Partilhar via

Crie regras mais simples e eficientes para grupos de associação dinâmicos no Microsoft Entra ID

  • Artigo

A equipe de engenharia do Microsoft Entra ID, parte do Microsoft Entra, recebe relatórios de incidentes relacionados a grupos dinâmicos de associação e ao tempo de processamento de suas regras de associação. As informações relatadas são apresentadas neste artigo. Este artigo também discute os métodos mais comuns pelos quais a Microsoft ajuda os clientes a simplificar suas regras para grupos dinâmicos de associação. Regras mais simples e eficientes resultam em melhores tempos de processamento de grupos dinâmicos.

Ao escrever regras de associação para grupos dinâmicos de associação, siga as etapas neste artigo para garantir que você crie essas regras da forma mais eficiente possível.

Minimizar o uso do MATCH

Minimize ao máximo o match uso do operador em regras. Em vez disso, explore se é possível usar os startswith operadores or -eq . Considerar o uso de outras propriedades que permitem escrever regras para selecionar os usuários que você deseja que estejam no grupo sem usar o -match operador. Por exemplo, se você quiser uma regra para o grupo para todos os usuários cuja cidade é Lagos, em vez de usar regras como:

  • user.city -match "ago"
  • user.city -match ".*?ago.*"

É melhor usar regras como:

  • user.city -startswith "Lag"

Ou, o melhor de tudo:

  • user.city -eq "Lagos"

Minimizar o uso de CONTAINS

Semelhante ao uso de MATCH. Minimize ao máximo o contains uso do operador em regras. Em vez disso, explore se é possível usar os startswith operadores or -eq . A utilização do CONTAINS pode aumentar os tempos de processamento, especialmente para locatários com muitos grupos de membros dinâmicos.

Use menos operadores de RUP

Em sua regra, identifique quando ela usa vários valores para a mesma propriedade vinculada junto com -or operadores. Em vez disso, use o -in operador para agrupá-los em um único critério para tornar a regra mais fácil de avaliar. Por exemplo, em vez de ter uma regra como esta:

(user.department -eq "Accounts" -and user.city -eq "Lagos") -or 
(user.department -eq "Accounts" -and user.city -eq "Ibadan") -or 
(user.department -eq "Accounts" -and user.city -eq "Kaduna") -or 
(user.department -eq "Accounts" -and user.city -eq "Abuja") -or 
(user.department -eq "Accounts" -and user.city -eq "Port Harcourt")

É melhor ter uma regra como esta:

  • user.department -eq "Accounts" -and user.city -in ["Lagos", "Ibadan", "Kaduna", "Abuja", "Port Harcourt"]

Por outro lado, identifique subcritérios semelhantes com a mesma propriedade não igual a vários valores, que estão vinculados a -and operadores. Em seguida, use o -notin operador para agrupá-los em um único critério para tornar a regra mais fácil de entender e avaliar. Por exemplo, em vez de usar uma regra como esta:

  • (user.city -ne "Lagos") -and (user.city -ne "Ibadan") -and (user.city -ne "Kaduna") -and (user.city -ne "Abuja") -and (user.city -ne "Port Harcourt")

É melhor usar uma regra como esta:

  • user.city -notin ["Lagos", "Ibadan", "Kaduna", "Abuja", "Port Harcourt"]

Evitar critérios redundantes

Certifique-se de que não está a utilizar critérios redundantes na sua regra. Por exemplo, em vez de usar uma regra como esta:

  • user.city -eq "Lagos" or user.city -startswith "Lag"

É melhor usar uma regra como esta:

  • user.city -startswith "Lag"

Próximos passos