Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Descrição geral
Pode alterar a pertença de um grupo de estática para dinâmica (ou vice-versa) no Microsoft Entra ID. O Microsoft Entra ID mantém o mesmo nome e ID de grupo no sistema, pelo que todas as referências existentes ao grupo continuam válidas. Se, em vez disso, você criar um novo grupo, precisará atualizar essas referências.
A criação de grupos de associação dinâmicos elimina a sobrecarga de gerenciamento de adicionar e remover usuários. Este artigo mostra-lhe como converter grupos de membros existentes de estáticos para dinâmicos, usando o portal do Azure ou os cmdlets do PowerShell. No Microsoft Entra, um único inquilino pode ter um máximo de 15.000 grupos dinâmicos de membros.
Observação
Quando um grupo estático é convertido em um grupo de associação dinâmico, os membros existentes que atendem à regra de associação permanecem. Os membros que não o fazem são removidos. Outros usuários que satisfazem a regra de associação são adicionados automaticamente. Se o grupo for usado para controlar o acesso a aplicativos ou recursos, os membros originais poderão perder o acesso até que a regra de associação seja totalmente processada.
Teste a nova regra de adesão antecipadamente para garantir que a nova adesão ao grupo está como esperado. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.
Pré-requisitos
Para alterar o tipo de associação usando o portal, você precisa de uma conta que tenha pelo menos a função de Administrador de Grupos .
Para alterar as propriedades do grupo dinâmico usando o PowerShell, é necessário usar cmdlets do módulo PowerShell do Microsoft Graph. Para mais informações, consulte Instale o Microsoft Graph PowerShell SDK.
Alterar o tipo de associação para um grupo (portal)
Inicia sessão no centro de administração Microsoft Entra pelo menos como Administrador de Grupos.
Selecione Microsoft Entra ID.
Selecione Grupos.
Na lista Todos os grupos , abra o grupo que pretende alterar.
Selecione Propriedades.
Na página Propriedades do grupo, selecione um valor de Tipo de associação de Atribuído (estático),Usuário dinâmico ou Dispositivo dinâmico, dependendo do tipo de associação desejado. Para grupos dinâmicos de associação, você pode usar o construtor de regras para selecionar opções para uma regra simples ou escrever uma regra de associação por conta própria.
As etapas a seguir são um exemplo de alteração de um grupo de usuários de grupos de associação estáticos para dinâmicos:
Em Tipo de associação, selecione Usuário dinâmico. Na caixa de diálogo que explica as alterações nos grupos dinâmicos de associação, selecione Sim para continuar.
Selecione Adicionar consulta dinâmica e forneça a regra.
Depois de criar a regra, selecione Adicionar consulta.
Na página Propriedades do grupo, selecione Salvar para salvar as alterações. O tipo de associação do grupo é atualizado imediatamente na lista de grupos.
Gorjeta
A conversão de grupo pode falhar se a regra de associação inserida estiver incorreta. No canto superior direito do portal, uma notificação explica por que a regra não pode ser aceita. Leia com atenção para entender como você pode ajustar a regra para torná-la válida. Para exemplos de sintaxe de regras e uma lista completa das propriedades, operadores e valores suportados para uma regra de pertença, veja Regras de gestão para grupos dinâmicos de membros em Microsoft Entra ID.
Alterar o tipo de associação para um grupo (PowerShell)
Aqui está um exemplo de funções que ativam a gestão de membros num grupo existente. Este exemplo manipula corretamente a GroupTypes propriedade para preservar quaisquer valores que não estejam relacionados a grupos dinâmicos de associação.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Para tornar um grupo estático, use este comando:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Para tornar um grupo dinâmico, use este comando:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""