Condividi tramite


Creare o aggiornare un gruppo di appartenenza dinamica in Microsoft Entra ID

È possibile usare le regole per determinare i gruppi di appartenenza dinamica in base alle proprietà utente o dispositivo in Microsoft Entra ID, parte di Microsoft Entra. Questo articolo illustra come configurare una regola nel portale di Azure per i gruppi di appartenenza dinamica.

L'appartenenza a gruppi in base alle proprietà utente o dispositivo è supportata per i gruppi di sicurezza e i gruppi di Microsoft 365. Quando si applica una regola per un gruppo di appartenenza dinamica, gli attributi utente e dispositivo vengono valutati per corrispondenze con la regola di appartenenza. Quando un attributo di un utente o un dispositivo cambia, tutte le regole per i gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche. Gli utenti e i dispositivi vengono aggiunti o rimossi se soddisfano le condizioni per un gruppo di appartenenza dinamica. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.

Nota

I gruppi di sicurezza possono essere usati per dispositivi o utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti.

L'uso dei gruppi di appartenenza dinamica richiede la licenza Microsoft Entra ID P1 o la licenza di Intune per Education. Per maggiori informazioni, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID

Generatore di regole nel portale di Azure

Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni. Il generatore di regole rende più semplice formare una regola con alcune espressioni semplici, ma non può essere usato per riprodurre ogni regola. Se il generatore regole non supporta la regola che si desidera creare, è possibile utilizzare la casella di testo.

Di seguito sono riportati alcuni esempi di regole o sintassi avanzate che si consiglia di generare utilizzando la casella di testo:

Nota

Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Potrebbe venire visualizzato un messaggio quando il generatore di regole non è in grado di visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.

Screenshot che mostra la pagina relative alle regole per i gruppi di appartenenza dinamica con l'azione Aggiungi espressione selezionata nella scheda Configura regole.

Per esempi di sintassi, proprietà, operatori e valori supportati per una regola di appartenenza, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.

Per creare una regola per un gruppo di appartenenza dinamica

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.

  2. Selezionare Microsoft Entra ID.>Gruppi.

  3. Selezionare Tutti i gruppi e selezionare Nuovo gruppo.

    Screenshot che mostra come selezionare l'azione Aggiungi nuovo gruppo.

  4. Nella pagina Gruppo immettere un nome e una descrizione per il nuovo gruppo. Selezionare un tipo di appartenenza per utenti o dispositivi e quindi selezionare Aggiungi query dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

    Screenshot che mostra la pagina Tutti i gruppi con l'azione Nuovo gruppo selezionata.

  5. Per visualizzare le proprietà di estensione personalizzate disponibili per la query di appartenenza:

    1. Selezionare Ottieni le proprietà dell'estensione personalizzata
    2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
  6. Dopo avere creato la regola, selezionare Salva.

  7. Selezionare Crea nella pagina Nuovo gruppo per creare il gruppo.

Se la regola immessa non è valida, una spiegazione del motivo per cui non è stato possibile elaborare la regole viene visualizzata in una notifica nel portale. Leggere attentamente per comprendere come correggere la regola.

Per aggiornare una regola esistente

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare Gruppi>Tutti i gruppi.

  4. Selezionare un gruppo per aprirne il profilo.

  5. Nella pagina del profilo del gruppo selezionare Regole di appartenenza dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.

    Screenshot che mostra come aggiungere una regola per un gruppo di appartenenza dinamica.

  6. Per visualizzare le proprietà di estensione personalizzate disponibili per la regola di appartenenza:

    1. Selezionare Ottieni le proprietà dell'estensione personalizzata
    2. Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
  7. Dopo aver aggiornato la regola, selezionare Salva.

Attivare o disattivare il messaggio di posta elettronica di benvenuto

Quando viene creato un nuovo gruppo di Office 365, a tutti gli utenti aggiunti al gruppo viene inviata una notifica email di benvenuto. In seguito, se gli attributi di un utente o un dispositivo (solo per i gruppi di sicurezza) cambiano, tutte le regole per i gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Controllare lo stato di elaborazione per una regola

È possibile visualizzare lo stato di elaborazione della regola e la data dell'ultimo aggiornamento dell'appartenenza nella pagina Panoramica per il gruppo di appartenenza dinamica.

Screenshot di un diagramma relativo allo stato del gruppo di appartenenza dinamica.

I seguenti messaggi di stato possono essere visualizzati per lo stato di Elaborazione regola dinamica:

  • Valutazione: la modifica dei gruppi è stata ricevuta e gli aggiornamenti sono in fase di valutazione.
  • Elaborazione: gli aggiornamenti sono in fase di elaborazione.
  • Aggiornamento completato: l’elaborazione è stata completata e tutti gli aggiornamenti sono stati apportati.
  • Errore di elaborazione: impossibile completare l'elaborazione a causa di un errore di valutazione relativo alla regola di appartenenza.
  • Aggiornamento sospeso: regola per gli aggiornamenti del gruppo di appartenenza dinamica che sono stati sospesi dall'amministratore. MembershipRuleProcessingState è impostato su "Paused".
  • Non avviato: l'elaborazione non ancora avviata.

Nota

In questa schermata è anche possibile scegliere di sospendere l'elaborazione. In precedenza, questa opzione era disponibile solo tramite la modifica della proprietà membershipRuleProcessingState. Gli utenti assegnati almeno il ruolo Amministratore gruppi possono gestire questa impostazione e possono sospendere e riprendere l'elaborazione del gruppo di appartenenza dinamica. I proprietari del gruppo senza i ruoli corretti non dispongono dei diritti necessari per modificare questa impostazione.

I seguenti messaggi di stato possono essere visualizzati per lo stato dell'Ultima modifica dell'appartenenza:

  • <Data e ora>: ora dell'ultimo aggiornamento dell'appartenenza.
  • In corso: aggiornamenti in corso.
  • Sconosciuto: non è possibile recuperare l'orario dell'ultimo aggiornamento. Il gruppo potrebbe essere nuovo.

Importante

Dopo la sospensione e la ripresa dell'elaborazione dei gruppi di appartenenza dinamica, la data "Ultima modifica dell'appartenenza" mostrerà un valore segnaposto. Questo valore viene aggiornato al termine dell'elaborazione.

Se si verifica un errore durante l'elaborazione della regola di appartenenza per un gruppo specifico, un avviso viene visualizzato nella parte superiore della Pagina di panoramica per il gruppo. Se non è possibile elaborare aggiornamenti in sospeso per i gruppi di appartenenza dinamica all'interno dell'organizzazione per oltre 24 ore, viene visualizzato un avviso nella parte superiore di Tutti i gruppi .

Screenshot che mostra come elaborare gli avvisi dei messaggi di errore.

Passaggi successivi

Gli articoli seguenti forniscono informazioni aggiuntive su come usare i gruppi in Microsoft Entra ID.