Changer l’appartenance au groupe statique en appartenance dynamique dans Microsoft Entra ID
Vous pouvez définir l’appartenance au groupe sur dynamique au lieu de statique (ou vice versa) dans Microsoft Entra ID, qui fait partie de Microsoft Entra. Comme Microsoft Entra ID garde le même nom de groupe et le même ID dans le système, toutes les références existantes au groupe restent valides. Si, au lieu de cela, vous créez un groupe, vous devez mettre à jour ces références. L’appartenance au groupe dynamique élimine la surcharge de gestion lors de l’ajout et la suppression d’utilisateurs. Cet article vous indiquer comment convertir des groupes existants de l’appartenance statique vers l’appartenance dynamique en tirant parti du portail ou des applets de commande PowerShell.
Avertissement
Quand vous transformez un groupe statique existant en groupe dynamique, tous les membres existants sont supprimés du groupe, puis la règle d’appartenance est traitée pour ajouter de nouveaux membres. Si le groupe est utilisé pour contrôler l’accès aux applications ou aux ressources, n’oubliez pas que les membres d’origine peuvent perdre leur accès tant que la règle d’appartenance n’a pas été totalement traitée.
Nous vous recommandons de tester la nouvelle règle d’appartenance au préalable pour vous assurer que la nouvelle appartenance du groupe est conforme à votre attente.
Changer le type d’appartenance pour un groupe
Les étapes suivantes peuvent être effectuées à l’aide d’un compte auquel les rôles Administrateur général, administrateur d’utilisateur ou administrateur de groupes sont attribués.
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.
- Sélectionnez Microsoft Entra ID.
- Groupes.
- Depuis la liste Tous les groupes, ouvrez le groupe que vous souhaitez modifier.
- Sélectionner Propriétés.
- Sur la page Propriétés du groupe, sélectionnez un Type d’appartenance entre Utilisateur affecté (statique) ou dynamique et Appareil dynamique, selon le type d’appartenance souhaité. Pour une appartenance dynamique, vous pouvez utiliser le générateur de règle pour sélectionner les options d’une règle simple, ou écrire vous-même une règle d’appartenance.
Les étapes suivantes sont un exemple de modification de l’appartenance d’un groupe de statique à dynamique pour un groupe d’utilisateurs.
Sur la page Propriétés du groupe sélectionné, sélectionnez Utilisateur dynamique comme type d’appartenance. Cliquez ensuite sur Oui dans la boîte de dialogue expliquant les modifications apportées à l’appartenance au groupe pour continuer.
Sélectionnez Ajouter une requête dynamique, puis ajoutez la règle.
Après avoir créé la règle, sélectionnez Ajouter une requête en bas de la page.
Sélectionnez Enregistrer sur la page Propriétés du groupe pour enregistrer vos modifications. Le type d’appartenance du groupe est immédiatement mis à jour dans la liste de groupes.
Conseil
La conversion d’un groupe peut échouer si la règle d’appartenance que vous avez entrée est incorrecte. Une notification s’affiche alors dans le coin supérieur droit du portail. Elle contient une explication de la raison pour laquelle la règle ne peut pas être acceptée par le système. Lisez-la avec attention pour comprendre comment vous pouvez ajuster la règle pour la rendre valide. Pour obtenir des exemples de syntaxe de règle et la liste complète des propriétés, opérateurs et valeurs d’une règle d’appartenance, consultez Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.
Changer le type d’appartenance pour un groupe (PowerShell)
Remarque
Pour modifier les propriétés de groupe dynamique, vous devez utiliser les applets de commande du module Microsoft Graph PowerShell. pour plus d’informations, consultez Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Voici un exemple de fonctions qui permettent de changer la gestion des appartenances d’un groupe existant. Dans cet exemple, une attention particulière est nécessaire pour manipuler correctement la propriété GroupTypes et conserver toutes les valeurs qui ne sont pas liées à l’appartenance dynamique.
#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Pour rendre un groupe statique :
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Pour rendre un groupe dynamique :
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Étapes suivantes
Ces articles fournissent des informations supplémentaires sur les groupes dans Microsoft Entra ID.