Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID

Você pode usar regras para determinar grupos de associação dinâmica com base em propriedades de usuário ou dispositivo na ID do Microsoft Entra. Este artigo descreve como configurar uma regra para grupos de associação dinâmica no portal do Azure.

A associação de grupo com base nas propriedades do usuário ou do dispositivo é compatível com grupos de segurança e grupos do Microsoft 365. Quando uma regra de grupo de associação dinâmica é aplicada, os atributos de usuário e de dispositivo são avaliados quanto às correspondências com a regra de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras de grupos de associação dinâmica na organização são processadas para alterações. Os usuários e dispositivos serão adicionados ou removidos se atenderem às condições de um grupo de associação dinâmica. Na ID do Microsoft Entra, um único locatário pode ter no máximo 15.000 grupos de associação dinâmica.

Observação

Os grupos de segurança podem incluir dispositivos ou usuários, mas os grupos do Microsoft 365 podem incluir apenas usuários.

O uso de grupos de associação dinâmica requer uma licença do Microsoft Entra ID P1 ou uma licença do Intune para Educação. Para mais informações, consulte Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID.

Construtor de regras no portal do Azure

O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras dá suporte à construção de até cinco expressões.

O construtor de regras facilita a formação de uma regra com algumas expressões simples. No entanto, ele não pode ser usado para reproduzir todas as regras. Se o construtor de regras não der suporte à regra que você deseja criar, você poderá usar a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe para os quais recomendamos que você use a caixa de texto:

• Regra com mais de cinco expressões
• Regra para relatórios diretos
• Como definir a precedência do operador
• Regra com expressões complexas; por exemplo (user.proxyAddresses -any (_ -contains "contoso"))

Observação

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você poderá ver uma mensagem quando o construtor de regras não puder exibir a regra. O construtor de regras não altera a sintaxe compatível, a validação nem o processamento de regras de grupos de associação dinâmica de modo algum.

Para obter exemplos de sintaxe e propriedades, operadores e valores com suporte para uma regra de associação, consulte Gerenciar regras para grupos de associação dinâmica na ID do Microsoft Entra.

Criar uma regra para um grupo de associação dinâmica

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

2. Selecione Microsoft Entra ID>Grupos.

3. Selecione Todos os grupos e selecione Novo grupo.

   

4. No painel Grupo , insira um nome e uma descrição para o novo grupo. Selecione um valor de tipo de associação para usuários ou dispositivos e, em seguida, selecione Adicionar consulta dinâmica.

5. No construtor de regras, adicione até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.

   

6. Para ver as propriedades de extensão personalizadas que estão disponíveis para sua consulta de associação:

   1. Selecione Obter propriedades de extensão personalizadas.
   2. Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.

7. Depois de concluir a criação da regra, selecione Salvar.

8. Na página Novo grupo , selecione Criar para criar o grupo.

Se a regra inserida não for válida, o portal exibirá uma explicação do motivo pelo qual a regra não pôde ser processada. Leia-a com cuidado para entender como corrigir a regra.

Atualizar uma regra existente

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

2. Selecione Microsoft Entra ID.

3. Selecione Grupos>Todos os grupos.

4. Selecione um grupo para abrir o perfil do grupo.

5. Na página de perfil do grupo, selecione Regras de associação dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, você deve usar a caixa de texto.

   

6. Para ver as propriedades de extensão personalizadas disponíveis para sua regra de adesão:

   1. Selecione Obter propriedades de extensão personalizadas.
   2. Insira a ID do aplicativo e, em seguida, selecione Atualizar propriedades.

7. Depois de concluir a atualização da regra, selecione Salvar.

Ativar ou desativar o email de boas-vindas

Quando um administrador cria um novo grupo do Microsoft 365, os usuários adicionados ao grupo recebem uma notificação por email de boas-vindas. Posteriormente, se algum atributo de um usuário ou dispositivo (somente para grupos de segurança) for alterado, todas as regras para grupos de associação dinâmica na organização serão processadas para alterações. Os usuários que são adicionados também recebem a notificação de boas-vindas.

Você pode ativar ou desativar esse comportamento no Exchange PowerShell.

Verificar o status de processamento de uma regra

Você pode ver o status de processamento da regra e a data da última alteração de associação na página de visão geral do grupo de associação dinâmica.

As seguintes mensagens de status podem aparecer para o status de processamento de regra dinâmica:

• Avaliando: a mudança de grupo foi recebida e agora as atualizações estão sendo avaliadas.
• Processando: as atualizações estão sendo processadas.
• Atualização concluída: o processamento foi concluído e todas as atualizações aplicáveis foram feitas.
• Erro de processamento: o processamento não pôde ser concluído devido a um erro na avaliação da regra de associação.
• Atualização pausada: O administrador fez uma pausa na regra para atualizar grupos de associação dinâmica. MembershipRuleProcessingState é definido como Paused.
• Não iniciado: o processamento ainda não foi iniciado.

Observação

Esta página agora tem uma opção Pausar processamento. Anteriormente, essa opção estava disponível apenas por meio da modificação da membershipRuleProcessingState propriedade. Alguém que tenha pelo menos a função Administrador de Grupos pode gerenciar essa configuração e pode pausar e retomar o processamento de grupos de associação dinâmica. Os proprietários de grupo que não têm as funções corretas não têm os direitos necessários para editar essa configuração.

As seguintes mensagens de status são exibidas para a última alteração de associação:

• <Data e hora>: A associação foi atualizada pela última vez nesta data e hora.
• Em Andamento: as atualizações estão em andamento no momento.
• Desconhecido: não é possível recuperar a hora da última atualização. O grupo pode ser novo.

Importante

Depois de pausar e retomar o processamento dos grupos de associação dinâmica, a data de última alteração de associação mostrará um valor de espaço reservado. Esse valor é atualizado após a conclusão do processamento.

Se ocorrer um erro durante o processamento da regra de associação para um grupo específico, um alerta será exibido na parte superior da página de visão geral do grupo. Se nenhuma atualização pendente para grupos de associação dinâmica puder ser processada para todos os grupos dentro da organização por mais de 24 horas, um alerta será exibido acima Todos os grupos.

Conteúdo relacionado

• Criar um grupo com membros e exibir todos os grupos e membros
• Gerenciar grupos do Microsoft Entra e associação a grupos
• Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID