Configurar grupos de associação dinâmica com o atributo memberOf no portal do Azure

Essa visualização de recurso no Microsoft Entra ID permite que os administradores criem grupos de associação dinâmica e unidades administrativas que são preenchidas adicionando membros de outros grupos usando o memberOf atributo. Os aplicativos que não podiam ler a associação baseada em grupo anteriormente no Microsoft Entra ID agora podem ler toda a associação desses novos memberOf grupos. Esses grupos não só podem ser usados para aplicativos, mas também podem ser usados para atribuições de licenciamento.

O diagrama a seguir ilustra como você pode criar o Dynamic-Group-A com membros do Security-Group-X e Security-Group-Y. Os membros dos grupos dentro do Security-Group-X e Security-Group-Y não se tornam membros do Dynamic-Group-A.

Com essa visualização, os administradores podem configurar grupos de associação dinâmica com o memberOf atributo no portal do Azure, no Microsoft Graph e no PowerShell. Grupos de segurança, grupos do Microsoft 365 e grupos sincronizados do Ative Directory local podem ser adicionados como membros desses grupos de associação dinâmica. Todos eles também podem ser adicionados a um único grupo. Por exemplo, o grupo dinâmico pode ser um grupo de segurança, mas você pode usar grupos do Microsoft 365, grupos de segurança e grupos sincronizados localmente para definir sua associação.

Pré-requisitos

Você deve ser pelo menos um administrador de usuário para usar o memberOf atributo para criar um grupo dinâmico do Microsoft Entra. Você deve ter uma licença do Microsoft Entra ID P1 ou P2 para o locatário do Microsoft Entra.

Limitações de pré-visualização

• Cada locatário do Microsoft Entra é limitado a 500 grupos de associação dinâmica usando o memberOf atributo. Os memberOf grupos contam para a cota total de membros do grupo dinâmico de 15.000.
• Cada grupo dinâmico pode ter até 50 grupos de membros.
• Quando você adiciona membros de grupos de segurança a memberOf grupos de associação dinâmica, somente os membros diretos do grupo de segurança se tornam membros do grupo dinâmico.
• Não é possível usar um memberOf grupo dinâmico para definir a associação de outro memberOf grupo dinâmico. Por exemplo, o Grupo Dinâmico A, com membros do Grupo B e C, não pode ser membro do Grupo Dinâmico D.
• O memberOf atributo não pode ser usado com outras regras. Por exemplo, uma regra que afirma que o grupo dinâmico A deve conter membros do grupo B e também deve conter apenas usuários localizados em Redmond falhará.
• O construtor de regras de grupo dinâmico e o recurso de validação não podem ser usados no memberOf momento.
• O memberOf atributo não pode ser usado com outros operadores. Por exemplo, não é possível criar uma regra que indique "Os membros do grupo A não podem estar no grupo dinâmico B".
• Os usuários incluídos em memberOf grupos de associação dinâmica podem causar um tempo de processamento mais lento para seu locatário, se o locatário tiver um grande número de grupos ou atualizações frequentes de grupos de associação dinâmica.

Começar agora

Esse recurso pode ser usado no portal do Azure, no Microsoft Graph e no PowerShell. Como memberOf ainda não há suporte no construtor de regras, você deve inserir sua regra no editor de regras.

Criar um membroDe grupo dinâmico

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Navegue até Grupos>de identidade>Todos os grupos.
3. Selecione Novo grupo.
4. Preencha os detalhes do grupo. O tipo de grupo pode ser Segurança ou Microsoft 365, e o tipo de associação pode ser definido como Usuário Dinâmico ou Dispositivo Dinâmico.
5. Selecione Adicionar consulta dinâmica.
6. MemberOf ainda não é suportado no construtor de regras. Selecione Editar para escrever a regra na caixa Sintaxe da regra.
   1. Exemplo de regra de usuário: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. Exemplo de regra de dispositivo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. Selecione OK.
8. Selecione Criar grupo.