Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser des règles pour déterminer les groupes d’appartenance dynamiques en fonction des propriétés de l’utilisateur ou de l’appareil dans Microsoft Entra ID. Cet article explique comment configurer une règle pour des groupes d’appartenances dynamiques dans le portail Azure.
L’appartenance à un groupe basée sur les propriétés de l’utilisateur ou de l’appareil est prise en charge pour les groupes de sécurité et les groupes Microsoft 365. Lorsque vous appliquez une règle pour un groupe d’appartenance dynamique, les correspondances avec la règle d’appartenance des attributs utilisateur et appareil sont évaluées. Lorsqu’un attribut utilisateur ou appareil change, toutes les règles pour les groupes d’appartenance dynamique au sein de l’organisation sont traitées pour tenir compte des modifications. Les utilisateurs et les appareils sont ajoutés ou supprimés s’ils remplissent les conditions d’un groupe d’appartenance dynamique. Dans Microsoft Entra ID, un seul locataire peut avoir un maximum de 15 000 groupes d’appartenance dynamiques.
Remarque
Les groupes de sécurité peuvent inclure des appareils ou des utilisateurs, mais les groupes Microsoft 365 peuvent inclure uniquement des utilisateurs.
L’utilisation de groupes d’appartenances dynamiques nécessite une licence Microsoft Entra ID P1 ou une licence Intune for Education. Pour plus d’informations, consultez Gérer les règles pour les groupes d’appartenances dynamiques dans Microsoft Entra ID.
Générateur de règles dans le portail Azure
Microsoft Entra ID fournit un générateur de règles pour créer et mettre à jour plus rapidement vos règles importantes. Le générateur de règles prend en charge la construction de jusqu’à cinq expressions.
Le générateur de règles facilite la création d’une règle avec quelques expressions simples. Toutefois, il ne peut pas être utilisé pour reproduire chaque règle. Si le générateur de règles ne prend pas en charge la règle que vous souhaitez créer, vous pouvez utiliser la zone de texte.
Voici quelques exemples de règles ou de syntaxe avancées pour lesquelles nous vous recommandons d’utiliser la zone de texte :
- Règle avec plus de cinq expressions
- Règle pour les rapports directs
- Définition de la priorité des opérateurs
-
Règle avec des expressions complexes ; par exemple
(user.proxyAddresses -any (_ -contains "contoso"))
Remarque
Le générateur de règles peut ne pas être en mesure d’afficher certaines règles construites dans la zone de texte. Un message peut s’afficher lorsque le générateur de règles ne peut pas afficher la règle. Le générateur de règles ne modifie en aucune façon la syntaxe, la validation ou le traitement des règles pour les groupes d’appartenance dynamique pris en charge.
Pour obtenir des exemples de syntaxe et de propriétés prises en charge, d’opérateurs et de valeurs pour une règle d’appartenance, consultez Gérer les règles pour les groupes d’appartenance dynamiques dans Microsoft Entra ID.
Créer une règle pour un groupe d’appartenances dynamique
Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.
Sélectionnez Microsoft Entra ID>Groupes.
Sélectionnez Tous les groupes, puis sélectionnez Nouveau groupe.
Dans le volet Groupe , entrez un nom et une description pour le nouveau groupe. Sélectionnez une valeur de type d’appartenance pour les utilisateurs ou les appareils, puis sélectionnez Ajouter une requête dynamique.
Dans le générateur de règles, ajoutez jusqu’à cinq expressions. Pour ajouter plus de cinq expressions, vous devez utiliser la zone de texte.
Pour afficher les propriétés d’extension personnalisées disponibles pour votre requête d’appartenance :
- Sélectionnez Obtenir les propriétés d’extension personnalisées.
- Entrez l’ID de l’application, puis sélectionnez Actualiser les propriétés.
Une fois la règle créée, sélectionnez Enregistrer.
Dans la page Nouveau groupe , sélectionnez Créer pour créer le groupe.
Si la règle que vous avez entrée n’est pas valide, le portail affiche une explication de la raison pour laquelle la règle n’a pas pu être traitée. Lisez-la avec attention pour savoir comment corriger la règle.
Mettre à jour une règle existante
Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.
Sélectionnez Microsoft Entra ID.
Sélectionnez Groupes>Tous les groupes.
Sélectionnez un groupe pour ouvrir son profil.
Sur la page de profil du groupe, sélectionnez Règles d'appartenance dynamique. Le générateur de règles prend en charge jusqu'à cinq expressions. Pour ajouter plus de cinq expressions, vous devez utiliser la zone de texte.
Pour afficher les propriétés d’extension personnalisées disponibles pour votre règle d’appartenance :
- Sélectionnez Obtenir les propriétés d’extension personnalisées.
- Entrez l’ID de l’application, puis sélectionnez Actualiser les propriétés.
Une fois la règle mise à jour terminée, sélectionnez Enregistrer.
Activer ou désactiver l’e-mail de bienvenue
Lorsqu’un administrateur crée un groupe Microsoft 365, les utilisateurs ajoutés au groupe reçoivent une notification par e-mail de bienvenue. Plus tard, si des attributs d’un utilisateur ou d’un appareil (uniquement pour les groupes de sécurité) changent, toutes les règles des groupes d’appartenance dynamiques de l’organisation sont traitées pour les modifications. Les utilisateurs qui sont alors ajoutés reçoivent également la notification de bienvenue.
Vous pouvez activer ou désactiver ce comportement dans Exchange PowerShell.
Vérifier l’état de traitement d’une règle
Vous pouvez voir l’état du traitement des règles et la date de la dernière modification d’appartenance sur la page vue d’ensemble du groupe d’appartenances dynamique.
Les messages d’état suivants peuvent apparaître pour l’état de traitement des règles dynamiques :
- Évaluation : la modification du groupe a été reçue et les mises à jour sont évaluées.
- En cours de traitement : les mises à jour sont en cours de traitement.
- Mise à jour terminée : le traitement a terminé et toutes les mises à jour applicables ont été effectuées.
- Erreur de traitement : le traitement n’a pas pu se terminer en raison d’une erreur lors de l’évaluation de la règle d’appartenance.
-
Mise à jour suspendue : l’administrateur a suspendu la règle pour mettre à jour les groupes d’appartenances dynamiques.
MembershipRuleProcessingStateest défini surPaused. - Non démarré : le traitement n’a pas démarré.
Remarque
Cette page dispose maintenant d’une option de traitement de pause . Auparavant, cette option était disponible uniquement par le biais de la modification de la membershipRuleProcessingState propriété. Une personne disposant au moins du rôle Administrateur de groupes peut gérer ce paramètre et peut suspendre et reprendre le traitement des groupes d’appartenances dynamiques. Les propriétaires de groupes qui n’ont pas les rôles appropriés n’ont pas les droits nécessaires pour modifier ce paramètre.
Les messages d’état suivants s’affichent pour la dernière modification de l’appartenance :
- <Date et heure> : l’appartenance a été mise à jour pour la dernière fois à cette date et à l’heure.
- En cours : les mises à jour sont en cours d’exécution.
- Inconnue : impossible de récupérer l’heure de la dernière mise à jour. Le groupe est peut-être nouveau.
Important
Après avoir suspendu et repris le traitement des groupes d'appartenance dynamique, la date de la dernière modification de l'appartenance affiche une valeur fictive. Cette valeur est mise à jour une fois le traitement terminé.
Si une erreur se produit pendant le traitement de la règle d’appartenance pour un groupe spécifique, une alerte apparaît en haut de la page de vue d’ensemble du groupe. Si aucune mise à jour en attente pour les groupes d’appartenance dynamiques ne peut être traitée pour tous les groupes au sein de l’organisation pendant plus de 24 heures, une alerte apparaît au-dessus de tous les groupes.
