Creare e gestire gruppi di appartenenze dinamici per la collaborazione B2B in Microsoft Entra per ID esterno

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con simbolo X grigio. Tenant esterni (altre informazioni)

Che cosa sono i gruppi di appartenenza dinamica?

Un gruppo di appartenenza dinamica è una configurazione basata sulla sicurezza per Microsoft Entra disponibile nell'interfaccia di amministrazione di Microsoft Entra. Gli amministratori possono impostare regole per popolare i gruppi di appartenenza dinamica creati in Microsoft Entra ID in base agli attributi utente, ad esempio userType, reparto o paese/area geografica. I membri possono essere automaticamente aggiunti o rimossi in un gruppo di sicurezza in base agli attributi. Questi gruppi possono fornire accesso ad applicazioni o a risorse cloud, (documenti, siti di SharePoint) e per assegnare licenze ai membri. Altre informazioni sui gruppi dedicati in Microsoft Entra ID.

Prerequisiti

Per creare e usare gruppi di appartenenza dinamica, è necessaria una licenza P1 o P2 di Microsoft Entra ID. Per altre informazioni, vedere Creare regole basate su attributi per i gruppi di appartenenza dinamica in Microsoft Entra ID.

Creazione di un gruppo dinamico "Tutti gli utenti"

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

È possibile creare un gruppo contenente tutti gli utenti di un tenant usando una regola di appartenenza. Quando in futuro gli utenti vengono aggiunti o rimossi dal tenant, l'appartenenza al gruppo viene modificata automaticamente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Gruppi>Tutti i gruppi e quindi selezionare Nuovo gruppo.

  3. Nella pagina Nuovo gruppo, in Tipo di gruppo selezionare Sicurezza. Specificare un Nome gruppo e una Descrizione gruppo per il nuovo gruppo.

  4. In Tipo di appartenenza selezionare Utente dinamico e quindi selezionare Aggiungi query dinamica.

  5. Sopra la casella di testo Sintassi della regola selezionare Modifica. Nella pagina Modifica sintassi della regola digitare l'espressione seguente nella casella di testo:

    user.objectId -ne null
    
  6. Seleziona OK. La regola viene visualizzata nella casella Sintassi della regola:

    Screenshot della sintassi della regola per tutti gli utenti del gruppo dinamico.

  7. Seleziona Salva. Il nuovo gruppo dinamico includerà ora gli utenti guest B2B e gli utenti membri.

  8. Selezionare Crea nella pagina Nuovo gruppo per creare il gruppo.

Creazione di un gruppo solo di membri

Se si vuole che il gruppo escluda gli utenti guest e includa solo i membri del tenant, creare un gruppo dinamico come descritto in precedenza, ma nella casella Sintassi della regola immettere l'espressione seguente:

(user.objectId -ne null) and (user.userType -eq "Member")

L'immagine seguente mostra la sintassi della regola per un gruppo dinamico modificato in modo da includere solo i membri ed escludere gli utenti guest.

Screenshot della sintassi della regola in cui il tipo di utente è uguale a membro.

Creazione di un gruppo di soli utenti guest

Potrebbe inoltre essere utile creare un nuovo gruppo dinamico contenente solo gli utenti guest, in modo che sia possibile applicare a essi criteri quali, ad esempio, criteri di accesso condizionale di Microsoft Entra. Creare un gruppo dinamico come descritto in precedenza, ma nella casella Sintassi della regola immettere l'espressione seguente:

(user.objectId -ne null) and (user.userType -eq "Guest")

L'immagine seguente mostra la sintassi della regola per un gruppo dinamico modificato in modo da includere solo i utenti guest ed escludere gli utenti membri.

Screenshot della sintassi della regola in cui il tipo di utente è uguale a utente guest.

Passaggi successivi