Compartir a través de

Configuración de grupos de pertenencia dinámica con el atributo memberOf en Azure Portal (versión preliminar)

Visión general

Esta versión preliminar de características en Microsoft Entra ID permite a los administradores crear grupos de pertenencia dinámica y unidades administrativas que se rellenan agregando miembros de otros grupos mediante el atributo memberOf. Las apps que no podían leer la pertenencia basada en grupos anteriormente en Microsoft Entra ID ahora pueden leer toda la pertenencia de estos nuevos grupos memberOf. Estos grupos no solo se pueden usar para las apps, sino también para la asignación de licencias.

Advertencia

Se trata de una característica en versión preliminar y no está pensada para su uso en producción. El uso de esta característica incluye limitaciones que pueden afectar el procesamiento de grupos dinámicos en el cliente. Revise la sección Limitaciones de la versión preliminar antes de usar esta característica.

En el diagrama siguiente se muestra cómo puede crear Dynamic-Group-A con miembros de Security-Group-X y Security-Group-Y. Los miembros de los grupos dentro de Security-Group-X y Security-Group-Y no se convierten en miembros de Dynamic-Group-A.

Diagrama que muestra cómo funciona el atributo memberOf.

Con esta versión preliminar, los administradores pueden configurar grupos de pertenencia dinámica con el atributo memberOf en Azure Portal, Microsoft Graph y PowerShell. Los grupos de seguridad, los grupos de Microsoft 365 y los grupos que se sincronizan desde Active Directory local se pueden agregar como miembros de estos grupos de pertenencia dinámica. También se pueden agregar todos a un único grupo. Por ejemplo, el grupo dinámico podría ser un grupo de seguridad, pero puede usar grupos de Microsoft 365, grupos de seguridad y grupos que se sincronizan desde el entorno local para definir su pertenencia.

Requisitos previos

Debe ser al menos un administrador de usuarios para usar el memberOf atributo para crear un grupo dinámico de Microsoft Entra. Debe tener una licencia de Microsoft Entra ID P1 o P2 para el inquilino de Microsoft Entra.

Limitaciones de la versión preliminar

  • Esta versión preliminar solo se debe usar en entornos de prueba, ya que puede afectar al procesamiento de grupos dinámicos en el arrendatario. Estas limitaciones se abordan y se proporcionarán actualizaciones cuando estén disponibles.
  • Cada instancia de Microsoft Entra está limitada a 500 grupos dinámicos usando el atributo memberOf. Los grupos memberOf cuentan para la cuota total de grupos dinámicos de 15,000.
  • Cada grupo dinámico puede tener hasta 50 grupos de miembros.
  • Al agregar miembros de grupos de seguridad a grupos de pertenencia dinámica memberOf, solo los miembros directos del grupo de seguridad se convierten en miembros del grupo dinámico.
  • No se puede usar un grupo dinámico memberOf para definir la pertenencia de otros grupos dinámicos memberOf. Por ejemplo, el grupo dinámico A, que tiene miembros del grupo B y C, no puede ser miembro del grupo dinámico D.
  • El atributo memberOf no se puede usar con otras reglas. Por ejemplo, una regla que indica el grupo dinámico A debe contener miembros del grupo B y también debe contener solo los usuarios ubicados en Redmond producirán un error.
  • El generador de reglas de grupo dinámico y la característica de validación no se pueden usar para memberOf en este momento.
  • El atributo memberOf no se puede usar con otros operadores. Por ejemplo, no se puede crear una regla que indique "Los miembros del grupo A no pueden estar en el grupo dinámico B".
  • Los usuarios incluidos en memberOf grupos de pertenencia dinámica pueden provocar un tiempo de procesamiento más lento para el inquilino, si el inquilino tiene un gran número de grupos o actualizaciones frecuentes de grupos de pertenencia dinámica.
  • La pertenencia a un grupo dinámico memberOf no se actualiza automáticamente cuando se elimina un grupo secundario o cuando se quitan miembros de un grupo secundario. Los usuarios o dispositivos afectados permanecen miembros del grupo dinámico memberOf hasta que se modifique la regla.

Primeros pasos

Esta característica está disponible en Azure Portal, Microsoft Graph y PowerShell. Sin embargo, el memberOf atributo no se admite actualmente en la interfaz de usuario del generador de reglas. Para usarlo memberOf en Azure Portal, debe definir la regla mediante el editor de reglas (sintaxis avanzada).

Creación de un grupo dinámico memberOf

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de usuarios.

  2. Vaya a Entra ID>Grupos>Todos los grupos.

  3. Seleccione Nuevo grupo.

  4. Rellene los detalles del grupo. El tipo de grupo puede ser Seguridad o Microsoft 365 y el tipo de pertenencia se puede establecer en Usuario dinámico o Dispositivo dinámico.

  5. Seleccione Agregar consulta dinámica.

  6. MemberOf aún no se admite en la interfaz de usuario del generador de reglas. Seleccione Editar para escribir la regla en el cuadro de Sintaxis de regla.

    1. Regla de usuario de ejemplo: user.memberof -any (group.objectId -in ['groupId'])
    2. Regla de dispositivo de ejemplo: device.memberof -any (group.objectId -in ['groupId'])

    Nota:

    Reemplace por 'groupId' el identificador de objeto del grupo de origen cuyos miembros desea incluir en el grupo dinámico.

    Los dos ejemplos son alternativas:

    • Use la regla de usuario al crear un grupo de usuarios dinámicos .
    • Use la regla de dispositivo al crear un grupo de dispositivos dinámicos .

    Para incluir varios grupos de origen, especifique varios identificadores de objeto de grupo. Por ejemplo:

    user.memberof -any (group.objectId -in ['<groupObjectId1>', '<groupObjectId2>'])

  7. Seleccione Aceptar.

  8. Seleccione Crear grupo.

  • Last updated on