Creación o actualización de un grupo dinámico en Azure Active Directory

Puede usar reglas para determinar la pertenencia a grupos según las propiedades de usuario o dispositivo en Azure Active Directory (Azure AD), parte de Microsoft Entra. En este artículo se explica cómo configurar una regla para un grupo dinámico en Azure Portal. La pertenencia dinámica es compatible con grupos de seguridad y grupos de Microsoft 365. Cuando se aplica una regla de pertenencia a grupos, se evalúan los atributos de usuario y dispositivo para ver si coinciden con la regla de pertenencia. Cuando cambian los atributos de un usuario o dispositivo, se procesan todos los cambios de pertenencia de las reglas de grupo dinámico de la organización. Los usuarios y dispositivos se agregan o quitan si cumplen las condiciones de un grupo. Los grupos de seguridad se pueden aplicar a dispositivos o usuarios, pero los grupos de Office 365 solo pueden ser grupos de usuarios. Para usar grupos dinámicos, se necesita una licencia de Azure AD Premium P1 o una licencia de Intune for Education. Consulte Reglas de pertenencia dinámica a grupos para obtener más información.

Generador de reglas en Azure Portal

Azure AD proporciona un generador de reglas para crear y actualizar las reglas importantes con mayor rapidez. El generador de reglas admite la construcción de hasta cinco expresiones. Facilita la creación de reglas con unas cuantas expresiones sencillas; no obstante, no se puede usar para reproducir todas las reglas. En caso de que no admita la regla que quiere crear, puede usar el cuadro de texto.

Estos son algunos ejemplos de reglas o sintaxis avanzadas para las que se recomienda construir mediante el cuadro de texto:

Nota:

Es posible que el generador de reglas no pueda mostrar algunas reglas construidas en el cuadro de texto. En este caso, podría aparecer un mensaje. El generador de reglas no cambia la sintaxis admitida, la validación ni el procesamiento de reglas de grupos dinámicos de ninguna manera.

Captura de pantalla que muestra la página

Para ver ejemplos de sintaxis, propiedades admitidas, operadores y valores de una regla de pertenencia, consulte Reglas de pertenencia dinámica a grupos de Azure Active Directory.

Para crear una regla de pertenencia a grupo, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Azure AD con una cuenta que tenga el rol de administrador global, administrador de Intune o administrador de usuarios en la organización de Azure AD.

  2. Busque y seleccione Grupos.

  3. Seleccione Todos los grupos y, luego, Nuevo grupo.

    Captura de pantalla que muestra cómo seleccionar la acción

  4. En la página Grupo, escriba un nombre y una descripción para el nuevo grupo. Seleccione un tipo de pertenencia para los usuarios o dispositivos y, luego, seleccione Agregar una consulta dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debe usar el cuadro de texto.

    Captura de pantalla que muestra la página

  5. Para ver las propiedades de extensión personalizadas disponibles para su consulta de pertenencia, siga estos pasos:

    1. Seleccione Obtener las propiedades de extensión personalizadas.
    2. Escriba el identificador de aplicación y, luego, seleccione Actualizar propiedades.
  6. Después de crear la regla, seleccione Guardar.

  7. Seleccione Crear en la página Nuevo grupo para crear el grupo.

Si la regla que escribió no es válida, aparece una explicación de por qué no se pudo procesar la regla en una notificación de Azure en el portal. Léala con cuidado para saber cómo corregir la regla.

Para actualizar una regla existente

  1. Inicie sesión en el Centro de administración de Azure AD con una cuenta con el rol de administrador global, administrador de grupos, administrador de Intune o administrador de usuarios en la organización de Azure AD.

  2. Seleccione Grupos>Todos los grupos.

  3. Seleccione un grupo para abrir su perfil.

  4. En la página de perfil del grupo, seleccione Reglas de pertenencia dinámica. El generador de reglas admite hasta cinco expresiones. Para agregar más de cinco expresiones, debe usar el cuadro de texto.

    Captura de pantalla que muestra cómo agregar una regla de pertenencia para un grupo dinámico

  5. Para ver las propiedades de extensión personalizadas disponibles para su regla de pertenencia, siga estos pasos:

    1. Seleccione Obtener las propiedades de extensión personalizadas.
    2. Escriba el identificador de aplicación y, luego, seleccione Actualizar propiedades.
  6. Después de actualizar la regla, seleccione Guardar.

Activación o desactivación del correo electrónico de bienvenida

Cuando se crea un nuevo grupo de Microsoft 365, se envía una notificación de bienvenida por correo a los usuarios que se agregaron al grupo. Más tarde, si cambian los atributos de un usuario o dispositivo (solo en el caso de los grupo de seguridad), se procesan los cambios de pertenencia de todas las reglas de grupo dinámico de la organización. Los usuarios que se agregan también reciben la notificación de bienvenida. Este comportamiento se puede desactivar en Exchange PowerShell.

Comprobación del estado de procesamiento de una regla

Puede ver el estado de procesamiento de la regla dinámica y la fecha del último cambio de pertenencia en la página Información general del grupo.

Diagrama del estado del grupo dinámico

Los mensajes de estado siguientes se pueden mostrar para el estado de procesamiento de la regla dinámica:

  • Evaluando: se ha recibido el cambio de grupo y las actualizaciones se están evaluando.
  • Procesamiento: las actualizaciones se están procesando.
  • Actualización completada: se ha completado el procesamiento y se han realizado todas las actualizaciones aplicables.
  • Error de procesamiento: no se pudo completar el procesamiento debido a un error al evaluar la regla de pertenencia.
  • Actualización en pausa: el administrador han pausado las actualizaciones de la regla de pertenencia dinámica. MembershipRuleProcessingState se establece en "Paused".

Nota

En esta pantalla también puede elegir Pausar el procesamiento. Anteriormente, esta opción solo estaba disponible a través de la modificación de la propiedad membershipRuleProcessingState. Los administradores globales, los administradores de grupos, los administradores de usuarios y los administradores de Intune pueden administrar esta configuración y pueden pausar y reanudar el procesamiento dinámico de grupos. Los propietarios de grupos sin los roles correctos no tienen los derechos necesarios para editar esta configuración.

Los mensajes de estado siguientes se pueden mostrar para el estado del último cambio de pertenencia:

  • <Fecha y hora>: la última vez que se actualizó la pertenencia.
  • En curso: las actualizaciones están actualmente en curso.
  • Desconocido: no se puede recuperar la hora de la última actualización. El grupo podría ser nuevo.

Si se produce un error al procesar la regla de pertenencia para un grupo específico, se muestra una alerta en la parte superior de la página de información general del grupo. Si no se puede procesar ninguna actualización de pertenencia dinámica pendiente para todos los grupos de la organización durante más de 24 horas, se muestra una alerta en la parte superior de Todos los grupos.

Captura de pantalla que muestra cómo procesar alertas de mensajes de error

Pasos siguientes

En los siguientes artículos se proporciona información adicional sobre cómo usar los grupos en Azure Active Directory.