Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode mudar os membros de um grupo de estático para dinâmico (ou vice-versa) no Microsoft Entra ID. O Microsoft Entra ID mantém o mesmo nome e ID do grupo no sistema, portanto, todas as referências existentes ao grupo ainda são válidas. Se, em vez disso, você criar um novo grupo, precisará atualizar essas referências.
A criação de grupos de associação dinâmicos elimina a sobrecarga de gerenciamento de adicionar e remover usuários. Este artigo mostra como converter grupos de associação existentes de estáticos para dinâmicos, usando o portal do Azure ou cmdlets do PowerShell. No Microsoft Entra, um único locatário pode ter um máximo de 15.000 grupos de associação dinâmica.
Aviso
Quando você altera um grupo estático existente para um grupo dinâmico, todos os membros existentes são removidos do grupo. A regra de associação é então processada para adicionar novos membros. Se o grupo for usado para controlar o acesso a aplicativos ou recursos, os membros originais poderão perder o acesso até que a regra de associação seja totalmente processada.
Recomendamos que você teste a nova regra de associação com antecedência para garantir que a nova associação no grupo esteja conforme o esperado. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.
Pré-requisitos
Para alterar o tipo de associação usando o portal, você precisa de uma conta que tenha pelo menos a função de Administrador de Grupos .
Para alterar as propriedades do grupo dinâmico usando o PowerShell, você precisa usar cmdlets do módulo PowerShell do Microsoft Graph. Para obter mais informações, consulte Instalar o SDK do Microsoft Graph PowerShell.
Alterar o tipo de associação para um grupo (portal)
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
Selecione Microsoft Entra ID.
Selecione Grupos.
Na lista Todos os grupos , abra o grupo que pretende alterar.
Selecione Propriedades.
Na página Propriedades do grupo, selecione um valor de Tipo de associação de Atribuído (estático),Usuário dinâmico ou Dispositivo dinâmico, dependendo do tipo de associação desejado. Para grupos dinâmicos de associação, você pode usar o construtor de regras para selecionar opções para uma regra simples ou escrever uma regra de associação por conta própria.
As etapas a seguir são um exemplo de alteração de um grupo de usuários de grupos de associação estáticos para dinâmicos:
Em Tipo de associação, selecione Usuário dinâmico. Na caixa de diálogo que explica as alterações nos grupos dinâmicos de associação, selecione Sim para continuar.
Selecione Adicionar consulta dinâmica e forneça a regra.
Depois de criar a regra, selecione Adicionar consulta.
Na página Propriedades do grupo, selecione Salvar para salvar as alterações. O tipo de associação do grupo é atualizado imediatamente na lista de grupos.
Gorjeta
A conversão de grupo pode falhar se a regra de associação inserida estiver incorreta. No canto superior direito do portal, uma notificação explica por que a regra não pode ser aceita. Leia com atenção para entender como você pode ajustar a regra para torná-la válida. Para obter exemplos de sintaxe de regra e uma lista completa das propriedades, operadores e valores suportados para uma regra de associação, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID.
Alterar o tipo de associação para um grupo (PowerShell)
Aqui está um exemplo de funções que ativam a gestão de membros num grupo existente. Este exemplo manipula corretamente a GroupTypes propriedade para preservar quaisquer valores que não estejam relacionados a grupos dinâmicos de associação.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Para tornar um grupo estático, use este comando:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Para tornar um grupo dinâmico, use este comando:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""