Configurare gruppi di appartenenza dinamica con l'attributo memberOf nel portale di Azure

Questa anteprima della funzionalità in Microsoft Entra ID consente agli amministratori di creare gruppi di appartenenza dinamica e unità amministrative che vengono popolate aggiungendo membri di altri gruppi tramite l'attributo memberOf. Le app che in precedenza non potevano leggere l'appartenenza basata sui gruppi in Microsoft Entra ID, ora possono leggere l'intera appartenenza di questi nuovi gruppi memberOf. Non solo questi gruppi possono essere usati per le app, ma possono anche essere usati per le assegnazioni di licenze.

Il diagramma seguente illustra come creare Dynamic-Group-A con i membri di Security-Group-X e Security-Group-Y. I membri dei gruppi all'interno di Security-Group-X e Security-Group-Y non diventano membri di Dynamic-Group-A.

Con questa anteprima, gli amministratori possono configurare gruppi di appartenenza dinamica con l'attributo memberOf nel portale di Azure, in Microsoft Graph e in PowerShell. I gruppi di sicurezza, i gruppi di Microsoft 365 e i gruppi sincronizzati da Active Directory locale possono essere tutti aggiunti come membri di questi gruppi di appartenenza dinamica. Possono anche essere tutti aggiunti a un singolo gruppo. Ad esempio, il gruppo dinamico può essere un gruppo di sicurezza, ma è possibile usare gruppi di Microsoft 365, gruppi di sicurezza e gruppi sincronizzati dall'ambiente locale per definirne l'appartenenza.

Prerequisiti

È necessario essere almeno un Amministratore utenti per usare l'attributo memberOf per creare un gruppo dinamico di Microsoft Entra. È necessario disporre di una licenza Microsoft Entra ID P1 o P2 per il tenant di Microsoft Entra.

Limiti dell'anteprima

• Ogni tenant di Microsoft Entra ha un limite di 500 gruppi di appartenenza dinamica tramite l'uso dell'attributo memberOf. I gruppi memberOf vengono conteggiati nella quota totale di membri del gruppo dinamico pari a 15.000.
• Ogni gruppo dinamico può avere fino a 50 gruppi di membri.
• Quando si aggiungono membri di gruppi di sicurezza a gruppi di appartenenza dinamica memberOf, solo i membri diretti del gruppo di sicurezza diventano membri del gruppo dinamico.
• Non è possibile usare un gruppo dinamico memberOf per definire l'appartenenza di un altro gruppo dinamico memberOf. Ad esempio, il gruppo dinamico A, che contiene i membri del gruppo B e C, non può essere un membro del gruppo dinamico D.
• L'attributo memberOf non può essere usato con altre regole. Ad esempio, una regola che indica che il gruppo dinamico A deve contenere membri del gruppo B e deve contenere solo utenti che si trovano in Redmond, avrà esito negativo.
• Al momento non è possibile usare la funzionalità di convalida e il generatore di regole del gruppo dinamico per memberOf.
• L'attributo memberOf non può essere usato con altri operatori. Ad esempio, non è possibile creare una regola che indica che "I membri del gruppo A non possono trovarsi nel gruppo dinamico B".
• Gli utenti inclusi nei gruppi di appartenenza dinamica memberOf possono causare un rallentamento dei tempi di elaborazione per il tenant, se il tenant ha un numero elevato di gruppi o se gli aggiornamenti dei gruppi di appartenenza dinamica sono frequenti.

Operazioni preliminari

Questa funzionalità può essere usata nel portale di Azure, in Microsoft Graph e in PowerShell. Poiché memberOf non è ancora supportato nel generatore di regole, è necessario immettere la regola nell'editor delle regole.

Creare un gruppo dinamico memberOf

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
2. Passare a Identità>Gruppi>Tutti i gruppi.
3. Selezionare Nuovo gruppo.
4. Compilare i dettagli del gruppo. Il tipo di gruppo può essere Sicurezza o Microsoft 365 e il tipo di appartenenza può essere impostato su Utente dinamico o Dispositivo dinamico.
5. Selezionare Aggiungi query dinamica.
6. MemberOf non è ancora supportato nel generatore di regole. Selezionare Modifica per scrivere la regola nella casella Sintassi della regola.
   1. Regola utente di esempio: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. Regola dispositivo di esempio: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. Seleziona OK.
8. Selezionare Crea gruppo.