Partilhar via


Criar ou atualizar um grupo de associação dinâmica no Microsoft Entra ID

Você pode usar regras para determinar grupos de associação dinâmica com base nas propriedades do usuário ou dispositivo No Microsoft Entra ID, parte do Microsoft Entra. Este artigo explica como configurar uma regra para grupos de associação dinâmica no portal do Azure.

A associação a grupos com base nas propriedades do usuário ou dispositivo é suportada para grupos de segurança e grupos do Microsoft 365. Quando você aplica uma regra para um grupo dinâmico de associação, os atributos de usuário e dispositivo são avaliados quanto a correspondências com a regra de associação. Quando um atributo é alterado para um usuário ou dispositivo, todas as regras para grupos de associação dinâmica na organização são processadas para alterações. Os usuários e dispositivos são adicionados ou removidos se atenderem às condições para um grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter um máximo de 15.000 grupos de associação dinâmica.

Nota

Os grupos de segurança podem ser usados para dispositivos ou usuários, mas os grupos do Microsoft 365 podem incluir apenas usuários.

O uso de grupos dinâmicos de associação requer a licença do Microsoft Entra ID P1 ou a licença do Intune for Education. Consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID para obter mais detalhes.

Construtor de regras no portal do Azure

O Microsoft Entra ID fornece um construtor de regras para criar e atualizar suas regras importantes mais rapidamente. O construtor de regras suporta a construção de até cinco expressões. O construtor de regras facilita a formação de uma regra com algumas expressões simples, no entanto, ela não pode ser usada para reproduzir todas as regras. Se o construtor de regras não suportar a regra que pretende criar, pode utilizar a caixa de texto.

Aqui estão alguns exemplos de regras avançadas ou sintaxe para as quais recomendamos que você construa usando a caixa de texto:

Nota

O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto. Você pode ver uma mensagem quando o construtor de regras não conseguir exibir a regra. O construtor de regras não altera de forma alguma a sintaxe, a validação ou o processamento suportados de regras para grupos dinâmicos de membros.

Captura de tela que mostra a página de regras para grupos de associação dinâmica com a ação Adicionar expressão na guia Configurar regras selecionada.

Para obter exemplos de sintaxe, propriedades, operadores e valores suportados para uma regra de associação, consulte Gerenciar regras para grupos dinâmicos de associação no Microsoft Entra ID.

Para criar uma regra para um grupo dinâmico de membros

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.>Grupos.

  3. Selecione Todos os grupos e selecione Novo grupo.

    Captura de ecrã a mostrar como selecionar a ação Adicionar novo grupo.

  4. Na página Grupo, insira um nome e uma descrição para o novo grupo. Selecione um Tipo de associação para usuários ou dispositivos e, em seguida, selecione Adicionar consulta dinâmica. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

    Captura de ecrã que mostra a página Todos os grupos com a ação Novo grupo selecionada.

  5. Para ver as propriedades de extensão personalizadas disponíveis para sua consulta de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e selecione Atualizar propriedades.
  6. Depois de criar a regra, selecione Salvar.

  7. Selecione Criar na página Novo grupo para criar o grupo.

Se a regra inserida não for válida, uma explicação do motivo pelo qual a regra não pôde ser processada será exibida em uma notificação no portal. Leia com atenção para entender como corrigir a regra.

Para atualizar uma regra existente

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos>Todos os grupos.

  4. Selecione um grupo para abrir seu perfil.

  5. Na página de perfil do grupo, selecione Regras de associação dinâmicas. O construtor de regras suporta até cinco expressões. Para adicionar mais de cinco expressões, deve utilizar a caixa de texto.

    Captura de tela mostrando como adicionar uma regra para um grupo dinâmico de associação.

  6. Para ver as propriedades de extensão personalizadas disponíveis para sua regra de associação:

    1. Selecione Obter propriedades de extensão personalizadas
    2. Insira a ID do aplicativo e selecione Atualizar propriedades.
  7. Depois de atualizar a regra, selecione Salvar.

Ativar ou desativar o e-mail de boas-vindas

Quando um novo grupo do Microsoft 365 é criado, uma notificação por email de boas-vindas é enviada aos usuários que são adicionados ao grupo. Posteriormente, se algum atributo de um usuário ou dispositivo (somente no caso de grupos de segurança) for alterado, todas as regras para grupos de associação dinâmica na organização serão processadas para alterações. Os usuários que são adicionados também recebem a notificação de boas-vindas. Você pode desativar esse comportamento no Exchange PowerShell.

Verificar o status de processamento de uma regra

Você pode ver o status de processamento da regra e a data da última alteração de associação na página Visão geral do grupo dinâmico de associação.

Captura de tela de um diagrama do status do grupo de associação dinâmica.

As seguintes mensagens de status podem ser mostradas para o status de processamento de regras dinâmicas:

  • Avaliação: A mudança de grupo foi recebida e as atualizações estão sendo avaliadas.
  • Processamento: As atualizações estão sendo processadas.
  • Atualização concluída: O processamento foi concluído e todas as atualizações aplicáveis foram feitas.
  • Erro de processamento: o processamento não pôde ser concluído devido a um erro ao avaliar a regra de associação.
  • Atualização pausada: a regra para atualizações de grupo de associação dinâmica foi pausada pelo administrador. MembershipRuleProcessingState está definido como "Paused".
  • Não iniciado: o processamento ainda não foi iniciado.

Nota

Nesta tela, agora você também pode optar por Pausar o processamento. Anteriormente, essa opção só estava disponível por meio da modificação da propriedade membershipRuleProcessingState. Aqueles a quem foi atribuída pelo menos a função de Administrador de Grupos podem gerenciar essa configuração e podem pausar e retomar o processamento dinâmico do grupo de membros. Os proprietários de grupos sem as funções corretas não têm os direitos necessários para editar essa configuração.

As seguintes mensagens de status podem ser mostradas para o status Última alteração de associação:

  • <Data e hora>: A última vez que a associação foi atualizada.
  • Em andamento: As atualizações estão atualmente em andamento.
  • Desconhecido: A última hora de atualização não pode ser recuperada. O grupo pode ser novo.

Importante

Depois de pausar e cancelar a pausa do processamento de grupos dinâmicos de associação, a data "Última alteração de associação" mostrará um valor de espaço reservado. Esse valor é atualizado assim que o processamento for concluído.

Se ocorrer um erro durante o processamento da regra de associação para um grupo específico, um alerta será exibido na parte superior da página Visão geral do grupo. Se nenhuma atualização pendente de grupos dinâmicos de associação puder ser processada para todos os grupos dentro da organização por mais de 24 horas, um alerta será exibido na parte superior de Todos os grupos.

Captura de ecrã a mostrar como processar alertas de mensagens de erro.

Próximos passos

Os seguintes artigos fornecem informações adicionais sobre como usar grupos no Microsoft Entra ID.