Créer des groupes dynamiques à l’aide de Microsoft Entra générateur de règles

  • 10 minutes

Les organisations peuvent utiliser des règles pour déterminer l’appartenance au groupe. Vous pouvez baser ces règles sur les propriétés de l’utilisateur ou de l’appareil dans Microsoft Entra ID. Microsoft 365 prend en charge l’appartenance dynamique pour les groupes de sécurité et les Groupes Microsoft 365.

Lorsque vous créez un groupe avec une appartenance dynamique, le système évalue les attributs utilisateur et appareil pour les correspondances avec la règle d’appartenance. Lorsqu’un attribut change pour un utilisateur ou un appareil, le système examine toutes les règles de groupe dynamiques dans le organization à la recherche de modifications d’appartenance. Il ajoute ou supprime ensuite des utilisateurs et des appareils s’ils remplissent les conditions d’un groupe.

Importante

Les organisations qui implémentent des groupes dynamiques doivent avoir une licence Microsoft Entra Premium P1 ou une licence Microsoft Intune éducation pour chaque utilisateur unique membre d’un groupe dynamique. Vous n’avez pas besoin d’attribuer des licences aux utilisateurs pour qu’ils soient membres de groupes dynamiques, mais vous devez disposer du nombre minimal de licences dans le Microsoft Entra organization pour couvrir tous ces utilisateurs. Par exemple, si vous aviez un total de 1 000 utilisateurs uniques dans tous les groupes dynamiques de votre organization, vous aurez besoin d’au moins 1 000 licences pour Microsoft Entra Premium P1 pour répondre aux exigences de licence. Les organisations n’ont pas besoin d’une licence pour les appareils qui sont membres d’un groupe d’appareils dynamique.

Générateur de règles dans le centre d’administration Microsoft Entra

Microsoft Entra ID fournit un outil générateur de règles pour créer et mettre à jour vos règles importantes plus rapidement. Le générateur de règles prend en charge la construction de cinq expressions au maximum. Le générateur de règles facilite la création d’une règle avec quelques expressions simples. Toutefois, vous ne pouvez pas l’utiliser pour reproduire chaque règle. Si les expressions du générateur de règles ne prennent pas en charge la règle que vous souhaitez créer, vous pouvez utiliser la zone de texte syntaxe de règle.

La liste suivante fournit quelques exemples de règles avancées ou de syntaxe que vous devez construire à l’aide de la zone de texte syntaxe de règle :

Remarque

Le générateur de règles peut ne pas être en mesure d’afficher certaines règles construites dans la zone de texte. Vous pouvez recevoir un message lorsque le générateur de règles ne peut pas afficher la règle. Le générateur de règles ne modifie en aucune façon la syntaxe, la validation ou le traitement des règles de groupe dynamique prises en charge.

Lecture supplémentaire. Pour obtenir des exemples de syntaxe, de propriétés, d’opérateurs et de valeurs pris en charge pour une règle d’appartenance, consultez Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.

Pour créer une règle d’appartenance à un groupe, procédez comme suit :

  1. Accédez à la centre d’administration Microsoft Entra (entrez https://entra.microsoft.comou, dans le Centre d’administration Microsoft 365, sélectionnez Afficher tout, puis sous Administration section Centres, sélectionnez Identité). Connectez-vous avec un compte Administrateur général, administrateur Intune ou Administrateur d’utilisateurs dans le Microsoft Entra organization.

  2. Dans le volet de navigation de gauche, sélectionnez Groupes , puis Tous les groupes.

  3. Sur les groupes | Fenêtre Tous les groupes , sélectionnez Nouveau groupe dans la barre de menus.

    Capture d’écran montrant la fenêtre Tous les groupes dans le centre d’administration Microsoft Entra avec l’option Nouveau groupe mise en évidence.

  4. Dans la page Nouveau groupe, entrez les informations suivantes :

    • Nom du groupe
    • Description du groupe
    • Microsoft Entra rôles peuvent être attribués au groupe. Définissez le commutateur bascule sur Oui ou Non.
    • Type d’appartenance. Sélectionnez Utilisateur dynamique ou Appareil dynamique.

  5. Dans la section Propriétaires , sélectionnez Aucun propriétaire sélectionné. Dans le volet Ajouter des propriétaires qui s’affiche, sélectionnez les propriétaires du groupe.

  6. Sous Membres utilisateur dynamiques, sélectionnez Ajouter une requête dynamique.

    Capture d’écran montrant la fenêtre Nouveau groupe avec l’option Ajouter une requête dynamique mise en évidence.

  7. Dans la fenêtre Règles d’appartenance dynamique qui s’affiche, l’onglet Configurer les règles s’affiche par défaut. Vous pouvez utiliser le générateur de règles ou la zone de texte syntaxe de règle pour créer ou modifier une règle d’appartenance dynamique. Le générateur de règles prend en charge jusqu’à cinq expressions. Pour ajouter plus de cinq expressions, vous devez utiliser la zone de texte syntaxe de règle.

    Capture d’écran montrant la fenêtre Règles d’appartenance dynamique.

  8. Pour afficher les propriétés d’extension personnalisées disponibles pour votre requête d’appartenance :

    1. Sélectionnez +Obtenir les propriétés d’extension personnalisées.
    2. Dans le volet Obtenir les propriétés d’extension personnalisées qui s’affiche, entrez l’ID d’application , puis sélectionnez Actualiser les propriétés. Cela affiche la liste complète des propriétés d’extension personnalisées à utiliser lors de la création d’une règle d’appartenance dynamique. Pour plus d’informations sur cette fonctionnalité, consultez la section à la fin de cette unité intitulée Propriétés d’extension et propriétés d’extension personnalisées.

  9. Après avoir créé la règle, sélectionnez Enregistrer.

  10. Sélectionnez Créer dans la page Nouveau groupe pour créer le groupe.

Si la règle que vous avez entrée n’est pas valide, le système affiche une explication expliquant pourquoi il n’a pas pu traiter la règle. Cette notification fournit généralement des instructions sur la façon de corriger la règle.

Créer une règle d’appartenance dynamique

Conseil

Cette formation vous présente les principes fondamentaux de la création de règles d’appartenance dynamiques. Il décrit la syntaxe de base utilisée dans une seule expression, les valeurs prises en charge pour les expressions, les règles pour les expressions multiples et complexes et les propriétés d’extension. Il fournit également quelques exemples de base de règles couramment utilisées. Si vous êtes intéressé par des conseils plus avancés sur la syntaxe de règle et les différentes propriétés prises en charge, consultez Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.

Les règles basées sur les attributs activent l’appartenance dynamique pour un groupe dans Microsoft Entra ID. Vous pouvez configurer une règle d’appartenance dynamique sur des groupes de sécurité ou des groupes Microsoft 365. Lorsque les attributs d’un utilisateur ou d’un appareil changent, le système évalue toutes les règles de groupe dynamique dans un répertoire pour voir si la modification déclenche des ajouts ou des suppressions de groupes. Si un utilisateur ou un appareil satisfait à la règle d’un groupe, le système l’ajoute automatiquement en tant que membre de ce groupe. Le système les supprime automatiquement de l’appartenance au groupe s’ils ne satisfont plus à la règle.

Les règles suivantes régissent l’appartenance dynamique :

  • Vous ne pouvez pas ajouter ou supprimer manuellement un membre d’un groupe dynamique.
  • Vous pouvez créer un groupe dynamique pour les appareils ou les utilisateurs, mais vous ne pouvez pas créer une règle qui contient à la fois des utilisateurs et des appareils.
  • Vous ne pouvez pas créer un groupe d’appareils basé sur les attributs utilisateur du propriétaire de l’appareil. Les règles d’appartenance d’appareil peuvent uniquement référencer des attributs d’appareil.

Syntaxe de règle pour une expression unique

Une expression unique est la forme la plus simple d’une règle d’appartenance. Une règle avec une seule expression ressemble à cet exemple : Property Operator Value, où la syntaxe de la propriété est le nom de object.property.

L’exemple suivant illustre une règle d’appartenance correctement construite avec une seule expression :

user.department -eq “Sales“

Les parenthèses sont facultatives pour une seule expression. La longueur totale du corps de votre règle d’appartenance ne peut pas dépasser 3 072 caractères.

Opérateurs d’expression pris en charge

Le tableau suivant répertorie tous les opérateurs pris en charge et leur syntaxe pour une seule expression. Vous pouvez utiliser des opérateurs avec ou sans préfixe de trait d’union (-). L’opérateur Contains effectue des correspondances de chaîne partielles, mais pas des correspondances d’élément dans une collection.

Opérateur Syntaxe
Non égal à -ne
Égal à -eq
Ne commence pas par -notStartsWith
Commence par startsWith
Ne contient pas -notContains
Contains -contains
Non-correspondance -notMatch
Correspondance -match
Dans le paramètre dans
Pas dans -notIn

Si vous souhaitez comparer la valeur d’un attribut utilisateur à plusieurs valeurs, vous pouvez utiliser les opérateurs -in ou -notIn . Utilisez les symboles "[" and "]" de crochet pour commencer et terminer la liste des valeurs.

Dans l’exemple suivant, l’expression prend la valeur true si la valeur de user.department est égale à l’une des valeurs de la liste :

user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Vous pouvez utiliser l’opérateur -match pour mettre en correspondance n’importe quelle expression régulière.

Exemple 1 :

user.displayName -match "Da.*"

Dans cet exemple, « Da », « Dav » et « David » prennent la valeur True, tandis que « aDa » prend la valeur False.

Exemple 2 :

user.displayName -match ".*vid"

Dans cet exemple, « David » prend la valeur True, tandis que « Da » prend la valeur False.

Construction du corps d’une règle d’appartenance

Une règle d’appartenance qui remplit automatiquement un groupe avec des utilisateurs ou des appareils est une expression binaire qui aboutit à un résultat vrai ou faux. Les trois parties d’une règle simple sont les suivantes :

  • Propriété
  • Opérateur
  • Valeur

Conseil

L’ordre des parties au sein d’une expression est important pour éviter les erreurs de syntaxe.

Propriétés prises en charge

Vous pouvez utiliser trois types de propriétés pour construire une règle d’appartenance.

  • Boolean
  • String
  • String collection

Valeurs prises en charge

Les valeurs utilisées dans une expression peuvent être constituées de plusieurs types, notamment :

  • Chaînes
  • Booléen – true, false
  • Nombres
  • Tableaux : tableau de nombres, tableau de chaînes

Lorsque vous spécifiez une valeur dans une expression, il est important d’utiliser la syntaxe correcte pour éviter les erreurs. Voici quelques conseils de syntaxe :

  • Les guillemets doubles sont facultatifs, sauf si la valeur est une chaîne.
  • Les opérations de chaîne et d’expression régulière ne respectent pas la casse.
  • Lorsqu’une valeur de chaîne contient des guillemets doubles, vous devez placer les deux guillemets dans une séquence d’échappement à l’aide du caractère « ». Par exemple, la syntaxe appropriée lorsque « Sales » est la valeur est : user.department -eq ` “Sales“ '
  • Vous devez placer des guillemets simples dans une séquence d’échappement à l’aide de deux guillemets simples au lieu d’un à chaque fois.
  • Vous pouvez également effectuer des vérifications Null, en utilisant null comme valeur. Par exemple : user.department -eq null

Règles avec plusieurs expressions

Une règle d’appartenance à un groupe peut se composer de plusieurs expressions uniques connectées par les opérateurs logiques -and, -or et -not. Vous pouvez également utiliser des opérateurs logiques en combinaison.

Voici des exemples de règles d’appartenance correctement construites avec plusieurs expressions :

(user.department -eq “Sales“) -or (user.department -eq “Marketing“)

(user.department -eq “Sales“) -and -not (user.jobTitle -contains “SDE“)

Règles avec des expressions complexes

Une règle d’appartenance peut se composer d’expressions complexes où les propriétés, les opérateurs et les valeurs prennent des formes plus complexes. Le système considère une expression complexe lorsque l’une des conditions suivantes est vraie :

  • La propriété se compose d’une collection de valeurs ; en particulier, les propriétés à valeurs multiples.
  • Les expressions utilisent les opérateurs -any et -all.
  • La valeur de l’expression peut elle-même être une ou plusieurs expressions.

Exemples de règles courantes

Créer une règle de rapports directs

Vous pouvez créer un groupe contenant tous les rapports directs d’un responsable. Lorsque les rapports directs du responsable changent à l’avenir, le système ajuste automatiquement l’appartenance au groupe.

Vous pouvez construire la règle de rapports directs à l’aide de la syntaxe suivante :

Direct Reports for “{objectID_of_manager}“

Voici un exemple de règle valide, où « 62e19b97-8b3d-4d4a-a106-4ce66896a863 » est l’objectID du gestionnaire :

Direct Reports for “62e19b97-8b3d-4d4a-a106-4ce66896a863“

Les conseils suivants peuvent vous aider à utiliser la règle correctement.

  • L’ID du gestionnaire est l’ID d’objet du responsable. Vous trouverez l’ID du gestionnaire dans le profil du responsable.
  • Pour que la règle fonctionne, veillez à définir correctement la propriété Manager pour les utilisateurs de votre organization. Vous pouvez case activée la valeur actuelle dans le profil de l’utilisateur.
  • Cette règle prend uniquement en charge les rapports directs du responsable. En d’autres termes, vous ne pouvez pas créer un groupe avec les rapports directs du responsable et leurs rapports.
  • Vous ne pouvez pas combiner cette règle avec d’autres règles d’appartenance.

Créer une règle Tous les utilisateurs

Vous pouvez créer un groupe contenant tous les utilisateurs d’une organization à l’aide d’une règle d’appartenance. Lorsque vous ajoutez ou supprimez des utilisateurs à l’avenir, le système ajuste automatiquement l’appartenance au groupe.

Vous construisez la règle Tous les utilisateurs à l’aide d’une expression unique contenant l’opérateur -ne et la valeur Null. Cette règle ajoute des utilisateurs invités B2B et des utilisateurs membres à un groupe.

user.objectId -ne null

Si vous souhaitez que votre groupe exclut les utilisateurs invités et inclue uniquement les membres de votre organization, vous pouvez utiliser la syntaxe suivante :

(user.objectId -ne null) -and (user.userType -eq “Member“)

Créer une règle Tous les appareils

Vous pouvez créer un groupe contenant tous les appareils d’une organization à l’aide d’une règle d’appartenance. Comme pour les utilisateurs, lorsque vous ajoutez ou supprimez des appareils à l’avenir, le système ajuste automatiquement l’appartenance au groupe.

Vous construisez la règle Tous les appareils à l’aide d’une expression unique contenant l’opérateur -ne et la valeur null :

device.objectId -ne null

Propriétés d’extension et propriétés d’extension personnalisées

Le système prend en charge les attributs d’extension et les propriétés d’extension personnalisées en tant que propriétés de chaîne dans les règles d’appartenance dynamique. Il synchronise les attributs d’extension à partir de Windows Server Active Directory local ou les mises à jour à l’aide de Microsoft Graph. Ces attributs prennent le format extensionAttributeX, où X est égal à 1 - 15.

Attention

Le système ne prend pas en charge les propriétés d’extension à valeurs multiples dans les règles d’appartenance dynamique.

L’exemple suivant affiche une règle qui utilise un attribut d’extension comme propriété :

(user.extensionAttribute15 -eq “Marketing“)

Vous pouvez synchroniser les propriétés d’extension personnalisées à partir de :

  • Windows Server Active Directory locale
  • une application SaaS connectée
  • créé à l’aide de Microsoft Graph

Les propriétés d’extension personnalisées doivent utiliser le format de user.extension_[GUID]_[Attribute], où :

  • [GUID] est la version dépouillée de l’identificateur unique dans Microsoft Entra ID pour l’application qui a créé la propriété. Il contient uniquement les caractères 0-9 et A-Z.
  • [Attribut] est le nom de la propriété lors de sa création initiale.

Voici un exemple de règle qui utilise une propriété d’extension personnalisée :

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Les propriétés d’extension personnalisées sont également appelées propriétés d’extension de répertoire ou Microsoft Entra.

Vous pouvez trouver le nom de la propriété personnalisée dans le répertoire en interrogeant la propriété d’un utilisateur à l’aide de Graph Explorer et en recherchant le nom de la propriété. En outre, vous pouvez maintenant sélectionner le lien Obtenir les propriétés d’extension personnalisées dans le générateur de règles de groupe d’utilisateurs dynamique pour entrer un ID d’application unique. Cela affiche la liste complète des propriétés d’extension personnalisées à utiliser lors de la création d’une règle d’appartenance dynamique. Vous pouvez actualiser cette liste pour obtenir les nouvelles propriétés d’extension personnalisées pour cette application. Les attributs d’extension et les propriétés d’extension personnalisées doivent provenir des applications de votre locataire.