Changer les groupes statiques en groupes d’appartenance dynamique dans Microsoft Entra ID
Vous pouvez définir l’appartenance au groupe sur dynamique au lieu de statique (ou vice versa) dans Microsoft Entra ID, qui fait partie de Microsoft Entra. Comme Microsoft Entra ID garde le même nom de groupe et le même ID dans le système, toutes les références existantes au groupe restent valides. Si, au lieu de cela, vous créez un groupe, vous devez mettre à jour ces références. La création de groupes d’appartenance dynamique élimine la surcharge de gestion lors de l’ajout et la suppression d’utilisateurs. Cet article vous indique comment convertir des groupes existants de groupes statiques en groupes d’appartenance dynamique à l’aide du portail ou des applets de commande PowerShell. Dans Microsoft Entra, un seul locataire peut avoir un maximum de 15 000 groupes d’appartenance dynamique.
Avertissement
Quand vous transformez un groupe statique existant en groupe dynamique, tous les membres existants sont supprimés du groupe, puis la règle d’appartenance est traitée pour ajouter de nouveaux membres. Si le groupe est utilisé pour contrôler l’accès aux applications ou aux ressources, n’oubliez pas que les membres d’origine peuvent perdre leur accès tant que la règle d’appartenance n’a pas été totalement traitée.
Nous vous recommandons de tester la nouvelle règle d’appartenance au préalable pour vous assurer que la nouvelle appartenance du groupe est conforme à votre attente. Si vous rencontrez des erreurs pendant votre test, consultez Résolution des problèmes de licence du groupe.
Changer le type d’appartenance pour un groupe
Les étapes suivantes peuvent être effectuées à l’aide d’un compte disposant au minimum du rôle Administrateur de groupes.
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.
- Sélectionnez Microsoft Entra ID.
- Groupes.
- Depuis la liste Tous les groupes, ouvrez le groupe que vous souhaitez modifier.
- Sélectionner Propriétés.
- Sur la page Propriétés du groupe, sélectionnez un Type d’appartenance entre Utilisateur affecté (statique) ou dynamique et Appareil dynamique, selon le type d’appartenance souhaité. Pour des groupes d’appartenance dynamique, vous pouvez utiliser le générateur de règle pour sélectionner les options d’une règle simple, ou écrire vous-même une règle d’appartenance.
Les étapes suivantes sont un exemple de modification de groupe statique en groupe d’appartenance dynamique pour un groupe d’utilisateurs.
Sur la page Propriétés du groupe sélectionné, sélectionnez Utilisateur dynamique comme type d’appartenance. Cliquez ensuite sur Oui dans la boîte de dialogue expliquant les modifications apportées aux groupes d’appartenance dynamique pour continuer.
Sélectionnez Ajouter une requête dynamique, puis ajoutez la règle.
Après avoir créé la règle, sélectionnez Ajouter une requête en bas de la page.
Sélectionnez Enregistrer sur la page Propriétés du groupe pour enregistrer vos modifications. Le type d’appartenance du groupe est immédiatement mis à jour dans la liste de groupes.
Conseil
La conversion d’un groupe peut échouer si la règle d’appartenance que vous avez entrée est incorrecte. Une notification s’affiche alors dans le coin supérieur droit du portail. Elle contient une explication de la raison pour laquelle la règle ne peut pas être acceptée par le système. Lisez-la avec attention pour comprendre comment vous pouvez ajuster la règle pour la rendre valide. Pour obtenir des exemples de syntaxe de règle et la liste complète des propriétés, opérateurs et valeurs pris en charge d’une règle d’appartenance, consultez Gérer les règles pour les groupes d’appartenance dynamique dans Microsoft Entra ID.
Changer le type d’appartenance pour un groupe (PowerShell)
Remarque
Pour modifier les propriétés de groupe dynamique, vous devez utiliser les applets de commande du module Microsoft Graph PowerShell. pour plus d’informations, consultez Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Voici un exemple de fonctions qui permettent de changer la gestion des appartenances d’un groupe existant. Dans cet exemple, une attention particulière est nécessaire pour manipuler correctement la propriété GroupTypes et conserver toutes les valeurs qui ne sont pas liées aux groupes d’appartenance dynamique.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Pour rendre un groupe statique :
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Pour rendre un groupe dynamique :
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Étapes suivantes
Ces articles fournissent des informations supplémentaires sur les groupes dans Microsoft Entra ID.