Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez remplacer l’appartenance d’un groupe statique à dynamique (ou vice versa) dans l’ID Microsoft Entra. Comme Microsoft Entra ID garde le même nom de groupe et le même ID dans le système, toutes les références existantes au groupe restent valides. Si vous créez un groupe à la place, vous devez mettre à jour ces références.
La création de groupes d’appartenances dynamiques élimine la surcharge de gestion de l’ajout et de la suppression d’utilisateurs. Cet article explique comment convertir des groupes d’appartenances existants de statiques en groupes dynamiques à l’aide du portail Azure ou des applets de commande PowerShell. Dans Microsoft Entra, un seul locataire peut avoir un maximum de 15 000 groupes d’appartenance dynamique.
Avertissement
Lorsque vous remplacez un groupe statique existant par un groupe dynamique, tous les membres existants sont supprimés du groupe. La règle d’appartenance est ensuite traitée pour ajouter de nouveaux membres. Si le groupe est utilisé pour contrôler l’accès aux applications ou aux ressources, les membres d’origine peuvent perdre l’accès jusqu’à ce que la règle d’appartenance soit entièrement traitée.
Nous vous recommandons de tester la nouvelle règle d’appartenance au préalable pour vous assurer que la nouvelle appartenance du groupe est conforme à votre attente. Si vous rencontrez des erreurs pendant votre test, consultez Résolution des problèmes de licence du groupe.
Conditions préalables
Pour modifier le type d’appartenance à l’aide du portail, vous avez besoin d’un compte qui a au moins le rôle Administrateur de groupes .
Pour modifier les propriétés de groupe dynamique à l’aide de PowerShell, vous devez utiliser des applets de commande à partir du module Microsoft Graph PowerShell. Pour plus d’informations, consultez Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Modifier le type d’appartenance d’un groupe (portail)
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de groupes au moins.
Sélectionnez Microsoft Entra ID.
Sélectionnez Groupes.
Dans la liste Tous les groupes , ouvrez le groupe que vous souhaitez modifier.
Sélectionner Propriétés.
Dans la page Propriétés du groupe, sélectionnez une valeur de type d'adhésionAssigné (statique),un utilisateur dynamique ou un appareil dynamique, selon le type d'adhésion souhaité. Pour des groupes d’appartenance dynamique, vous pouvez utiliser le générateur de règle pour sélectionner les options d’une règle simple, ou écrire vous-même une règle d’appartenance.
Les étapes suivantes sont un exemple de modification d’un groupe d’utilisateurs de statique en groupes d’appartenance dynamiques :
Pour le type d’appartenance, sélectionnez Utilisateur dynamique. Dans la boîte de dialogue qui explique les modifications apportées aux groupes d’appartenances dynamiques, sélectionnez Oui pour continuer.
Sélectionnez Ajouter une requête dynamique, puis ajoutez la règle.
Après avoir créé la règle, sélectionnez Ajouter une requête.
Dans la page Propriétés du groupe, sélectionnez Enregistrer pour enregistrer vos modifications. Le type d’appartenance du groupe est immédiatement mis à jour dans la liste de groupes.
Conseil
La conversion de groupe peut échouer si la règle d’appartenance que vous avez entrée était incorrecte. Dans le coin supérieur droit du portail, une notification explique pourquoi la règle ne peut pas être acceptée. Lisez-la avec attention pour comprendre comment vous pouvez ajuster la règle pour la rendre valide. Pour obtenir des exemples de syntaxe de règle et la liste complète des propriétés, opérateurs et valeurs pris en charge d’une règle d’appartenance, consultez Gérer les règles pour les groupes d’appartenance dynamique dans Microsoft Entra ID.
Modifier le type d’appartenance d’un groupe (PowerShell)
Voici un exemple de fonctions qui changent de gestion des appartenances sur un groupe existant. Cet exemple manipule correctement la GroupTypes propriété pour conserver les valeurs qui ne sont pas liées aux groupes d’appartenance dynamiques.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Pour rendre un groupe statique, utilisez cette commande :
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Pour rendre un groupe dynamique, utilisez cette commande :
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""