Compartilhar via

Configurar grupos de associação dinâmica com o atributo memberOf no portal do Azure (versão prévia)

A versão prévia do recurso no Microsoft Entra ID permite que os administradores criem grupos de associação dinâmica e unidades administrativas que são preenchidos adicionando os membros de outros grupos usando o atributo memberOf. Os aplicativos que antes não podiam ler a associação baseada em grupo no Microsoft Entra ID já podem ler toda a associação desses novos grupos memberOf. Esses grupos não só podem ser usados para aplicativos, mas também podem ser usados para atribuição de licenciamento.

Aviso

Este é um recurso de visualização e não se destina ao uso de produção. O uso deste recurso vem com limitações que podem afetar o processamento de grupos dinâmicos no tenant. Recomendamos que você examine a seção de limitações de visualização antes de usar esse recurso.

O diagrama a seguir ilustra como é possível criar o Grupo Dinâmico A com membros do Grupo de Segurança X e do Grupo de Segurança Y. Os membros dos grupos dentro do Grupo de Segurança X e do Grupo de Segurança Y não se tornam membros do Grupo Dinâmico A.

Diagrama que mostra como o atributo memberOf funciona.

Com essa versão prévia, os administradores podem configurar grupos de associação dinâmica com o atributo memberOf no portal do Azure, no Microsoft Graph e no PowerShell. Grupos de segurança, grupos do Microsoft 365 e grupos sincronizados no Active Directory local podem ser adicionados como membros desses grupos de associação dinâmica. Eles também podem ser adicionados a um único grupo. Por exemplo, o grupo dinâmico pode ser um grupo de segurança, mas você pode usar grupos do Microsoft 365, grupos de segurança e grupos sincronizados do local para definir a associação.

Pré-requisitos

Você deve ser pelo menos um Administrador de Usuários para usar o memberOf atributo para criar um grupo dinâmico do Microsoft Entra. Você precisa ter uma licença P1 ou P2 da ID do Microsoft Entra para o locatário do Microsoft Entra.

Limitações na pré-visualização

  • Essa visualização só deve ser usada em ambientes de teste, pois pode afetar o processamento de grupo dinâmico no locatário. Estamos trabalhando para resolver essas limitações e forneceremos atualizações quando elas estiverem disponíveis.
  • Cada locatário do Microsoft Entra é limitado a 500 grupos dinâmicos usando o atributo memberOf. Os grupos memberOf contam para a cota total de grupos dinâmicos de 15.000.
  • Cada grupo dinâmico pode ter grupos de até 50 membros.
  • Quando você adiciona membros de grupos de segurança a grupos de associação dinâmica memberOf, apenas os membros diretos do grupo de segurança se tornam membros do grupo dinâmico.
  • Você não pode usar um grupo dinâmico de memberOf para definir a associação de outro grupo dinâmico de memberOf. Por exemplo, o Grupo Dinâmico A, com membros do grupo B e C contidos nele, não pode ser membro do Grupo Dinâmico D.
  • O atributo memberOf não pode ser usado com outras regras. Por exemplo, uma regra que afirme que o grupo dinâmico A deve conter membros do grupo B e também deve conter apenas usuários localizados em Redmond falhará.
  • O construtor de regras de grupo dinâmico e o recurso de validação não podem ser usados para memberOf no momento.
  • O atributo memberOf não pode ser usado com outros operadores. Por exemplo, não é possível criar uma regra que afirme que "Membros do grupo A não podem estar no grupo Dinâmico B".
  • Os usuários incluídos em grupos de associação dinâmica memberOf podem causar um tempo de processamento mais lento para seu locatário, se o locatário tiver um grande número de grupos ou atualizações frequentes de grupos de associação dinâmica.

Introdução

Esse recurso pode ser usado no portal do Azure, no Microsoft Graph e no PowerShell. Como memberOf ainda não tem suporte no construtor de regras, é necessário inserir sua regra no editor de regras.

Criar um grupo dinâmico de memberOf

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Usuários.
  2. Navegue até Entra ID>Grupos>Todos os grupos.
  3. Selecione Novo grupo.
  4. Preencha os detalhes do grupo. O tipo de grupo pode ser Segurança ou Microsoft 365, e o tipo de associação pode ser definido como Usuário Dinâmico ou Dispositivo Dinâmico.
  5. Selecione Adicionar consulta dinâmica.
  6. MemberOf ainda não tem suporte na interface do usuário do construtor de regras. Selecione Editar para gravar a regra na caixa de sintaxe Regra .
    1. Exemplo de regra de usuário: user.memberof -any (group.objectId -in ['groupId'])
    2. Exemplo de regra de dispositivo: device.memberof -any (group.objectId -in ['groupId'])
  7. Selecione OK.
  8. Selecione Criar grupo.
  • Last updated on