Créer ou mettre à jour un groupe dynamique dans Azure Active Directory

Vous pouvez utiliser des règles pour déterminer l’appartenance aux groupes à partir des propriétés de l’utilisateur ou de l’appareil dans Azure Active Directory (Azure AD), qui fait partie de Microsoft Entra. Cet article explique comment configurer une règle pour un groupe dynamique dans le portail Azure. L’appartenance dynamique est prise en charge pour les groupes de sécurité et les groupes Microsoft 365. Lorsqu’une règle d’appartenance de groupe est appliquée, les correspondances avec la règle d’appartenance des attributs utilisateur et appareil sont évaluées. Lorsqu’un attribut d’utilisateur ou d’appareil change, toutes les règles de groupe dynamique au sein de l’organisation sont traitées pour tenir compte de toutes les modifications d’appartenance. Les utilisateurs et les appareils sont ajoutés ou supprimés s’ils remplissent les conditions pour un groupe. Les groupes de sécurité peuvent être utilisés pour des appareils ou des utilisateurs, mais les groupes Microsoft 365 ne peuvent être utilisés que par des groupes d’utilisateurs. L’utilisation de groupes dynamiques requiert une licence Azure AD Premium P1 ou Intune pour l’Éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.

Générateur de règles dans le portail Azure

Azure AD fournit un générateur de règles pour créer et mettre à jour plus rapidement vos règles importantes. Le générateur de règles prend en charge la construction jusqu’à cinq expressions. Le générateur de règles facilite la création d’une règle avec quelques expressions simples. Toutefois, il ne peut pas être utilisé pour reproduire chaque règle. Si le générateur de règles ne prend pas en charge la règle que vous souhaitez créer, vous pouvez utiliser la zone de texte.

Voici quelques exemples de règles avancées ou de syntaxe pour lesquelles nous vous recommandons de construire à l’aide de la zone de texte :

Notes

Le générateur de règles peut ne pas être en mesure d’afficher certaines règles construites dans la zone de texte. Un message peut s’afficher lorsque le générateur de règles n’est pas en mesure d’afficher la règle. Le générateur de règles ne modifie en aucune façon la syntaxe, la validation ou le traitement des règles de groupe dynamique pris en charge.

Capture d’écran montrant la page « Règles d’appartenance dynamique » avec l’action « Ajouter une expression » sous l’onglet « Configurer les règles » sélectionnée.

Pour obtenir des exemples de syntaxe des règles, des propriétés prises en charge, des opérateurs et des valeurs pris en charge pour une règle d’appartenance, consultez Règles d’appartenance dynamique pour les groupes dans Azure Active Directory.

Pour créer une règle d’appartenance à un groupe

  1. Connectez-vous au Centre d’administration Azure AD avec un compte du rôle Administrateur général, Administrateur Intune ou Administrateur d’utilisateurs dans l’organisation Azure AD.

  2. Recherchez et sélectionnez Groupes.

  3. Sélectionnez Tous les groupes, puis Nouveau groupe.

    Capture d’écran montrant comment sélectionner l’action « ajouter un nouveau groupe »

  4. Dans la page Groupe, entrez le nom et la description du nouveau groupe. Sélectionnez un Type d’appartenance pour les utilisateurs ou les appareils, puis sélectionnez Ajouter une requête dynamique. Le générateur de règles prend en charge jusqu'à cinq expressions. Pour ajouter plus de cinq expressions, vous devez utiliser la zone de texte.

    Capture d’écran montrant la page « Tous les groupes » avec l’action « Nouveau groupe » sélectionnée.

  5. Pour afficher les propriétés d’extension personnalisées disponibles pour votre requête d’appartenance :

    1. Sélectionnez Obtenir les propriétés d’extension personnalisée
    2. Entrez l’ID de l’application, puis sélectionnez Actualiser les propriétés.
  6. Une fois la règle créée, sélectionnez Enregistrer.

  7. Sélectionnez Créer sur la page Nouveau groupe pour créer le groupe.

Si la règle que vous avez entrée n’est pas valide, une explication de la raison pour laquelle la règle n’a pas pu être traitée s’affiche dans une notification Azure du portail. Lisez-la avec attention pour savoir comment corriger la règle.

Pour mettre à jour une règle existante

  1. Connectez-vous au Centre d’administration Azure AD avec un compte du rôle Administrateur général, Administrateur Intune ou administrateur d’utilisateurs dans l’organisation Azure AD.

  2. Sélectionnez Groupes>Tous les groupes.

  3. Sélectionnez un groupe pour ouvrir son profil.

  4. Sur la page de profil du groupe, sélectionnez Règles d'appartenance dynamique. Le générateur de règles prend en charge jusqu'à cinq expressions. Pour ajouter plus de cinq expressions, vous devez utiliser la zone de texte.

    Capture d’écran montrant comment ajouter une règle d’appartenance à un groupe dynamique

  5. Pour afficher les propriétés d'extension personnalisées disponibles pour votre règle d'appartenance :

    1. Sélectionnez Obtenir les propriétés d’extension personnalisée
    2. Entrez l’ID de l’application, puis sélectionnez Actualiser les propriétés.
  6. Une fois la règle mise à jour, sélectionnez Enregistrer.

Activer ou désactiver l’e-mail de bienvenue

Lorsqu’un groupe Microsoft 365 est créé, une notification de bienvenue est envoyée par e-mail aux utilisateurs qui sont ajoutés au groupe. Plus tard, si un attribut d’utilisateur ou d’appareil change (uniquement dans le cas de groupes de sécurité), toutes les règles de groupe dynamique au sein de l’organisation sont traitées pour les modifications d’appartenance. Les utilisateurs qui sont alors ajoutés reçoivent également la notification de bienvenue. Vous pouvez désactiver ce comportement dans Exchange PowerShell.

Vérifier l’état de traitement d’une règle

Vous pouvez voir l’état de traitement des règles dynamiques et la date de la dernière modification d’adhésion dans la page Vue d’ensemble du groupe.

Diagramme de l’état du groupe dynamique

Les messages d’état suivants peuvent être affichés pour l’état Traitement des règles dynamiques :

  • Évaluation : le changement de groupe a été reçu, et les mises à jour sont en cours d’évaluation.
  • En cours de traitement : les mises à jour sont en cours de traitement.
  • Mise à jour terminée : le traitement est terminé et toutes les mises à jour applicables ont été effectuées.
  • Erreur de traitement : impossible de terminer le traitement en raison d’une erreur d’évaluation de la règle d’adhésion.
  • Mise à jour suspendue : les mises à jour de la règle d’appartenance dynamique ont été suspendues par l’administrateur. Le paramètre MembershipRuleProcessingState est défini sur « Suspendu ».

Notes

Dans cet écran, vous pouvez également choisir de suspendre le traitement. Auparavant, cette option était disponible uniquement via la modification de la propriété membershipRuleProcessingState. Les administrateurs généraux, les administrateurs de groupe, les administrateurs d’utilisateurs et les administrateurs Intune peuvent gérer ce paramètre et suspendre et reprendre le traitement dynamique des groupes. Les propriétaires de groupes sans les rôles appropriés ne disposent pas des droits nécessaires pour modifier ce paramètre.

Les messages d’état suivants peuvent être affichés pour l’état Dernière modification d’adhésion :

  • <Date et heure> : date et heure de la dernière mise à jour de l’appartenance.
  • En cours : les mises à jour sont en cours d’exécution.
  • Inconnue : impossible de récupérer l’heure de la dernière mise à jour. Le groupe est peut-être nouveau.

Si une erreur se produit lors du traitement de la règle d’appartenance pour un groupe spécifique, une alerte s’affiche en haut de la page Vue d’ensemble du groupe. Si aucune mise à jour d’appartenance dynamique en attente ne peut être traitée pour tous les groupes au sein de l’organisation pendant plus de 24 heures, une alerte s’affiche en haut de Tous les groupes.

Capture d’écran montrant comment traiter les alertes de message d’erreur

Étapes suivantes

Les articles suivants fournissent des informations supplémentaires sur l’utilisation des groupes dans Azure Active Directory.