Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile modificare l'appartenenza di un gruppo da statica a dinamica (o viceversa) in Microsoft Entra ID. Microsoft Entra ID mantiene invariati il nome e l'ID del gruppo nel sistema, in modo che tutti i riferimenti esistenti al gruppo rimangano validi. Se invece si crea un nuovo gruppo, è necessario aggiornare tali riferimenti.
La creazione di gruppi di appartenenze dinamiche elimina il sovraccarico di gestione dell'aggiunta e della rimozione di utenti. Questo articolo illustra come convertire i gruppi di appartenenza esistenti da statici a dinamici usando il portale di Azure o i cmdlet di PowerShell. In Microsoft Entra un singolo tenant può avere un massimo di 15.000 gruppi di appartenenza dinamica.
Avviso
Quando si modifica un gruppo statico esistente in un gruppo dinamico, tutti i membri esistenti vengono rimossi dal gruppo. La regola di appartenenza viene quindi elaborata per aggiungere nuovi membri. Se il gruppo viene usato per controllare l'accesso alle app o alle risorse, i membri originali potrebbero perdere l'accesso fino a quando la regola di appartenenza non viene elaborata completamente.
È consigliabile testare prima la nuova regola di appartenenza per verificare che la nuova appartenenza nel gruppo sia quella prevista. Se si verificano errori durante il test, vedere Risolvere i problemi relativi alle licenze di gruppo.
Prerequisiti
Per modificare il tipo di appartenenza usando il portale, è necessario un account con almeno il ruolo Amministratore gruppi .
Per modificare le proprietà dei gruppi dinamici tramite PowerShell, è necessario usare i cmdlet del modulo Microsoft Graph PowerShell. Per altre informazioni, vedere Installare Microsoft Graph PowerShell SDK.
Modificare il tipo di appartenenza per un gruppo (portale)
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.
Seleziona Microsoft Entra ID.
Seleziona Gruppi.
Nell'elenco Tutti i gruppi aprire il gruppo che si desidera modificare.
Selezionare Proprietà.
Nella pagina Proprietà per il gruppo selezionare il valore Tipo di appartenenzaAssegnato (statico),Utente dinamico o Dispositivo dinamico, a seconda del tipo di appartenenza desiderato. Peri gruppi di appartenenza dinamici è possibile usare il generatore di regole per selezionare le opzioni per una regola semplice oppure per scrivere manualmente una regola di appartenenza.
Di seguito è riportato un esempio di modifica di un gruppo di utenti da statici a gruppi di appartenenza dinamici:
In Tipo di appartenenza selezionare Utente dinamico. Nella finestra di dialogo che illustra le modifiche apportate ai gruppi di appartenenze dinamiche selezionare Sì per continuare.
Selezionare Aggiungi query dinamica e quindi specificare la regola.
Dopo aver creato la regola, selezionare Aggiungi query.
Nella pagina Proprietà del gruppo selezionare Salva per salvare le modifiche. Il valore di Tipo di appartenenza del gruppo viene aggiornato immediatamente nell'elenco dei gruppi.
Suggerimento
La conversione del gruppo potrebbe non riuscire se la regola di appartenenza immessa non è corretta. Nell'angolo superiore destro del portale, una notifica spiega perché la regola non può essere accettata. Leggerla attentamente per capire come modificare la regola per renderla valida. Per esempi di sintassi delle regole e un elenco completo di proprietà, operatori e valori supportati per una regola di appartenenza, vedere Gestire le regole dei gruppi di appartenenza dinamica in Microsoft Entra ID.
Modificare il tipo di appartenenza per un gruppo (PowerShell)
Ecco un esempio di funzioni che cambiano la gestione delle appartenenze in un gruppo esistente. In questo esempio viene modificata correttamente la GroupTypes proprietà per mantenere tutti i valori non correlati ai gruppi di appartenenza dinamici.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Per rendere statico un gruppo, usare questo comando:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Per rendere dinamico un gruppo, usare questo comando:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""