Creare o aggiornare un gruppo dinamico in Azure Active Directory

È possibile usare le regole per determinare l'appartenenza al gruppo in base alle proprietà utente o dispositivo in Azure Active Directory (Azure AD), parte di Microsoft Entra. Questo articolo descrive come configurare una regola per un gruppo dinamico nel portale di Azure. L'appartenenza dinamica è supportata per gruppi di sicurezza e Gruppi di Microsoft 365. Quando viene applicata una regola di appartenenza a un gruppo, gli attributi utente e dispositivo vengono valutati per le corrispondenze con la regola di appartenenza. Quando un attributo cambia per un utente o un dispositivo, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per le modifiche all'appartenenza. Gli utenti e i dispositivi vengono aggiunti o rimossi se soddisfano le condizioni per un gruppo. I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma Gruppi di Microsoft 365 possono essere solo gruppi di utenti. L'uso di gruppi dinamici richiede una licenza Di Azure AD Premium P1 o una licenza Intune per Education. Per altri dettagli, vedere Regole di appartenenza dinamica per i gruppi .

Generatore di regole nel portale di Azure

Azure AD fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.

Di seguito sono riportati alcuni esempi di regole o sintassi avanzate che si consiglia di generare utilizzando la casella di testo:

• Regola con più di cinque espressioni
• La regola per i dipendenti diretti
• Impostazione della precedenza degli operatore
• Regole con espressioni complesse; ad esempio (user.proxyAddresses -any (_ -contains "contoso"))

Nota

Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Può essere visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole di gruppo dinamiche supportate.

Per esempi di sintassi, proprietà, operatori e valori supportati per una regola di appartenenza, vedere Regole di appartenenza dinamiche per i gruppi in Azure Active Directory.

Per creare una regola di appartenenza a un gruppo

1. Accedere al portale di Azure con un account che si trova nell'amministratore globale, Intune amministratore o amministratore utenti nell'organizzazione di Azure AD.

2. Passare aGruppi di Azure Active Directory>.

3. Selezionare Tutti i gruppi e selezionare Nuovo gruppo.

   

4. Nella pagina Gruppo immettere un nome e una descrizione per il nuovo gruppo. Selezionare un tipo di appartenenza per utenti o dispositivi e quindi selezionare Aggiungi query dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

   

5. Per visualizzare le proprietà dell'estensione personalizzate disponibili per la query di appartenenza:

   1. Selezionare Recupera proprietà dell'estensione personalizzata
   2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.

6. Dopo aver creato la regola, selezionare Salva.

7. Selezionare Crea nella pagina Nuovo gruppo per creare il gruppo.

Se la regola immessa non è valida, una spiegazione del motivo per cui non è stato possibile elaborare la regole viene visualizzata in una notifica di Azure nel portale. Leggere attentamente per comprendere come correggere la regola.

Per aggiornare una regola esistente

1. Accedere al portale di Azure con un account che si trova nell'amministratore globale, amministratore del gruppo, Intune amministratore o amministratore utenti nell'organizzazione di Azure AD.

2. Passare aGruppi di>Azure Active Directory>Tutti i gruppi.

3. Selezionare un gruppo per aprirlo.

4. Nella pagina del profilo per il gruppo selezionare Regole di appartenenza dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

   

5. Per visualizzare le proprietà dell'estensione personalizzate disponibili per la regola di appartenenza:

   1. Selezionare Recupera proprietà dell'estensione personalizzata
   2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.

6. Dopo aver aggiornato la regola, selezionare Salva.

Attivare o disattivare il messaggio di posta elettronica di benvenuto

Quando viene creato un nuovo gruppo di Microsoft 365, viene inviata una notifica di posta elettronica di benvenuto agli utenti aggiunti al gruppo. In seguito, se gli attributi di un utente o di un dispositivo (solo in caso di gruppi di sicurezza) cambiano, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per le modifiche di appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Controllare lo stato di elaborazione per una regola

È possibile visualizzare lo stato di elaborazione delle regole dinamiche e l'ultima data di modifica dell'appartenenza nella pagina Panoramica del gruppo.

Per lo stato di elaborazione delle regole dinamiche è possibile visualizzare i messaggi di stato seguenti:

• Valutazione: la modifica del gruppo è stata ricevuta e gli aggiornamenti vengono valutati.
• Elaborazione: gli aggiornamenti sono in fase di elaborazione.
• Aggiornamento completato: l’elaborazione è stata completata e tutti gli aggiornamenti sono stati apportati.
• Errore di elaborazione: non è stato possibile completare l'elaborazione a causa di un errore durante la valutazione della regola di appartenenza.
• Aggiornamento sospeso: regola di appartenenza dinamica, gli aggiornamenti sono stati sospesi dall'amministratore. MembershipRuleProcessingState è impostato su "Paused".

Nota

In questa schermata è anche possibile scegliere Sospendere l'elaborazione. In precedenza, questa opzione era disponibile solo tramite la modifica della proprietà membershipRuleProcessingState. Gli amministratori globali, gli amministratori di gruppo, gli amministratori degli utenti e gli amministratori Intune possono gestire questa impostazione e possono sospendere e riprendere l'elaborazione dinamica dei gruppi. I proprietari del gruppo senza i ruoli corretti non dispongono dei diritti necessari per modificare questa impostazione.

I messaggi di stato seguenti possono essere visualizzati per Stato ultima modifica appartenenza :

• <Data e ora>: ora dell'ultimo aggiornamento dell'appartenenza.
• In corso: aggiornamenti in corso.
• Sconosciuto: non è possibile recuperare l'ora dell'ultimo aggiornamento. Il gruppo potrebbe essere nuovo.

Se si verifica un errore durante l'elaborazione della regola di appartenenza per un gruppo specifico, un avviso viene visualizzato nella parte superiore della Pagina di panoramica per il gruppo. Se non è possibile elaborare aggiornamenti delle appartenenze dinamiche in sospeso per tutti i gruppi all'interno dell'organizzazione per più di 24 ore, viene visualizzato un avviso nella parte superiore di Tutti i gruppi.

Passaggi successivi

Gli articoli seguenti forniscono informazioni aggiuntive su come usare i gruppi in Azure Active Directory.

• Vedere i gruppi esistenti
• Creare un nuovo gruppo e aggiunta di membri
• Gestire le impostazioni di un gruppo
• Gestire le appartenenze di un gruppo
• Gestire le regole dinamiche per gli utenti in un gruppo