Compartilhar via


Alterar grupos estáticos para grupos de associação dinâmica no Microsoft Entra ID

Você pode alterar a associação do grupo de estático para dinâmico (ou vice-versa) no Microsoft Entra ID, parte do Microsoft Entra. O Microsoft Entra ID mantém o mesmo nome do grupo e ID no sistema, para que todas as referências existentes ao grupo ainda são válidas. Se você criar um novo grupo, em vez disso, você precisaria atualizar essas referências. Criar grupos de associação dinâmica elimina a adição de sobrecarga de gerenciamento e remoção de usuários. Esse artigo informa como converter grupos existentes de estáticos para grupos de associação dinâmica que usam o portal do Azure ou cmdlets do PowerShell. No Microsoft Entra, um único locatário pode ter no máximo 15.000 grupos de associação dinâmica.

Aviso

Ao alterar um grupo estático existente para um grupo dinâmico, todos os membros existentes serão removidos do grupo e, em seguida, a regra de associação será processada para adicionar novos membros. Se o grupo for utilizado para controlar o acesso a aplicativos ou recursos, observe os membros originais poderão perder o acesso até que a regra de associação seja totalmente processada.

É recomendável testar a nova regra de associação antes para garantir que a nova associação no grupo esteja conforme esperado. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.

Alterar o tipo de associação para um grupo

As etapas a seguir podem ser realizadas com uma conta que tenha, no mínimo, a função Administrador de grupos atribuída.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
  2. Selecione ID do Microsoft Entra.
  3. Grupos.
  4. Na lista Todos os grupos, abra o grupo que você deseja alterar.
  5. Selecione Propriedades.
  6. Na página Propriedadesdo grupo, selecione um Tipo de Associação entre Atribuído (estático), Usuário Dinâmico ou Dispositivo Dinâmico, dependendo do tipo de associação desejado. Para grupos de associação dinâmica, é possível usar o construtor de regras para selecionar opções para uma regra simples ou gravar uma regra de associação por conta própria.

As etapas a seguir são um exemplo de como alterar um grupo de associação estática para dinâmica em grupos de usuários.

  1. Na página Propriedades do grupo selecionado, selecione um Tipo de Associação do Usuário Dinâmico e, em seguida, selecione Sim na caixa de diálogo explicando as alterações nos grupos de associação dinâmica para continuar.

    Captura de tela da seleção do tipo de associação de usuário dinâmico.

  2. Selecione Adicionar consulta dinâmica e, em seguida, forneça a regra.

    Captura de tela da inserção da regra para o grupo dinâmico.

  3. Depois de criar a regra, selecione Adicionar consulta na parte inferior da página.

  4. Selecione Salvar na página Propriedades para o grupo salvar suas alterações. O Tipo de Associação do grupo é imediatamente atualizado na lista de grupos.

Dica

A conversão de grupo poderá falhar se a regra de associação que você inseriu estiver incorreta. Uma notificação é exibida no canto superior direito do portal, explicando porque a regra não pode ser aceita pelo sistema. Leia com atenção para entender como você pode ajustar a regra para torná-la válida. Para obter exemplos de sintaxe de regra e uma lista completa de propriedades com suporte, operadores e valores para uma regra de associação, confira Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID.

Alterar o tipo de associação para um grupo (PowerShell)

Observação

Para alterar as propriedades de grupo dinâmico, você precisará usar os cmdlets do módulo Microsoft Graph PowerShell. Para obter mais informações, confira Instalar o SDK do Microsoft Graph PowerShell.

Aqui está um exemplo de funções que alternam o gerenciamento de associação em um grupo existente. Neste exemplo, é preciso ter cuidado para manipular corretamente a propriedade GroupTypes e preservar quaisquer valores não relacionados a grupos de associação dinâmica.

#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic membership groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Para tornar um grupo estático:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Para tornar um grupo estático:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Próximas etapas

Esses artigos fornecem mais informações sobre grupos no Microsoft Entra ID.