Configurar la pertenencia dinámica

  • 7 minutos

Microsoft Teams es compatible con los equipos asociados a los Grupos de Microsoft 365 a través de la pertenencia dinámica.

Puede usar la pertenencia dinámica para definir los miembros de un equipo mediante una o varias reglas que comprueben determinados atributos de usuario en Microsoft Entra ID. Los usuarios se quitan o agregan automáticamente a los equipos designados a medida que cambian los atributos de usuario o los usuarios se unen y dejan el inquilino. Entre los escenarios posibles se incluyen:

  • Un hospital puede crear equipos distintos para que enfermeras, médicos y cirujanos difundan comunicaciones. Esta funcionalidad es especialmente importante si el hospital se basa en empleados temporales.
  • Una universidad puede crear un equipo para todos los profesores dentro de una universidad, incluido un profesor adjunto que cambia con frecuencia.
  • Una compañía aérea quiere crear un equipo para una tripulación de vuelo que cambie con frecuencia y que se asigne o quite automáticamente según sea necesario.

Con esta característica, los miembros de un equipo determinado se actualizan automáticamente en función de un conjunto específico de criterios, en lugar de administrar manualmente la pertenencia.

Nota:

El uso de grupos dinámicos requiere licencias de Microsoft Entra ID P1 para cualquier usuario del ámbito.

Los cambios de pertenencia dinámica pueden tardar entre unos minutos y dos horas en verse reflejados una vez que surtan efecto en el grupo de Microsoft 365 para un equipo. Para la pertenencia dinámica a grupos en equipos, debe tener en cuenta lo siguiente:

  • Las reglas pueden definir quién es miembro de un equipo, pero no quién es el propietario del equipo.
  • Los propietarios no podrán agregar ni quitar usuarios como miembros del equipo, ya que los miembros se definen mediante reglas de grupo dinámico.
  • Los miembros no podrán abandonar los equipos respaldados por grupos dinámicos.

Habilitar pertenencia dinámica

Para habilitar la pertenencia dinámica a un equipo, debe modificar la regla de pertenencia a grupos subyacente de Microsoft 365 mediante el Centro de administración de Microsoft Entra o PowerShell. Las referencias al grupo no se cambiarán si modifica la pertenencia. Si el grupo se usa para el acceso, todos los miembros agregados por la regla de pertenencia dinámica tendrán acceso a los recursos del grupo.

Actualmente no hay ninguna manera de crear un equipo con pertenencia dinámica directamente. Puede crear un equipo y, a continuación, cambiar la regla de pertenencia del grupo de Microsoft 365 asociado o crear un grupo de Microsoft 365 con el tipo de pertenencia dinámica de usuario y, a continuación, crear un equipo a partir del grupo de Microsoft 365 existente.

Advertencia

Al cambiar un grupo estático existente a un grupo dinámico, todos los miembros existentes se quitan del grupo y, a continuación, se procesa la regla de pertenencia para agregar nuevos miembros. Si el grupo se usa para controlar el acceso a aplicaciones o recursos, tenga en cuenta que los miembros originales podrían perder el acceso hasta que la regla de pertenencia se procese por completo. Debe probar la nueva regla de pertenencia de antemano para asegurarse de que la pertenencia al grupo es la esperada.

Uso del Centro de administración de Microsoft Entra

Realice los pasos siguientes para cambiar la pertenencia a grupos de un equipo existente a una pertenencia dinámica basada en reglas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra con una cuenta que sea administrador global, administrador de usuarios o administrador de grupos en su organización de Microsoft Entra.

  2. En el menú del panel izquierdo, seleccione Grupos.

  3. En la lista Todos los grupos, abra el grupo que desea cambiar.

  4. Seleccione Propiedades. En la página Propiedades del grupo seleccionado, seleccione un tipo de pertenencia de usuario dinámico.

    Captura de pantalla del tipo de pertenencia en Microsoft Entra ID.

  5. Seleccione Agregar consulta dinámicay, a continuación, proporcione la regla.

    Captura de pantalla de Agregar consulta dinámica en Microsoft Entra ID.

  6. Después de crear la regla, haga clic en Guardar para volver a la página Propiedades.

  7. Seleccione Guardar en la página Propiedades del grupo para guardar los cambios. El tipo de pertenencia del grupo se actualiza inmediatamente en la lista de grupos.

Uso de PowerShell de Microsoft Graph

Para cambiar el tipo de pertenencia de un grupo, use Microsoft Graph PowerShell.

Nota: Los módulos de PowerShell de Azure AD y MSOnline están planeados para su desuso y los comandos de PowerShell se han cambiado para reflejar PowerShell de Microsoft Graph.

Use el siguiente comando para cambiar el grupo a pertenencia dinámica:

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

Para crear la variable $groupTypes debe obtener los tipos de grupo del grupo existente y agregarle la cadena "dynamicMembership".

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

Creación de una regla de pertenencia dinámica

Puede crear una regla a partir de una o varias expresiones. Una expresión única tiene el formato Valor del operador de propiedad. Por ejemplo: user.department -eq "Sales". Si desea agregar varias expresiones a una sola regla, puede usar los mismos operadores para combinarlas y mantener cada expresión entre paréntesis:

(user.department -eq "Sales") -and (user.department -eq "Marketing")

Hay tres tipos de propiedades que se pueden usar para construir una regla de pertenencia.

  • Boolean

  • Cadena

  • Colección de cadenas

Los operadores admitidos son:

Operador Sintaxis
No es igual a -ne
Igual a -eq
No empieza por -notStartsWith
Empieza por startsWith
No contiene. -notContains
Contains -contains
No coincidir -notMatch
Coincidencia -match
En -in
No en -notIn

Los valores usados en una expresión pueden constar de varios tipos, entre los que se incluyen:

  • Cadenas

  • Booleano: true, false

  • Números

  • Matrices: matriz de número, matriz de cadena

Al especificar un valor dentro de una expresión, es importante usar la sintaxis correcta para evitar errores. Algunas sugerencias de sintaxis incluyen:

  • Las comillas dobles son opcionales a menos que el valor sea una cadena.

  • Las operaciones de cadena y regex no distinguen mayúsculas de minúsculas.

  • Cuando un valor de cadena contiene comillas dobles, ambas comillas deben tener escape con el carácter ("), por ejemplo, user.department -eq "Sales" es la sintaxis adecuada cuando "Sales" es el valor.

  • También puede realizar comprobaciones de NULL, utilizando NULL como valor, por ejemplo, user.department -eq null.

Para obtener más información, consulte Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.