Administración de reglas de grupos de pertenencia dinámicos en Microsoft Entra ID
Artículo
Puede crear reglas basadas en atributos de usuarios o dispositivos para habilitar la pertenencia a grupos de pertenencia dinámicos en Microsoft Entra ID, parte de Microsoft Entra. Puede agregar y quitar grupos de pertenencia dinámicos automáticamente mediante reglas de pertenencia basadas en los atributos de los miembros. En Microsoft Entra, un único inquilino puede tener un máximo de 15 000 grupos de pertenencia dinámica.
En este artículo se detallan las propiedades y la sintaxis para crear reglas de grupos de pertenencia dinámicos basados en usuarios o dispositivos.
Nota
Los grupos de seguridad se pueden usar para dispositivos o usuarios, pero los grupos de Microsoft 365 solo pueden incluir usuarios.
Cuando cambian los atributos de un usuario o un dispositivo, el sistema evalúa todas las reglas de grupos de pertenencia dinámicos en un directorio para ver si el cambio desencadenaría alguna adición o eliminación de grupo. Si un usuario o un dispositivo cumple una regla de un grupo, se agrega a este como miembro. Si ya no cumple la regla, se quita del grupo. No puedes agregar o quitar de forma manual un miembro de un grupo de pertenencia dinámico.
Puede crear grupos de pertenencia dinámicos para usuarios o dispositivos, pero no puedes crear una regla que contenga tanto usuarios como dispositivos.
No puede crear un grupo de pertenencia de dispositivo basado en los atributos de usuario del propietario del dispositivo. Las reglas de pertenencia de dispositivo solo pueden hacer referencia a atributos de dispositivos.
Nota
Esta característica requiere una licencia de Microsoft Entra ID P1 o Intune para Educación para cada usuario único que sea miembro de uno o más grupos de pertenencia dinámicos. No tiene que asignar licencias a los usuarios para que sean miembros de grupos de pertenencia dinámicos, pero debe tener el número mínimo de licencias en la organización de Microsoft Entra para abarcar a todos esos usuarios. Por ejemplo, si tuviera un total de 1 000 usuarios únicos en todos los grupos de pertenencia dinámicos de tu organización, necesitaría al menos 1 000 licencias para Microsoft Entra ID P1 para cumplir con el requisito de licencia.
No es necesaria ninguna licencia para los dispositivos que son miembros de un grupo de pertenencia dinámico basado en un dispositivo.
Generador de reglas en Azure Portal
Microsoft Entra ID proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Facilita la creación de reglas con unas cuantas expresiones sencillas; no obstante, no se puede usar para reproducir todas las reglas. En caso de que no admita la regla que quiere crear, puede usar el cuadro de texto.
Importante
El generador de reglas solo está disponible para grupos de pertenencia dinámica basados en usuarios. Los grupos de pertenencia dinámica basados en dispositivos solo se pueden crear mediante el cuadro de texto.
Estos son algunos ejemplos de reglas avanzadas o sintaxis que requieren el uso del cuadro de texto:
Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. En este caso, podría aparecer un mensaje. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos de pertenencia dinámica de ninguna manera.
Una expresión única es la forma más sencilla de una regla de pertenencia y solo tiene los tres elementos mencionados anteriormente. Una regla con una expresión única tiene un aspecto similar al ejemplo siguiente: Property Operator Value, donde la sintaxis de la propiedad es el nombre de object.property.
El ejemplo siguiente muestra una regla de pertenencia creada correctamente con una expresión única:
user.department -eq "Sales"
Los paréntesis son opcionales para una expresión única. La longitud total del cuerpo de la regla de pertenencia no puede superar los 3072 caracteres.
Construcción del cuerpo de una regla de pertenencia
Una regla de pertenencia que rellena automáticamente un grupo con usuarios o dispositivos es una expresión binaria que genera un resultado true o false. Los tres elementos de una regla simple son:
Propiedad
Operator
Valor
El orden de los elementos de una expresión es importante para evitar errores de sintaxis.
Propiedades admitidas
Hay tres tipos de propiedades que se pueden usar para construir una regla de pertenencia.
Booleano
DateTime
Cadena
Colección de cadenas
Las siguientes son las propiedades de usuario que puede utilizar para crear una expresión única.
Propiedades de tipo booleano
Propiedades
Valores permitidos
Uso
accountEnabled
true false
user.accountEnabled -eq true
dirSyncEnabled
true false
user.dirSyncEnabled -eq true
Propiedades de tipo dateTime
Propiedades
Valores permitidos
Uso
employeeHireDate (versión preliminar)
Cualquier valor DateTimeOffset o palabra clave system.now
Para más información sobre las propiedades que se usan para las reglas de dispositivos, consulte Reglas de dispositivos.
Operadores de expresión admitidos
En la tabla siguiente se enumeran todos los operadores admitidos y su sintaxis para una expresión única. Los operadores se pueden utilizar con o sin el prefijo de guion (-). El operador Contains realiza coincidencias de cadena parciales, pero no coincide con el elemento de una colección.
Precaución
Para obtener los mejores resultados, minimice el uso de MATCH o CONTAINS tanto como sea posible. Crear reglas más sencillas y eficaces para grupos de pertenencia dinámica proporciona instrucciones sobre cómo crear reglas que dan lugar a mejores tiempos de procesamiento de grupos dinámicos. El operador "memberOf" está en fase de vista previa y debe usarse con precaución, ya que tiene algunas limitaciones.
Operador
Sintaxis
Termina en
-endsWith
No termina con
-notEndsWith
No es igual a
-ne
Igual a
-eq
No empieza con
-notStartsWith
Empieza por
-startsWith
No contiende
-notContains
Contiene
-contains
No coincide
-notMatch
Coincide
-match
En
-in
No en
-notIn
Uso de los operadores -in y -notIn
Si quiere comparar el valor de un atributo de usuario con diversos valores, puede usar los operadores -in o -notIn. Utilice los símbolos entre corchetes "[" y "]" para comenzar y terminar la lista de valores.
En el ejemplo siguiente, la expresión se evalúa como true si el valor de user.department es igual a cualquiera de los valores de la lista:
Puede usar los operadores menor que (-le) o mayor que (-ge) al usar el atributo employeeHireDate en las reglas de grupos de pertenencia dinámica.
Ejemplos:
El operador -coinciden se utiliza para que coincida con cualquier expresión regular. Ejemplos:
user.displayName -match "^Da.*"
Da, Dav, David se evalúan como "true", aDa se evalúa como "false".
user.displayName -match ".*vid"
David se evalúa como "true", Da se evalúa como "false".
Valores admitidos
Los valores utilizados en una expresión pueden ser de varios tipos, incluidos:
Cadenas
Valor booleano: true, false
Números
Matrices: matriz numérica, matriz de cadenas
Al especificar un valor dentro de una expresión es importante utilizar la sintaxis correcta para evitar errores. Algunas sugerencias de sintaxis son:
Las comillas dobles son opcionales a menos que el valor sea una cadena.
Las operaciones de regex y cadenas no distinguen entre mayúsculas y minúsculas.
Asegúrese de que los nombres de propiedad tengan el formato correcto, como se muestra, ya que distinguen mayúsculas de minúsculas.
Cuando un valor de cadena contiene comillas dobles, se debe utilizar ` como carácter de escape de ambas. Por ejemplo, user.department -eq `"Sales`" es la sintaxis correcta cuando "Sales" es el valor. Hay que agregar dos comillas simples cada vez, en lugar de una, como carácter de escape a las comillas simples.
También puede realizar comprobaciones null, usando null como valor, por ejemplo, user.department -eq null.
Uso de valores nulos
Para especificar un valor nulo en una regla, puede usar el valor null.
Use -eq o -ne al comparar el valor null de una expresión.
Use comillas alrededor de la palabra null solo si desea que se interprete como un valor de cadena literal.
El operador -not no se puede usar como operador comparativo con valores null. Si lo hace, recibirá un error tanto si usa null como si usa $null.
La manera correcta de hacer referencia al valor null es como sigue:
user.mail –ne null
Reglas con varias expresiones
Las reglas de administración de grupos de pertenencia dinámica pueden constar de más de una expresión única conectada por los operadores lógicos -and, -or y -not. Los operadores lógicos también se pueden usar en combinación.
Los siguientes son ejemplos de reglas de pertenencia construidas correctamente con varias expresiones:
Los paréntesis son necesarios solo si la precedencia no cumple sus requisitos. Por ejemplo, si desea que el departamento se evalúe primero, el ejemplo siguiente muestra cómo se deben usar los paréntesis para determinar el orden:
Una regla de pertenencia puede constar de expresiones complejas donde las propiedades, los operadores y los valores pueden adoptar formas más complejas. Las expresiones se consideran complejas cuando se cumple alguna de las siguientes condiciones:
La propiedad consta de una colección de valores, especialmente las propiedades con varios valores
Las expresiones usan los operadores -any y -all
El valor de la expresión puede incluir por sí mismo una o varias expresiones
Propiedades de varios valores
Las propiedades de varios valores son colecciones de objetos del mismo tipo. Se pueden usar para crear reglas de pertenencia mediante los operadores lógicos -any y -all.
Propiedades
Valores
Uso
assignedPlans
Cada objeto de la colección expone las siguientes propiedades de cadena: capabilityStatus, service, servicePlanId
Puede usar los operadores -any y -all para aplicar una condición a uno o todos los elementos de la colección, respectivamente.
-any (se satisface cuando al menos un elemento de la colección coincide con la condición)
-all (se satisface cuando todos los elementos de la colección coinciden con la condición)
Ejemplo 1
assignedPlans es una propiedad de varios valores que muestra todos los planes de servicio asignados al usuario. En la expresión siguiente se seleccionarán los usuarios que tienen el plan de servicio (como valor de GUID) Exchange Online (Plan 2) que también está en estado Habilitado:
Una regla como esta se puede usar para agrupar todos los usuarios en los que la funcionalidad de Microsoft 365 u otro servicio en línea de Microsoft está habilitada. A continuación, podría solicitar la admisión en el grupo con un conjunto de directivas.
Ejemplo 2
En la expresión siguiente se seleccionan todos los usuarios que tengan algún plan de servicio asociado con el servicio de Intune (identificado por el nombre de servicio "SCO"):
La sintaxis de guión bajo (_) coincide con las apariciones de un valor específico en una de las propiedades de la colección de cadenas multivalor para agregar usuarios o dispositivos a un grupo de pertenencia dinámica. Se usa con los operadores -any y -all.
Este es un ejemplo de uso del guión bajo (_) en una regla para agregar miembros basados en user.proxyAddress (funciona de la misma forma para user.otherMails). Esta regla agrega cualquier usuario con la dirección de proxy que empieza por "contoso" al grupo.
Puede crear un grupo con todos los subordinados directos de un administrador. Cuando los subordinados directos de un administrador cambien en el futuro, la pertenencia del grupo se ajustará automáticamente.
La regla de subordinados directos se construye mediante la sintaxis siguiente:
Direct Reports for "{objectID_of_manager}"
Este es un ejemplo de una regla válida, donde "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" es el objectID del administrador:
Direct Reports for "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Las siguientes sugerencias pueden ayudarle a usar correctamente la regla.
El identificador del administrador es el identificador de objeto del administrador. Se puede encontrar en el perfil del administrador.
Para que la regla funcione, asegúrese de que la propiedad de administrador esté establecida correctamente para los usuarios de la organización. Puede comprobar el valor actual en el perfil de usuario.
Esta regla admite solo subordinados directos del administrador. En otras palabras, no se puede crear un grupo con los subordinados directos del administrador y con los subordinados de estos.
Esta regla no se puede combinar con ninguna otra regla de pertenencia.
Creación de una regla de "todos los usuarios"
Puede crear un grupo que contenga todos los usuarios de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen usuarios de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.
La regla de "Todos los usuarios" se construye con una expresión única con el operador -ne y el valor null. Esta regla agrega usuarios invitados B2B y usuarios miembro al grupo.
user.objectId -ne null
Si quiere que el grupo excluya los usuarios invitados e incluya solo los miembros de la organización, puede usar la siguiente sintaxis:
Puede crear un grupo que contenga todos los dispositivos de una organización mediante una regla de pertenencia. Cuando se agreguen o eliminen dispositivos de la organización en el futuro, la pertenencia al grupo se ajustará automáticamente.
La regla de "Todos los dispositivos" se construye con una expresión única con el operador -ne y el valor null:
device.objectId -ne null
Propiedades de extensión y propiedades de extensión personalizadas
Los atributos de extensión y las propiedades de extensión personalizadas se admiten como propiedades de cadena en las reglas de los grupos de pertenencia dinámica. Los atributos de extensión se pueden sincronizar desde una instancia de Windows Server Active Directory local o actualizar mediante Microsoft Graph y tienen el formato "ExtensionAttributeX", donde X es igual a un número del 1 al 15. Las propiedades de extensión de varios valores no se admiten en las reglas de los grupos de pertenencia dinámica.
Este es un ejemplo de una regla que utiliza un atributo de extensión como propiedad:
(user.extensionAttribute15 -eq "Marketing")
Las propiedades de extensión personalizadas se pueden sincronizar desde una instancia de Windows Server Active Directory local o desde una aplicación SaaS conectada, o se pueden crear con Microsoft Graph, y presentan el formato user.extension_[GUID]_[Attribute], donde:
[GUID] es la versión eliminada del identificador único de Microsoft Entra ID para la aplicación que creó la propiedad. Solo contiene caracteres de 0 a 9 y de la A a la Z
[Attribute] es el nombre de la propiedad tal y como se creó
Un ejemplo de una regla que utiliza una propiedad de extensión personalizada es:
Las propiedades de extensión personalizadas también se denominan propiedades de directorio o de la extensión de Microsoft Entra.
El nombre de la propiedad personalizada se puede encontrar en el directorio mediante la consulta de una propiedad de usuario a través del explorador de Graph y la búsqueda del nombre en cuestión. Ahora, también puede seleccionar el vínculo Obtener propiedades de extensión personalizadas en el generador de reglas de grupos de pertenencia dinámica para especificar un identificador de aplicación único y recibir la lista completa de propiedades de extensión personalizadas que se usan al crear una regla para los grupos de pertenencia dinámica. Esta lista también se puede actualizar esta lista para obtener nuevas propiedades de extensión personalizada para la aplicación. Los atributos de extensión y las propiedades de extensión personalizadas deben ser de aplicaciones del inquilino.
También puede crear una regla que selecciona objetos de dispositivo para la pertenencia de un grupo. No puede tener usuarios y dispositivos como miembros del grupo a la vez.
Nota
El atributo organizationalUnit ya no aparece y no debe usarse. Intune establece esta cadena en casos concretos, pero Microsoft Entra ID no la reconoce, por lo que no se agregan dispositivos a grupos basados este atributo.
El atributo systemlabels es de solo lectura y no se puede establecer con Intune.
En Windows 10, el formato correcto del atributo deviceOSVersion es el siguiente: (device.deviceOSVersion -startsWith "10.0.1"). El formato se puede validar con el cmdlet Get-MgDevice de PowerShell:
un id. de aplicación MDM válido en Microsoft Entra ID
device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000" para Microsoft Intune administrados o "54b943f8-d761-4f8d-951e-9cea1846db5a" para dispositivos administrados junto con System Center Configuration Manager
Nombre de perfil de inscripción de dispositivo de Apple, nombre de perfil de inscripción de dispositivo dedicado de Android Enterprise o nombre de perfil de Windows Autopilot
Al usar systemLabels, un atributo de solo lectura que se usa en varios contextos, como la administración de dispositivos y el etiquetado de confidencialidad, no se puede editar a través de Intune.
Cuando use deviceOwnership para crear grupos de pertenencia dinámica para dispositivos, es necesario que establezca el valor igual a Company. En Intune la propiedad del dispositivo se representa en su lugar como Corporativa. Para obtener más información, consulte OwnerTypes para ver más detalles.
Cuando use deviceTrustType para crear grupos de pertenencia dinámica para dispositivos, es necesario que establezca el valor igual a AzureAD para representar dispositivos unidos a Microsoft Entra, ServerAD para representar dispositivos unidos a Microsoft Entra híbrido o Workplace para representar dispositivos registrados en Microsoft Entra.
Cuando se usa extensionAttribute1-15 para crear grupos de pertenencia dinámicos para dispositivos, es necesario establecer el valor de extensionAttribute1-15 en el dispositivo. Más información sobre cómo escribir extensionAttributes en un objeto de dispositivo de Microsoft Entra
Pasos siguientes
En estos artículos se proporciona información adicional sobre los grupos en Microsoft Entra ID.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.