Modificare l'appartenenza statica al gruppo dinamico in Microsoft Entra ID
È possibile modificare l'appartenenza di un gruppo da statica a dinamica (o viceversa) in Microsoft Entra ID, parte di Microsoft Entra. Microsoft Entra ID mantiene lo stesso nome di gruppo e ID nel sistema, quindi tutti i riferimenti esistenti al gruppo sono ancora validi. Se invece si crea un nuovo gruppo, è necessario aggiornare tali riferimenti. L'appartenenza a gruppi dinamica elimina il sovraccarico di gestione per l'aggiunta e la rimozione di utenti. Questo articolo illustra come convertire i gruppi esistenti dall'appartenenza statica all'appartenenza dinamica usando il portale o i cmdlet di PowerShell.
Avviso
Quando si modifica un gruppo statico esistente in gruppo dinamico, tutti i membri esistenti vengono rimossi dal gruppo e quindi la regola di appartenenza viene elaborata per aggiungere nuovi membri. Se il gruppo viene usato per controllare l'accesso alle app o alle risorse, i membri originali potrebbero perdere l'accesso finché non viene completata l'elaborazione della regola di appartenenza.
È consigliabile testare prima la nuova regola di appartenenza per verificare che la nuova appartenenza nel gruppo sia quella prevista.
Modificare il tipo di appartenenza per un gruppo
I passaggi seguenti possono essere eseguiti usando un account con ruoli di amministratore globale, amministratore utente o gruppi assegnati.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.
- Selezionare Microsoft Entra ID.
- Gruppi.
- Dall'elenco Tutti i gruppi aprire il gruppo che si vuole modificare.
- Selezionare Proprietà.
- Nella pagina Proprietà del gruppo selezionare Assegnato (statico), Utente dinamico o Dispositivo dinamico come Tipo di appartenenza, a seconda del tipo di appartenenza desiderato. Per l'appartenenza dinamica è possibile usare il generatore di regole per selezionare le opzioni per una regola semplice oppure scrivere manualmente una regola di appartenenza.
I passaggi seguenti offrono un esempio della procedura da seguire per modificare da statica a dinamica l'appartenenza per un gruppo di utenti.
Nella pagina Proprietà del gruppo selezionato selezionare Utente dinamico come Tipo di appartenenza e quindi selezionare Sì nella finestra di dialogo che descrive le modifiche all'appartenenza del gruppo per continuare.
Selezionare Aggiungi query dinamica e quindi specificare la regola.
Dopo aver creato la regola, selezionare Aggiungi query nella parte inferiore della pagina.
Selezionare Salva nella pagina Proprietà del gruppo per salvare le modifiche. Il valore di Tipo di appartenenza del gruppo viene aggiornato immediatamente nell'elenco dei gruppi.
Suggerimento
La conversione del gruppo potrebbe non riuscire se la regola di appartenenza immessa non è corretta. Nell'angolo superiore destro del portale viene visualizzata una notifica che contiene una spiegazione dei motivi per cui la regola non può essere accettata dal sistema. Leggerla attentamente per capire come modificare la regola per renderla valida. Per esempi di sintassi delle regole e un elenco completo delle proprietà, degli operatori e dei valori supportati per una regola di appartenenza, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
Modificare il tipo di appartenenza per un gruppo (PowerShell)
Nota
Per modificare le proprietà dei gruppi dinamici, è necessario usare i cmdlet del modulo Microsoft Graph PowerShell. Per altre informazioni, vedere Installare Microsoft Graph PowerShell SDK.
Di seguito è riportato un esempio delle funzioni che cambiano la gestione delle appartenenze in un gruppo esistente. In questo esempio è necessario prestare attenzione a modificare correttamente la proprietà GroupTypes e a mantenere i valori eventualmente non correlati all'appartenenza dinamica.
#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Per rendere statico un gruppo:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Per rendere dinamico un gruppo:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Passaggi successivi
Questi articoli forniscono informazioni aggiuntive sui gruppi in Microsoft Entra ID.