Modificare i gruppi statici in gruppi di appartenenza dinamici in Microsoft Entra ID
Articolo
È possibile modificare l'appartenenza di un gruppo da statica a dinamica (o viceversa) in Microsoft Entra ID, parte di Microsoft Entra. Microsoft Entra ID mantiene invariati il nome e l'ID del gruppo nel sistema, in modo che tutti i riferimenti esistenti al gruppo rimangano validi. Se invece si crea un nuovo gruppo, è necessario aggiornare tali riferimenti. Creando i gruppi di appartenenza dinamici si elimina il sovraccarico di gestione per l'aggiunta e la rimozione di utenti. Questo articolo descrive come convertire i gruppi di appartenenza statici esistenti in dinamici usando il portale o i cmdlet di PowerShell. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.
Avviso
Quando si modifica un gruppo statico esistente in gruppo dinamico, tutti i membri esistenti vengono rimossi dal gruppo e quindi la regola di appartenenza viene elaborata per aggiungere nuovi membri. Se il gruppo viene usato per controllare l'accesso alle app o alle risorse, i membri originali potrebbero perdere l'accesso finché non viene completata l'elaborazione della regola di appartenenza.
È consigliabile testare prima la nuova regola di appartenenza per verificare che la nuova appartenenza nel gruppo sia quella prevista. Se si verificano errori durante il test, vedere Risolvere i problemi relativi alle licenze di gruppo.
Modificare il tipo di appartenenza per un gruppo
I seguenti passaggi possono essere eseguiti usando un account con almeno il ruolo Amministratore gruppi assegnato.
Dall'elenco Tutti i gruppi aprire il gruppo che si vuole modificare.
Selezionare Proprietà.
Nella pagina Proprietà del gruppo selezionare Assegnato (statico), Utente dinamico o Dispositivo dinamico come Tipo di appartenenza, a seconda del tipo di appartenenza desiderato. Peri gruppi di appartenenza dinamici è possibile usare il generatore di regole per selezionare le opzioni per una regola semplice oppure per scrivere manualmente una regola di appartenenza.
I seguenti passaggi offrono un esempio per modificare un gruppo statico in gruppi di appartenenza dinamica per un gruppo di utenti.
Nella pagina Proprietà del gruppo selezionato, selezionare Tipo di appartenenza di un Utente dinamico; quindi, selezionare Sì nella finestra di dialogo che descrive le modifiche dei gruppi di appartenenza dinamica per continuare.
Selezionare Aggiungi query dinamica e quindi specificare la regola.
Dopo aver creato la regola, selezionare Aggiungi query nella parte inferiore della pagina.
Selezionare Salva nella pagina Proprietà del gruppo per salvare le modifiche. Il valore di Tipo di appartenenza del gruppo viene aggiornato immediatamente nell'elenco dei gruppi.
Suggerimento
La conversione del gruppo potrebbe non riuscire se la regola di appartenenza immessa non è corretta. Nell'angolo superiore destro del portale viene visualizzata una notifica che contiene una spiegazione dei motivi per cui la regola non può essere accettata dal sistema. Leggerla attentamente per capire come modificare la regola per renderla valida. Per esempi di sintassi delle regole e un elenco completo di proprietà, operatori e valori supportati per una regola di appartenenza, vedere Gestire le regole dei gruppi di appartenenza dinamica in Microsoft Entra ID.
Modificare il tipo di appartenenza per un gruppo (PowerShell)
Nota
Per modificare le proprietà dei gruppi dinamici sarà necessario usare cmdlet del modulo PowerShell di Microsoft Graph. Per altre informazioni, vedere Installare l'SDK PowerShell di Microsoft Graph
Di seguito è riportato un esempio delle funzioni che cambiano la gestione delle appartenenze in un gruppo esistente. In questo esempio è necessario prestare attenzione a modificare correttamente la proprietà GroupTypes e a mantenere i valori eventualmente non correlati ai gruppi di appartenenza dinamica.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.