Creación de grupos dinámicos mediante Microsoft Entra generador de reglas

  • 10 minutos

Las organizaciones pueden usar reglas para determinar la pertenencia a grupos. Puede basar estas reglas en las propiedades de usuario o dispositivo en Microsoft Entra ID. Microsoft 365 admite la pertenencia dinámica a grupos de seguridad y Grupos de Microsoft 365.

Al crear un grupo con pertenencia dinámica, el sistema evalúa los atributos de usuario y dispositivo para buscar coincidencias con la regla de pertenencia. Cuando un atributo cambia para un usuario o dispositivo, el sistema examina todos los cambios de pertenencia a todas las reglas de grupos dinámicos de la organización. A continuación, agrega o quita usuarios y dispositivos si cumplen las condiciones de un grupo.

Importante

Las organizaciones que implementan grupos dinámicos deben tener una licencia Microsoft Entra Premium P1 o una licencia de Microsoft Intune para Education para cada usuario único que sea miembro de un grupo dinámico. No es necesario asignar licencias a los usuarios para que sean miembros de grupos dinámicos, pero debe tener el número mínimo de licencias en la organización Microsoft Entra para cubrir a todos estos usuarios. Por ejemplo, si tuviera un total de 1000 usuarios únicos en todos los grupos dinámicos de su organización, necesitaría al menos 1000 licencias para Microsoft Entra Premium P1 para satisfacer el requisito de licencia. Las organizaciones no necesitan una licencia para los dispositivos que son miembros de un grupo de dispositivos dinámicos.

Generador de reglas en el Centro de administración Microsoft Entra

Microsoft Entra ID proporciona una herramienta de generador de reglas para crear y actualizar las reglas importantes más rápidamente. El generador de reglas admite la construcción de hasta cinco expresiones. El generador de reglas facilita la forma de una regla con algunas expresiones simples. Sin embargo, no se puede usar para reproducir todas las reglas. Si las expresiones del generador de reglas no admiten la regla que desea crear, puede usar el cuadro de texto sintaxis de regla.

En la lista siguiente se proporcionan algunos ejemplos de reglas avanzadas o sintaxis que se deben construir mediante el cuadro de texto sintaxis de regla:

Nota:

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. Puede recibir un mensaje cuando el generador de reglas no puede mostrar la regla. El generador de reglas no cambia la sintaxis, validación o procesamiento admitidos de las reglas de grupo dinámico de ninguna manera.

Lectura adicional. Para obtener ejemplos de sintaxis, propiedades, operadores y valores admitidos para una regla de pertenencia, consulte Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.

Siga estos pasos para crear una regla de pertenencia a grupos:

  1. Vaya a la Centro de administración Microsoft Entra (escriba https://entra.microsoft.como, en el Centro de administración de Microsoft 365, seleccione Mostrar todo y, a continuación, en Administración sección centros, seleccione Identidad). Inicie sesión con una cuenta que sea un Administrador global, administrador de Intune o administrador de usuarios en la organización Microsoft Entra.

  2. En el panel de navegación izquierdo, seleccione Grupos y, a continuación, seleccione Todos los grupos.

  3. En los grupos | Ventana Todos los grupos , seleccione Nuevo grupo en la barra de menús.

    Captura de pantalla que muestra la ventana Todos los grupos de la Centro de administración Microsoft Entra con la opción Nuevo grupo resaltada.

  4. En la página Nuevo grupo, escriba la siguiente información:

    • Nombre del grupo
    • Descripción del grupo
    • Microsoft Entra roles se pueden asignar al grupo. Establezca el modificador de alternancia en o No.
    • Tipo de pertenencia. Seleccione Usuario dinámico o Dispositivo dinámico.

  5. En la sección Propietarios , seleccione No hay propietarios seleccionados. En el panel Agregar propietarios que aparece, seleccione los propietarios del grupo.

  6. En Miembros de usuario dinámicos, seleccione Agregar consulta dinámica.

    Captura de pantalla que muestra la ventana Nuevo grupo con la opción Agregar consulta dinámica resaltada.

  7. En la ventana Reglas de pertenencia dinámica que aparece, se muestra la pestaña Configurar reglas de forma predeterminada. Puede usar el generador de reglas o el cuadro de texto sintaxis de regla para crear o editar una regla de pertenencia dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debe usar el cuadro de texto sintaxis de regla.

    Captura de pantalla que muestra la ventana Reglas de pertenencia dinámica.

  8. Para ver las propiedades de extensión personalizadas disponibles para la consulta de pertenencia:

    1. Seleccione +Obtener propiedades de extensión personalizadas.
    2. En el panel Obtener propiedades de extensión personalizadas que aparece, escriba el identificador de aplicación y, a continuación, seleccione Actualizar propiedades. Al hacerlo, se muestra la lista completa de propiedades de extensión personalizadas que se van a usar al crear una regla de pertenencia dinámica. Para obtener más información sobre esta característica, vea la sección al final de esta unidad titulada Propiedades de extensión y propiedades de extensión personalizadas.

  9. Después de crear la regla, seleccione Guardar.

  10. Seleccione Crear en la página Nuevo grupo para crear el grupo.

Si la regla especificada no es válida, el sistema muestra una explicación sobre por qué no pudo procesar la regla. Normalmente, esta notificación proporciona instrucciones sobre cómo corregir la regla.

Creación de una regla de pertenencia dinámica

Sugerencia

Este entrenamiento le presenta los conceptos básicos de la creación de reglas de pertenencia dinámica. Describe la sintaxis básica usada en una sola expresión, los valores admitidos para expresiones, reglas para expresiones múltiples y complejas y propiedades de extensión. También proporciona algunos ejemplos básicos de reglas de uso común. Si está interesado en obtener instrucciones más avanzadas sobre la sintaxis de reglas y varias propiedades admitidas, consulte Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.

Las reglas basadas en atributos permiten la pertenencia dinámica a un grupo de Microsoft Entra ID. Puede configurar una regla para la pertenencia dinámica a grupos de seguridad o grupos de Microsoft 365. Cuando cambian los atributos de un usuario o dispositivo, el sistema evalúa todas las reglas de grupo dinámicas de un directorio para ver si el cambio desencadenaría cualquier grupo agrega o quita. Si un usuario o dispositivo satisface la regla de un grupo, el sistema los agrega automáticamente como miembro de ese grupo. El sistema los quita automáticamente de la pertenencia a grupos si ya no cumplen la regla.

Las reglas siguientes rigen la pertenencia dinámica:

  • No se puede agregar o quitar manualmente un miembro de un grupo dinámico.
  • Puede crear un grupo dinámico para dispositivos o usuarios, pero no puede crear una regla que contenga usuarios y dispositivos.
  • No se puede crear un grupo de dispositivos en función de los atributos de usuario del propietario del dispositivo. Las reglas de pertenencia a dispositivos solo pueden hacer referencia a atributos de dispositivo.

Sintaxis de regla para una sola expresión

Una sola expresión es la forma más sencilla de una regla de pertenencia. Una regla con una sola expresión es similar a la de este ejemplo: Property Operator Value, donde la sintaxis de la propiedad es el nombre de object.property.

En el ejemplo siguiente se muestra una regla de pertenencia construida correctamente con una sola expresión:

user.department -eq “Sales“

Los paréntesis son opcionales para una sola expresión. La longitud total del cuerpo de la regla de pertenencia no puede superar los 3072 caracteres.

Operadores de expresión admitidos

En la tabla siguiente se enumeran todos los operadores admitidos y su sintaxis para una sola expresión. Puede usar operadores con o sin el prefijo de guion (-). El operador Contains hace coincidencias de cadena parciales, pero no coincidencias de elementos en una colección.

Operador Sintaxis
No es igual a -ne
Igual a -eq
No empieza por -notStartsWith
Empieza por startsWith
No contiene. -notContains
Contains -contains
No coincidir -notMatch
Coincidencia -match
En -in
No en -notIn

Si desea comparar el valor de un atributo de usuario con varios valores, puede usar los operadores -in o -notIn . Use los símbolos de corchetes "[" and "]" para comenzar y finalizar la lista de valores.

En el ejemplo siguiente, la expresión se evalúa como true si el valor de user.department es igual a cualquiera de los valores de la lista:

user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Puede usar el operador -match para buscar coincidencias con cualquier expresión regular.

Ejemplo 1:

user.displayName -match "Da.*"

En este ejemplo, "Da", "Dav" y "David" se evalúan como True, mientras que "aDa" se evalúa como False.

Ejemplo 2:

user.displayName -match ".*vid"

En este ejemplo, "David" se evalúa como True, mientras que "Da" se evalúa como False.

Construcción del cuerpo de una regla de pertenencia

Una regla de pertenencia que rellena automáticamente un grupo con usuarios o dispositivos es una expresión binaria que da como resultado un resultado verdadero o falso. Las tres partes de una regla simple son:

  • Propiedad
  • Operador
  • Valor

Sugerencia

El orden de las partes dentro de una expresión es importante para evitar errores de sintaxis.

Propiedades admitidas

Puede usar tres tipos de propiedades para construir una regla de pertenencia.

  • Boolean
  • Cadena
  • Colección de cadenas

Valores admitidos

Los valores usados en una expresión pueden constar de varios tipos, entre los que se incluyen:

  • Cadenas
  • Booleano: true, false
  • Números
  • Matrices: matriz de número, matriz de cadena

Al especificar un valor dentro de una expresión, es importante usar la sintaxis correcta para evitar errores. Algunas sugerencias de sintaxis son:

  • Las comillas dobles son opcionales a menos que el valor sea una cadena.
  • Las operaciones de cadena y expresión regular no distinguen mayúsculas de minúsculas.
  • Cuando un valor de cadena contiene comillas dobles, debe aplicar escape a ambas comillas con el carácter ' . Por ejemplo, la sintaxis adecuada cuando "Sales" es el valor es: user.department -eq ` “Sales“ '
  • Debe escapar comillas simples con dos comillas simples en lugar de una cada vez.
  • También puede realizar comprobaciones null, usando null como valor. Por ejemplo: user.department -eq null

Reglas con varias expresiones

Una regla de pertenencia a grupos puede constar de más de una sola expresión conectada por los operadores lógicos -and, -or y -not. También puede usar operadores lógicos en combinación.

A continuación se muestran ejemplos de reglas de pertenencia construidas correctamente con varias expresiones:

(user.department -eq “Sales“) -or (user.department -eq “Marketing“)

(user.department -eq “Sales“) -and -not (user.jobTitle -contains “SDE“)

Reglas con expresiones complejas

Una regla de pertenencia puede constar de expresiones complejas en las que las propiedades, los operadores y los valores adoptan formas más complejas. El sistema considera un complejo de expresiones cuando se cumple alguna de las siguientes condiciones:

  • La propiedad consta de una colección de valores; en concreto, propiedades de varios valores.
  • Las expresiones usan los operadores -any y -all.
  • El valor de la expresión puede ser una o varias expresiones.

Ejemplos de reglas comunes

Creación de una regla de informes directos

Puede crear un grupo que contenga todos los informes directos de un administrador. Cuando los informes directos del administrador cambian en el futuro, el sistema ajusta automáticamente la pertenencia al grupo.

Puede construir la regla de informes directos mediante la sintaxis siguiente:

Direct Reports for “{objectID_of_manager}“

Este es un ejemplo de una regla válida, donde "62e19b97-8b3d-4d4a-a106-4ce66896a863" es el objectID del administrador:

Direct Reports for “62e19b97-8b3d-4d4a-a106-4ce66896a863“

Las sugerencias siguientes pueden ayudarle a usar la regla correctamente.

  • El identificador de administrador es el identificador de objeto del administrador. Puede encontrar el identificador de administrador en el perfil del administrador.
  • Para que la regla funcione, asegúrese de establecer correctamente la propiedad Manager para los usuarios de su organización. Puede comprobar el valor actual en el perfil del usuario.
  • Esta regla solo admite los informes directos del administrador. Es decir, no se puede crear un grupo con los informes directos del administrador y sus informes.
  • No se puede combinar esta regla con ninguna otra regla de pertenencia.

Creación de una regla de todos los usuarios

Puede crear un grupo que contenga todos los usuarios de una organización mediante una regla de pertenencia. Al agregar o quitar usuarios en el futuro, el sistema ajusta automáticamente la pertenencia al grupo.

La regla Todos los usuarios se construye mediante una sola expresión que contiene el operador -ne y el valor NULL. Esta regla agrega usuarios invitados B2B y usuarios miembros a un grupo.

user.objectId -ne null

Si desea que el grupo excluya usuarios invitados e incluya solo miembros de su organización, puede usar la sintaxis siguiente:

(user.objectId -ne null) -and (user.userType -eq “Member“)

Creación de una regla Todos los dispositivos

Puede crear un grupo que contenga todos los dispositivos de una organización mediante una regla de pertenencia. Al igual que con los usuarios, al agregar o quitar dispositivos en el futuro, el sistema ajusta automáticamente la pertenencia del grupo.

La regla Todos los dispositivos se construye mediante una sola expresión que contiene el operador -ne y el valor NULL:

device.objectId -ne null

Propiedades de extensión y propiedades de extensión personalizadas

El sistema admite atributos de extensión y propiedades de extensión personalizadas como propiedades de cadena en reglas de pertenencia dinámica. Sincroniza los atributos de extensión de Windows Server Active Directory local o las actualizaciones mediante Microsoft Graph. Estos atributos tienen el formato extensionAttributeX, donde X es igual a 1 a 15.

Precaución

El sistema no admite las propiedades de extensión de varios valores en las reglas de pertenencia dinámica.

En el ejemplo siguiente se muestra una regla que usa un atributo de extensión como propiedad:

(user.extensionAttribute15 -eq “Marketing“)

Puede sincronizar las propiedades de extensión personalizadas desde:

  • Windows Server Active Directory locales
  • una aplicación SaaS conectada
  • creado mediante Microsoft Graph

Las propiedades de extensión personalizadas deben usar el formato de user.extension_[GUID]_[Attribute], donde:

  • [GUID] es la versión quitada del identificador único en Microsoft Entra ID para la aplicación que creó la propiedad. Solo contiene los caracteres 0-9 y A-Z.
  • [Attribute] es el nombre de la propiedad cuando se creó originalmente.

Un ejemplo de una regla que usa una propiedad de extensión personalizada es:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Las propiedades de extensión personalizadas también se denominan propiedades de extensión de directorio o Microsoft Entra.

Puede encontrar el nombre de la propiedad personalizada en el directorio consultando la propiedad de un usuario mediante el Explorador de Graph y buscando el nombre de la propiedad. Además, ahora puede seleccionar el vínculo Obtener propiedades de extensión personalizadas en el generador de reglas de grupo de usuarios dinámicos para escribir un identificador de aplicación único. Al hacerlo, se muestra la lista completa de propiedades de extensión personalizadas que se van a usar al crear una regla de pertenencia dinámica. Puede actualizar esta lista para obtener las nuevas propiedades de extensión personalizadas para esa aplicación. Los atributos de extensión y las propiedades de extensión personalizadas deben ser de aplicaciones del inquilino.