Configurar grupos de associação dinâmica com o atributo memberOf no portal do Azure

A versão prévia do recurso no Microsoft Entra ID permite que os administradores criem grupos de associação dinâmica e unidades administrativas que são preenchidos adicionando os membros de outros grupos usando o atributo memberOf. Os aplicativos que antes não podiam ler a associação baseada em grupo no Microsoft Entra ID já podem ler toda a associação desses novos grupos memberOf. Esses grupos não só podem ser usados para aplicativos, mas também podem ser usados para atribuição de licenciamento.

O diagrama a seguir ilustra como é possível criar o Grupo Dinâmico A com membros do Grupo de Segurança X e do Grupo de Segurança Y. Os membros dos grupos dentro do Grupo de Segurança X e do Grupo de Segurança Y não se tornam membros do Grupo Dinâmico A.

Com essa versão prévia, os administradores podem configurar grupos de associação dinâmica com o atributo memberOf no portal do Azure, no Microsoft Graph e no PowerShell. Grupos de segurança, grupos do Microsoft 365 e grupos sincronizados no Active Directory local podem ser adicionados como membros desses grupos de associação dinâmica. Eles também podem ser adicionados a um único grupo. Por exemplo, o grupo dinâmico pode ser um grupo de segurança, mas você pode usar grupos do Microsoft 365, grupos de segurança e grupos sincronizados do local para definir a associação.

Pré-requisitos

Você deve ser pelo menos um Administrador de usuários para usar o atributo memberOf para criar um grupo dinâmico do Microsoft Entra. Você deve ter uma licença P1 ou P2 da ID do Microsoft Entra para o locatário do Microsoft Entra.

Limitações de visualização

• Cada locatário do Microsoft Entra está limitado a 500 grupos de associação dinâmica usando o atributo memberOf. Os grupos memberOf contam para a cota total de membros do grupo dinâmico de 15.000.
• Cada grupo dinâmico pode ter grupos de até 50 membros.
• Quando você adiciona membros de grupos de segurança a grupos de associação dinâmica memberOf, apenas os membros diretos do grupo de segurança se tornam membros do grupo dinâmico.
• Você não pode usar um grupo dinâmico de memberOf para definir a associação de outro grupo dinâmico de memberOf. Por exemplo, o Grupo Dinâmico A, com membros do grupo B e C contidos nele, não pode ser membro do Grupo Dinâmico D.
• O atributo memberOf não pode ser usado com outras regras. Por exemplo, uma regra que afirme que o grupo dinâmico A deve conter membros do grupo B e também deve conter apenas usuários localizados em Redmond falhará.
• O construtor de regras de grupo dinâmico e o recurso de validação não podem ser usados para memberOf no momento.
• O atributo memberOf não pode ser usado com outros operadores. Por exemplo, não é possível criar uma regra que afirme que "Membros do grupo A não podem estar no grupo Dinâmico B".
• Os usuários incluídos em grupos de associação dinâmica memberOf podem causar um tempo de processamento mais lento para seu locatário, se o locatário tiver um grande número de grupos ou atualizações frequentes de grupos de associação dinâmica.

Introdução

Esse recurso pode ser usado no portal do Azure, no Microsoft Graph e no PowerShell. Como memberOf ainda não tem suporte no construtor de regras, é necessário inserir sua regra no editor de regras.

Criar um grupo dinâmico de memberOf

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
2. Navegue atéIdentidade>Grupos>Todos os grupos.
3. Selecione Novo grupo.
4. Preencha os detalhes do grupo. O tipo de grupo pode ser Segurança ou Microsoft 365 e o tipo de associação pode ser definido como Usuário Dinâmico ou Dispositivo Dinâmico.
5. Selecione Adicionar consulta dinâmica.
6. MemberOf ainda não tem suporte no construtor de regras. Selecione Editar para gravar a regra na caixa Sintaxe da regra.
   1. Exemplo de regra de usuário: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. Exemplo de regra de dispositivo: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. Selecione OK.
8. Selecione Criar grupo.