Compartir a través de


Configuración de grupos de pertenencia dinámica con el atributo memberOf en Azure Portal

Esta versión preliminar de características en Microsoft Entra ID permite a los administradores crear grupos de pertenencia dinámica y unidades administrativas que se rellenan agregando miembros de otros grupos mediante el atributo memberOf. Las apps que no podían leer la pertenencia basada en grupos anteriormente en Microsoft Entra ID ahora pueden leer toda la pertenencia de estos nuevos grupos memberOf. Estos grupos no solo se pueden usar para las apps, sino también para la asignación de licencias.

En el diagrama siguiente se muestra cómo puede crear Dynamic-Group-A con miembros de Security-Group-X y Security-Group-Y. Los miembros de los grupos dentro de Security-Group-X y Security-Group-Y no se convierten en miembros de Dynamic-Group-A.

Diagrama en el que se muestra el funcionamiento del atributo memberOf.

Con esta versión preliminar, los administradores pueden configurar grupos de pertenencia dinámica con el atributo memberOf en Azure Portal, Microsoft Graph y PowerShell. Los grupos de seguridad, los grupos de Microsoft 365 y los grupos que se sincronizan desde Active Directory local se pueden agregar como miembros de estos grupos de pertenencia dinámica. También se pueden agregar todos a un único grupo. Por ejemplo, el grupo dinámico podría ser un grupo de seguridad, pero puede usar grupos de Microsoft 365, grupos de seguridad y grupos que se sincronizan desde el entorno local para definir su pertenencia.

Requisitos previos

Debe ser al menos un administrador de usuarios para usar el atributo memberOf para crear un grupo dinámico de Microsoft Entra. Debe tener una licencia Microsoft Entra ID P1 o P2 para el inquilino de Microsoft Entra.

Limitaciones de vista previa

  • Cada inquilino de Microsoft Entra está limitado a 500 grupos de pertenencia dinámica mediante el atributo memberOf. Los grupos memberOf cuentan respecto a la cuota total de miembros del grupo dinámico de 15 000.
  • Cada grupo dinámico puede tener hasta 50 grupos de miembros.
  • Al agregar miembros de grupos de seguridad a grupos de pertenencia dinámica memberOf, solo los miembros directos del grupo de seguridad se convierten en miembros del grupo dinámico.
  • No se puede usar un grupo dinámico memberOf para definir la pertenencia de otros grupos dinámicos memberOf. Por ejemplo, el grupo dinámico A, que tiene miembros del grupo B y C, no puede ser miembro del grupo dinámico D.
  • El atributo memberOf no se puede usar con otras reglas. Por ejemplo, una regla que indica el grupo dinámico A debe contener miembros del grupo B y también debe contener solo los usuarios ubicados en Redmond producirán un error.
  • El generador de reglas de grupo dinámico y la característica de validación no se pueden usar para memberOf en este momento.
  • El atributo memberOf no se puede usar con otros operadores. Por ejemplo, no se puede crear una regla que indique "Los miembros del grupo A no pueden estar en el grupo dinámico B".
  • Los usuarios incluidos en grupos de pertenencia dinámica memberOf pueden provocar un tiempo de procesamiento más lento para el inquilino, si el inquilino tiene un gran número de grupos o actualizaciones frecuentes de grupos de pertenencia dinámica.

Introducción

Esta característica se puede usar en Azure Portal, Microsoft Graph y PowerShell. Dado que memberOf aún no se admite en el generador de reglas, se debe escribir la regla en el editor de reglas.

Creación de un grupo dinámico memberOf

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. Seleccione Nuevo grupo.
  4. Rellene los detalles del grupo. El tipo de grupo puede ser Seguridad o Microsoft 365, y el tipo de pertenencia se puede establecer en Usuario dinámico o Dispositivo dinámico.
  5. Seleccione Agregar una consulta dinámica.
  6. MemberOf aún no se admite en el generador de reglas. Seleccione Editar para escribir la regla en el cuadro Sintaxis de regla.
    1. Regla de usuario de ejemplo: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Regla de dispositivo de ejemplo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Seleccione Aceptar.
  8. Seleccione Create group (Crear grupo).