Creare o aggiornare un gruppo di appartenenza dinamica in Microsoft Entra ID
È possibile usare le regole per determinare i gruppi di appartenenza dinamica in base alle proprietà utente o dispositivo in Microsoft Entra ID, parte di Microsoft Entra. Questo articolo illustra come configurare una regola nel portale di Azure per i gruppi di appartenenza dinamica.
L'appartenenza a gruppi in base alle proprietà utente o dispositivo è supportata per i gruppi di sicurezza e i gruppi di Microsoft 365. Quando si applica una regola per un gruppo di appartenenza dinamica, gli attributi utente e dispositivo vengono valutati per corrispondenze con la regola di appartenenza. Quando un attributo di un utente o un dispositivo cambia, tutte le regole per i gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche. Gli utenti e i dispositivi vengono aggiunti o rimossi se soddisfano le condizioni per un gruppo di appartenenza dinamica. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.
Nota
I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti.
L'uso dei gruppi di appartenenza dinamica richiede la licenza Microsoft Entra ID P1 o la licenza di Intune per Education. Per maggiori informazioni, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID
Generatore di regole nel portale di Azure
Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.
Di seguito sono riportati alcuni esempi di regole o sintassi avanzate che si consiglia di generare utilizzando la casella di testo:
- Regola con più di cinque espressioni
- La regola per i dipendenti diretti
- Impostazione della precedenza degli operatore
- Regole con espressioni complesse; ad esempio
(user.proxyAddresses -any (_ -contains "contoso"))
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Può essere visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.
Per esempi di sintassi, proprietà, operatori e valori supportati per una regola di appartenenza, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.
Per creare una regola per un gruppo di appartenenza dinamica
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.
Selezionare Microsoft Entra ID.>Gruppi.
Selezionare Tutti i gruppi e selezionare Nuovo gruppo.
Nella pagina Gruppo immettere un nome e una descrizione per il nuovo gruppo. Selezionare un tipo di appartenenza per utenti o dispositivi e quindi selezionare Aggiungi query dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.
Per visualizzare le proprietà di estensione personalizzate disponibili per la query di appartenenza:
- Selezionare Ottieni le proprietà dell'estensione personalizzata
- Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
Dopo avere creato la regola, selezionare Salva.
Selezionare Crea nella pagina Nuovo gruppo per creare il gruppo.
Se la regola immessa non è valida, una spiegazione del motivo per cui non è stato possibile elaborare la regole viene visualizzata in una notifica nel portale. Leggere attentamente per comprendere come correggere la regola.
Per aggiornare una regola esistente
Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.
Selezionare Microsoft Entra ID.
Selezionare Gruppi>Tutti i gruppi.
Selezionare un gruppo per aprirne il profilo.
Nella pagina del profilo del gruppo selezionare Regole di appartenenza dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.
Per visualizzare le proprietà di estensione personalizzate disponibili per la regola di appartenenza:
- Selezionare Ottieni le proprietà dell'estensione personalizzata
- Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
Dopo aver aggiornato la regola, selezionare Salva.
Attivare o disattivare il messaggio di posta elettronica di benvenuto
Quando viene creato un nuovo gruppo di Office 365, a tutti gli utenti aggiunti al gruppo viene inviata una notifica email di benvenuto. In seguito, se gli attributi di un utente o un dispositivo (solo per i gruppi di sicurezza) cambiano, tutte le regole per i gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.
Controllare lo stato di elaborazione per una regola
È possibile visualizzare lo stato di elaborazione della regola e la data dell'ultimo aggiornamento dell'appartenenza nella pagina Panoramica per il gruppo di appartenenza dinamica.
I seguenti messaggi di stato possono essere visualizzati per lo stato di Elaborazione regola dinamica:
- Valutazione: la modifica dei gruppi è stata ricevuta e gli aggiornamenti sono in fase di valutazione.
- Elaborazione: gli aggiornamenti sono in fase di elaborazione.
- Aggiornamento completato: l’elaborazione è stata completata e tutti gli aggiornamenti sono stati apportati.
- Errore di elaborazione: impossibile completare l'elaborazione a causa di un errore di valutazione relativo alla regola di appartenenza.
- Aggiornamento sospeso: regola per gli aggiornamenti del gruppo di appartenenza dinamica che sono stati sospesi dall'amministratore. MembershipRuleProcessingState è impostato su "Paused".
- Non avviato: l'elaborazione non ancora avviata.
Nota
In questa schermata è anche possibile scegliere di sospendere l'elaborazione. In precedenza, questa opzione era disponibile solo tramite la modifica della proprietà membershipRuleProcessingState. Gli utenti assegnati almeno il ruolo Amministratore gruppi possono gestire questa impostazione e possono sospendere e riprendere l'elaborazione del gruppo di appartenenza dinamica. I proprietari del gruppo senza i ruoli corretti non dispongono dei diritti necessari per modificare questa impostazione.
I seguenti messaggi di stato possono essere visualizzati per lo stato dell'Ultima modifica dell'appartenenza:
- <Data e ora>: ora dell'ultimo aggiornamento dell'appartenenza.
- In corso: aggiornamenti in corso.
- Sconosciuto: non è possibile recuperare l'orario dell'ultimo aggiornamento. Il gruppo potrebbe essere nuovo.
Importante
Dopo la sospensione e la ripresa dell'elaborazione dei gruppi di appartenenza dinamica, la data "Ultima modifica dell'appartenenza" mostrerà un valore segnaposto. Questo valore viene aggiornato al termine dell'elaborazione.
Se si verifica un errore durante l'elaborazione della regola di appartenenza per un gruppo specifico, un avviso viene visualizzato nella parte superiore della Pagina di panoramica per il gruppo. Se non è possibile elaborare aggiornamenti in sospeso per i gruppi di appartenenza dinamica all'interno dell'organizzazione per oltre 24 ore, viene visualizzato un avviso nella parte superiore di Tutti i gruppi .
Passaggi successivi
Gli articoli seguenti forniscono informazioni aggiuntive su come usare i gruppi in Microsoft Entra ID.