Grupos de identificadores de Entra de> Microsoft.

3. Seleccione Todos los grupos y, a continuación, seleccione Nuevo grupo.

   

4. En el panel Grupo , escriba un nombre y una descripción para el nuevo grupo. Seleccione un valor de tipo de pertenencia para usuarios o dispositivos y, a continuación, seleccione Agregar consulta dinámica.

5. En el generador de reglas, agregue hasta cinco expresiones. Para agregar más de cinco expresiones, debes usar el cuadro de texto.

   

6. Para ver las propiedades de extensión personalizadas que están disponibles para la consulta de pertenencia:

   1. Seleccione Obtener propiedades de extensión personalizadas.
   2. Escribe el identificador de aplicación y, luego, selecciona Actualizar propiedades.

7. Después de terminar de crear la regla, seleccione Guardar.

8. En la página Nuevo grupo , seleccione Crear para crear el grupo.

Si la regla especificada no es válida, el portal muestra una explicación de por qué no se pudo procesar la regla. Léela con cuidado para saber cómo corregir la regla.

Actualización de una regla existente

1. Inicia sesión en el Centro de administración Microsoft Entra por lo menos como administrador de grupos.

2. Seleccione Microsoft Entra ID.

3. Selecciona Grupos>Todos los grupos.

4. Selecciona un grupo para abrir su perfil.

5. En la página de perfil del grupo, selecciona Reglas de pertenencia dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debes usar el cuadro de texto.

   

6. Para ver las propiedades personalizadas de extensión disponibles para su regla de membresía:

   1. Seleccione Obtener propiedades de extensión personalizadas.
   2. Escribe el identificador de aplicación y, luego, selecciona Actualizar propiedades.

7. Después de finalizar la actualización de la regla, seleccione Guardar.

Activar o desactivar el correo electrónico de bienvenida

Cuando un administrador crea un nuevo grupo de Microsoft 365, los usuarios que se agregan al grupo reciben una notificación de correo electrónico de bienvenida. Más adelante, si cambian los atributos de un usuario o dispositivo (solo para grupos de seguridad), todas las reglas de los grupos de pertenencia dinámica de la organización se procesan para los cambios. Los usuarios que se agregan también reciben la notificación de bienvenida.

Puede activar o desactivar este comportamiento en Exchange PowerShell.

Comprobación del estado de procesamiento de una regla

Puede ver el estado de procesamiento de reglas y la fecha del último cambio de pertenencia en la página de información general del grupo de pertenencia dinámica.

Los siguientes mensajes de estado pueden aparecer para el estado de procesamiento de reglas dinámicas:

• Evaluación: se ha recibido el cambio de grupo y se evalúan las actualizaciones.
• Procesamiento: las actualizaciones se están procesando.
• Actualización completa: se completó el procesamiento y se realizaron todas las actualizaciones aplicables.
• Error de procesamiento: no se pudo finalizar el procesamiento debido a un error al evaluar la regla de pertenencia.
• Actualización pausada: el administrador pausó la regla para la actualización de los grupos de membresía dinámica. El valor de MembershipRuleProcessingState está establecido en Paused.
• No iniciado: no se ha iniciado el procesamiento.

Nota:

Esta página ahora tiene una opción Pausar procesamiento . Anteriormente, esta opción solo estaba disponible a través de la modificación de la membershipRuleProcessingState propiedad . Alguien que tenga al menos el rol Administrador de grupos puede administrar esta configuración y puede pausar y reanudar el procesamiento de grupos de pertenencia dinámica. Los propietarios de grupos que no tienen los roles correctos no tienen los derechos necesarios para editar esta configuración.

Aparecen los siguientes mensajes de estado para Último cambio de pertenencia:

• <Fecha y hora>: la pertenencia se actualizó por última vez en esta fecha y hora.
• En curso: las actualizaciones están actualmente en curso.
• Desconocido: no se puede recuperar la hora de la última actualización. El grupo podría ser nuevo.

Importante

Después de pausar y desapajar el procesamiento de grupos de pertenencia dinámica, la fecha del último cambio de pertenencia muestra un valor de marcador de posición. Este valor se actualiza una vez finalizado el procesamiento.

Si se produce un error durante el procesamiento de la regla de pertenencia para un grupo específico, aparece una alerta en la parte superior de la página de información general del grupo. Si no se pueden procesar actualizaciones pendientes para grupos de pertenencia dinámica para todos los grupos de la organización durante más de 24 horas, aparece una alerta encima de Todos los grupos.

Contenido relacionado

• Crear un grupo con miembros y ver todos los grupos y miembros
• Administrar grupos y pertenencia a grupos de Microsoft Entra
• Administrar reglas para grupos de pertenencia dinámica en el identificador de Microsoft Entra