Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID

Você pode usar regras para determinar grupos de associação dinâmica com base nas propriedades do usuário ou dispositivo no Microsoft Entra ID. Este artigo descreve como configurar uma regra para grupos de associação dinâmica no portal do Azure.

A associação a grupos com base nas propriedades do usuário ou dispositivo é suportada para grupos de segurança e grupos do Microsoft 365. Quando você aplica uma regra para um grupo dinâmico de associação, os atributos de usuário e dispositivo são avaliados quanto a correspondências com a regra de associação. Quando um atributo é alterado para um usuário ou dispositivo, todas as regras para grupos de associação dinâmica na organização são processadas para alterações. Os usuários e dispositivos são adicionados ou removidos se atenderem às condições para um grupo de associação dinâmica. No Microsoft Entra ID, um único locatário pode ter um máximo de 15.000 grupos de associação dinâmica.

Nota

Os grupos de segurança podem incluir dispositivos ou utilizadores, mas os grupos do Microsoft 365 podem incluir apenas utilizadores.

O uso de grupos dinâmicos de associação requer uma licença do Microsoft Entra ID P1 ou uma licença do Intune para Educação. Para obter mais informações, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID.

Construtor de regras no portal do Azure

O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras suporta a construção de até cinco expressões.

O construtor de regras facilita a formação de uma regra com algumas expressões simples. No entanto, ele não pode ser usado para reproduzir todas as regras. Se o construtor de regras não suportar a regra que pretende criar, pode utilizar a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe para as quais recomendamos que você use a caixa de texto:

• Regra com mais de cinco expressões
• Regra para subordinados diretos
• Definindo a precedência do operador
• Regra com expressões complexas; Por exemplo (user.proxyAddresses -any (_ -contains "contoso"))

Nota

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você pode ver uma mensagem quando o construtor de regras não puder exibi-la. O construtor de regras não altera de forma alguma a sintaxe, a validação ou o processamento suportados de regras para grupos dinâmicos de membros.

Para obter exemplos de sintaxe e propriedades, operadores e valores suportados para uma regra de associação, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID.

Criar uma regra para um grupo dinâmico de membros

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

2. Selecione Microsoft Entra ID>Grupos.

3. Selecione Todos os grupos e, em seguida, selecione Novo grupo.

   

4. No painel Grupo , insira um nome e uma descrição para o novo grupo. Selecione um valor de Tipo de associação para usuários ou dispositivos e, em seguida, selecione Adicionar consulta dinâmica.

5. No construtor de regras, adicione até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

   

6. Para ver as propriedades de extensão personalizadas que estão disponíveis para a sua consulta de associação:

   1. Selecione Obter propriedades de extensão personalizadas.
   2. Insira a ID do aplicativo e selecione Atualizar propriedades.

7. Depois de concluir a criação da regra, selecione Salvar.

8. Na página Novo grupo , selecione Criar para criar o grupo.

Se a regra inserida não for válida, o portal exibirá uma explicação do motivo pelo qual a regra não pôde ser processada. Leia com atenção para entender como corrigir a regra.

Atualizar uma regra existente

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

2. Selecione Microsoft Entra ID.

3. Selecione Grupos>Todos os grupos.

4. Selecione um grupo para abrir seu perfil.

5. Na página de perfil do grupo, selecione Regras de associação dinâmicas. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

   

6. Para ver as propriedades de extensão personalizadas disponíveis para a sua regra de associação:

   1. Selecione Obter propriedades de extensão personalizadas.
   2. Insira a ID do aplicativo e selecione Atualizar propriedades.

7. Depois de concluir a atualização da regra, selecione Salvar.

Ativar ou desativar o e-mail de boas-vindas

Quando um administrador cria um novo grupo do Microsoft 365, os usuários que são adicionados ao grupo recebem uma notificação por email de boas-vindas. Mais tarde, se quaisquer atributos de um usuário ou dispositivo (somente para grupos de segurança) forem alterados, todas as regras para grupos de associação dinâmica na organização serão processadas para alterações. Os usuários que são adicionados também recebem a notificação de boas-vindas.

Você pode ativar ou desativar esse comportamento no Exchange PowerShell.

Verificar o status de processamento de uma regra

Você pode ver o status de processamento da regra e a data da última alteração de associação na página de visão geral do grupo dinâmico de associação.

As seguintes mensagens de status podem aparecer para Status de processamento de regra dinâmica:

• Avaliação: A mudança de grupo foi recebida e as atualizações estão sendo avaliadas.
• Processamento: As atualizações estão sendo processadas.
• Atualização concluída: O processamento foi concluído e todas as atualizações aplicáveis foram feitas.
• Erro de processamento: o processamento não pôde ser concluído devido a um erro na avaliação da regra de associação.
• Atualização pausada: o administrador interrompeu a regra para atualizar grupos dinâmicos de associação. MembershipRuleProcessingState está definido como Paused.
• Não iniciado: o processamento não foi iniciado.

Nota

Esta página agora tem uma opção de processamento de pausa . Anteriormente, esta opção só estava disponível através da alteração da propriedade membershipRuleProcessingState. Alguém que tenha pelo menos a função de Administrador de Grupos pode gerenciar essa configuração e pode pausar e retomar o processamento de grupos dinâmicos de associação. Os proprietários de grupos que não têm as funções corretas não têm os direitos necessários para editar essa configuração.

As seguintes mensagens de status são exibidas para Última alteração de associação:

• <Data e hora>: A adesão foi atualizada pela última vez nesta data e hora.
• Em andamento: As atualizações estão atualmente em andamento.
• Desconhecido: A última hora de atualização não pode ser recuperada. O grupo pode ser novo.

Importante

Depois de pausar e retomar o processamento de grupos de associação dinâmicos, a data da última alteração de associação mostra um valor substituto. Esse valor é atualizado após a conclusão do processamento.

Se ocorrer um erro durante o processamento da regra de associação para um grupo específico, um alerta será exibido na parte superior da página de visão geral do grupo. Se nenhuma atualização pendente para grupos de associação dinâmica puder ser processada para todos os grupos dentro da organização por mais de 24 horas, um alerta será exibido acima Todos os grupos.

Conteúdo relacionado

• Criar um grupo com membros e ver todos os grupos e membros
• Gerir grupos do Microsoft Entra e a adesão a grupos
• Gerenciar regras para grupos dinâmicos de associação no Microsoft Entra ID