Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
Você pode alterar os membros de um grupo de modo estático para dinâmico (ou vice-versa) no Microsoft Entra ID. Microsoft Entra ID mantém o mesmo nome de grupo e ID no sistema, portanto, todas as referências existentes ao grupo ainda são válidas. Se você criar um novo grupo em vez disso, precisará atualizar essas referências.
A criação de grupos de associação dinâmica elimina a sobrecarga de gerenciamento de adicionar e remover usuários. Este artigo mostra como converter grupos de associação existentes de estáticos para dinâmicos usando o portal Azure ou cmdlets do PowerShell. Em Microsoft Entra, um único locatário pode ter um máximo de 15.000 grupos de associação dinâmica.
Observação
Quando um grupo estático é convertido em um grupo de associação dinâmica, os membros existentes que atendem à regra de associação permanecem. Membros que não cumprem são removidos. Outros usuários que atendem à regra de associação são adicionados automaticamente. Se o grupo for usado para controlar o acesso a aplicativos ou recursos, os membros originais poderão perder o acesso até que a regra de associação seja totalmente processada.
Teste a nova regra de associação de antemão para garantir que a nova associação no grupo seja conforme o esperado. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.
Pré-requisitos
Para alterar o tipo de associação usando o portal, você precisa de uma conta que tenha pelo menos a função administrador de grupos .
Para alterar as propriedades de grupo dinâmico usando o PowerShell, você precisa usar cmdlets do módulo Microsoft Graph PowerShell. Para obter mais informações, consulte Instale o Microsoft Graph PowerShell SDK.
Alterar o tipo de associação de um grupo (portal)
Entre no Microsoft Entra centro de administração como pelo menos um Administrador de Grupos.
Selecione Microsoft Entra ID.
Selecione Grupos.
Na lista Todos os grupos , abra o grupo que você deseja alterar.
Selecione Propriedades.
Na página Propriedades do grupo, selecione um valor de tipo de associação como Atribuído (estático), Usuário dinâmico ou Dispositivo dinâmico, dependendo do tipo de associação desejado. Para grupos de associação dinâmica, é possível usar o construtor de regras para selecionar opções para uma regra simples ou gravar uma regra avançada de associação.
As etapas a seguir são um exemplo de alteração de um grupo de usuários de grupos de associação estática para dinâmica:
Para o tipo associação, selecione Usuário Dinâmico. Na caixa de diálogo que explica as alterações nos grupos de associação dinâmica, selecione Sim para continuar.
Selecione Adicionar consulta dinâmica e forneça a regra.
Depois de criar a regra, selecione Adicionar consulta.
Na página Propriedades do grupo, selecione Salvar para salvar suas alterações. O tipo de associação do grupo é imediatamente atualizado na lista de grupos.
Dica
A conversão de grupo poderá falhar se a regra de associação que você inseriu estiver incorreta. No canto superior direito do portal, uma notificação explica por que a regra não pode ser aceita. Leia com atenção para entender como você pode ajustar a regra para torná-la válida. Para obter exemplos de sintaxe de regra e uma lista completa das propriedades, operadores e valores com suporte para uma regra de associação, consulte as regras Manage para grupos de associação dinâmica em Microsoft Entra ID.
Alterar o tipo de associação de um grupo (PowerShell)
Aqui está um exemplo de funções que alternam o gerenciamento de associação em um grupo atual. Este exemplo manipula corretamente a GroupTypes propriedade para preservar todos os valores que não estão relacionados a grupos de associação dinâmica.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Para tornar um grupo estático, use este comando:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Para tornar um grupo dinâmico, use este comando:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Conteúdo relacionado
- Gerenciar grupos e associações de grupos do Microsoft Entra
- Gerenciar regras para grupos de membros dinâmicos no Microsoft Entra ID