Configurare l'appartenenza dinamica

Completato

Microsoft Teams supporta i team associati ai Gruppi di Microsoft 365 tramite l'appartenenza dinamica.

È possibile usare l'appartenenza dinamica per definire i membri di un team in base a una o più regole che controllano la presenza di determinati attributi utente in Microsoft Entra ID. Gli utenti vengono rimossi o aggiunti automaticamente ai team designati quando gli attributi utente cambiano o gli utenti partecipano e lasciano il tenant. Gli scenari possibili includono:

  • Un ospedale può creare team distinti per infermieri, medici e chirurghi per trasmettere le comunicazioni. Questa funzionalità è particolarmente importante se l'ospedale si basa su dipendenti temporanei.
  • Un'università può creare un team per tutti i docenti all'interno di un dipartimento, compresa una facoltà aggiunta che cambia di frequente.
  • Una compagnia aerea vuole creare un team per un team di volo che cambia frequentemente e che viene assegnato o rimosso automaticamente in base alle esigenze.

Grazie a questa funzionalità, i membri di un team vengono aggiornati automaticamente in base a un determinato set di criteri, anziché gestire manualmente l'appartenenza.

Nota

L'uso di gruppi dinamici richiede licenze Microsoft Entra ID P1 per tutti gli utenti nell'ambito.

Possono essere necessari da pochi minuti a un massimo di 2 ore per riflettere le modifiche all’appartenenza dinamica dopo che sono state applicate nel Gruppo di Microsoft 365 per un team. Per l'appartenenza a gruppi dinamici nei team, tenere presente quanto segue:

  • Le regole possono definire chi è un membro del team di un team, ma non chi è il proprietario del team.
  • I proprietari non potranno aggiungere o rimuovere utenti come membri del team, poiché i membri sono definiti dalle regole dei gruppo dinamico.
  • I membri non potranno lasciare i team supportati da gruppi dinamici.

Abilitare l'appartenenza dinamica

Per abilitare l'appartenenza dinamica a un team, è necessario modificare la regola di appartenenza al gruppo di Microsoft 365 sottostante usando l'interfaccia di amministrazione di Microsoft Entra o PowerShell. I riferimenti al gruppo non verranno modificati se si modifica l'appartenenza. Se il gruppo viene usato per l’accesso, ogni membro aggiunto dalla regola di appartenenza dinamica avrà accesso alle risorse del gruppo.

Al momento non esiste un modo per creare direttamente un team con appartenenza dinamica. È possibile creare un team, quindi modificare la regola di appartenenza del gruppo di Microsoft 365 associato o creare un gruppo di Microsoft 365 con il tipo di appartenenza utente dinamico e quindi creare un team dal gruppo di Microsoft 365 esistente.

Avviso

Quando si modifica un gruppo statico esistente in un gruppo dinamico, tutti i membri esistenti vengono rimossi dal gruppo e quindi la regola di appartenenza viene elaborata per aggiungere nuovi membri. Se il gruppo viene usato per controllare l'accesso alle app o alle risorse, tenere presente che i membri originali potrebbero perdere l'accesso fino a quando la regola di appartenenza non viene elaborata completamente. È consigliabile testare la nuova regola di appartenenza in anticipo per assicurarsi che l'appartenenza al gruppo sia quella prevista.

Usare l'interfaccia di amministrazione di Microsoft Entra

Eseguire la procedura seguente per modificare l'appartenenza al gruppo di un team esistente in un'appartenenza dinamica basata su regole.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra con un account amministratore globale, amministratore utente o amministratore di gruppi nell'organizzazione Microsoft Entra.

  2. Nel menu del riquadro sinistro selezionare Gruppi.

  3. Nell'elenco Tutti i gruppi aprire il gruppo che si vuole modificare.

  4. Selezionare Proprietà. Nella pagina Proprietà del gruppo selezionato selezionare un tipo di appartenenza utente dinamico.

    Screenshot del tipo di appartenenza nell'ID Microsoft Entra.

  5. Selezionare Aggiungi query dinamica e quindi specificare la regola.

    Screenshot dell'aggiunta di query dinamiche in Microsoft Entra ID.

  6. Dopo aver creato la regola, fare clic su Salva per tornare alla pagina Proprietà.

  7. Selezionare Salva nella pagina Proprietà del gruppo per salvare le modifiche. Il Tipo di appartenenza del gruppo viene immediatamente aggiornato nell'elenco dei gruppi.

Usare Microsoft Graph PowerShell

Per modificare il tipo di appartenenza di un gruppo, usare Microsoft Graph PowerShell.

Nota: I moduli di PowerShell di Azure AD e MSOnline sono pianificati per la deprecazione e i comandi di PowerShell sono stati modificati in modo da riflettere Microsoft Graph PowerShell.

Usare il comando seguente per impostare l'appartenenza dinamica al gruppo:

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

Per creare la variabile $groupTypes è necessario ottenere i tipi di gruppo del gruppo esistente e aggiungervi la stringa "dynamicMembership".

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

Creare una regola di appartenenza dinamica

È possibile creare una regola da una o più espressioni. Una singola espressione ha il formato Proprietà Operatore Valore. Ad esempio: user.department -eq "Sales". Per aggiungere più espressioni a una singola regola, è possibile usare gli stessi operatori per combinarle e mantenere ogni espressione tra parentesi:

(user.department -eq "Sales") -and (user.department -eq "Marketing")

Esistono tre tipi di proprietà che si possono usare per creare una regola di appartenenza.

  • Booleano

  • Stringa

  • Raccolta di stringhe

Gli operatori supportati sono:

Operatore Sintassi
Non uguale -ne
Uguale -eq
Non inizia con -notStartsWith
Inizia con -startsWith
Non contiene -notContains
Contains -contains
Non corrisponde -notMatch
Corrisponde -match
In -in
Non incluso -notIn

I valori usati in un'espressione possono essere di diversi tipi, tra cui:

  • Stringhe

  • Booleano: vero, falso

  • Numeri

  • Matrici: matrice di numeri, matrice di stringhe

Quando si specifica un valore all'interno di un'espressione, è importante usare la sintassi corretta per evitare errori. Ecco alcuni suggerimenti per la sintassi:

  • Le virgolette doppie sono facoltative, a meno che il valore non sia una stringa.

  • Nelle operazioni su stringhe ed espressioni regolari non viene fatta distinzione tra maiuscole e minuscole.

  • Quando un valore stringa contiene virgolette doppie, entrambe le virgolette devono essere precedute da caratteri di escape usando il carattere (), ad esempio, user.department -eq "Sales" è la sintassi corretta quando "Sales" è il valore.

  • È anche possibile eseguire controlli Null, usando null come valore, ad esempio user.department -eq null.

Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.