Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare le regole per determinare i gruppi di appartenenze dinamici in base alle proprietà utente o dispositivo in Microsoft Entra ID. Questo articolo descrive come configurare una regola per i gruppi di appartenenze dinamici nel portale di Azure.
L'appartenenza a gruppi in base alle proprietà utente o dispositivo è supportata per i gruppi di sicurezza e i gruppi di Microsoft 365. Quando si applica una regola per un gruppo di appartenenza dinamica, gli attributi utente e dispositivo vengono valutati per corrispondenze con la regola di appartenenza. Quando un attributo di un utente o un dispositivo cambia, tutte le regole per i gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche. Gli utenti e i dispositivi vengono aggiunti o rimossi se soddisfano le condizioni per un gruppo di appartenenza dinamica. In Microsoft Entra ID, un singolo tenant può avere un massimo di 15.000 gruppi di appartenenze dinamiche.
Nota
I gruppi di sicurezza possono includere dispositivi o utenti, ma i gruppi di Microsoft 365 possono includere solo gli utenti.
L'uso di gruppi di appartenenze dinamiche richiede una licenza Microsoft Entra ID P1 o una licenza di Intune per Education. Per ulteriori informazioni, consultare Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.
Generatore di regole nel portale di Azure
Microsoft Entra ID fornisce un generatore di regole per creare e aggiornare le regole importanti più rapidamente. Il generatore di regole supporta la costruzione di un massimo di cinque espressioni.
Il generatore di regole semplifica la creazione di una regola con poche espressioni semplici. Tuttavia, non può essere usato per riprodurre ogni regola. Se il generatore di regole non supporta la regola che si vuole creare, è possibile usare la casella di testo.
Ecco alcuni esempi di regole avanzate o sintassi per cui è consigliabile usare la casella di testo:
- Regola che contiene più di cinque espressioni
- Regola per i report diretti
- Impostazione della precedenza degli operatore
-
Regola con espressioni complesse; Per esempio
(user.proxyAddresses -any (_ -contains "contoso"))
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo. Potrebbe essere visualizzato un messaggio quando il generatore di regole non può visualizzare la regola. Il generatore di regole non modifica in alcun modo la sintassi, la convalida o l'elaborazione delle regole per i gruppi di appartenenza dinamica.
Per esempi di sintassi e proprietà, operatori e valori supportati per una regola di appartenenza, vedere Gestire le regole per i gruppi di appartenenza dinamici in Microsoft Entra ID.
Creare una regola per un gruppo di appartenenze dinamiche
Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.
Selezionare Microsoft Entra ID>Gruppi.
Selezionare Tutti i gruppi e quindi Nuovo gruppo.
Nel riquadro Gruppo immettere un nome e una descrizione per il nuovo gruppo. Selezionare un valore Tipo di appartenenza per utenti o dispositivi e quindi selezionare Aggiungi query dinamica.
Nel generatore di regole aggiungere fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.
Per vedere le proprietà personalizzate di estensione disponibili per la richiesta di adesione:
- Selezionare Ottieni proprietà dell'estensione personalizzata.
- Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
Al termine della creazione della regola, selezionare Salva.
Nella pagina Nuovo gruppo selezionare Crea per creare il gruppo.
Se la regola immessa non è valida, nel portale viene visualizzata una spiegazione del motivo per cui non è stato possibile elaborare la regola. Leggere attentamente per comprendere come correggere la regola.
Aggiornare una regola esistente
Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.
Seleziona Microsoft Entra ID.
Selezionare Gruppi>Tutti i gruppi.
Selezionare un gruppo per aprirne il profilo.
Nella pagina del profilo del gruppo selezionare Regole di appartenenza dinamica. Il generatore di regole supporta fino a cinque espressioni. Per aggiungere più di cinque espressioni, è necessario usare la casella di testo.
Per visualizzare le proprietà di estensione personalizzate disponibili per la regola di appartenenza:
- Selezionare Ottieni proprietà dell'estensione personalizzata.
- Immettere l'ID applicazione e quindi selezionare Aggiorna proprietà.
Dopo aver completato l'aggiornamento della regola, selezionare Salva.
Attivare o disattivare il messaggio di posta elettronica di benvenuto
Quando un amministratore crea un nuovo gruppo di Microsoft 365, gli utenti aggiunti al gruppo ricevono una notifica di posta elettronica di benvenuto. In seguito, se gli attributi di un utente o di un dispositivo (solo per i gruppi di sicurezza) cambiano, tutte le regole per i gruppi di appartenenza dinamica nell'organizzazione vengono elaborate per le modifiche. Anche gli utenti aggiunti ricevono la notifica di benvenuto.
È possibile attivare o disattivare questo comportamento in Exchange PowerShell.
Controllare lo stato di elaborazione per una regola
È possibile visualizzare lo stato di elaborazione delle regole e la data dell'ultima modifica dell'appartenenza nella pagina di panoramica per il gruppo di appartenenza dinamico.
I messaggi di stato seguenti possono essere visualizzati per lo stato di elaborazione delle regole dinamiche:
- Valutazione: la modifica del gruppo è stata ricevuta e gli aggiornamenti vengono valutati.
- Elaborazione: gli aggiornamenti sono in fase di elaborazione.
- Aggiornamento completo: l'elaborazione è stata completata e sono stati eseguiti tutti gli aggiornamenti applicabili.
- Errore di elaborazione: impossibile completare l'elaborazione a causa di un errore durante la valutazione della regola di appartenenza.
-
Aggiornamento sospeso: l'amministratore ha sospeso la regola per aggiornare i gruppi di appartenenza dinamici.
MembershipRuleProcessingStateè impostato suPaused. - Non avviato: l'elaborazione non è stata avviata.
Nota
Questa pagina include ora un'opzione Sospendi elaborazione . In precedenza, questa opzione era disponibile solo tramite la modifica della membershipRuleProcessingState proprietà . Un utente con almeno il ruolo amministratore gruppi può gestire questa impostazione e può sospendere e riprendere l'elaborazione dei gruppi di appartenenza dinamici. I proprietari del gruppo che non dispongono dei ruoli corretti non hanno i diritti necessari per modificare questa impostazione.
I messaggi di stato seguenti vengono visualizzati per Modifica ultima appartenenza:
- <Data e ora>: l'appartenenza è stata aggiornata per l'ultima volta a questa data e ora.
- In corso: aggiornamenti in corso.
- Sconosciuto: non è possibile recuperare l'orario dell'ultimo aggiornamento. Il gruppo potrebbe essere nuovo.
Importante
Dopo aver sospeso e annullato l'elaborazione dei gruppi di appartenenza dinamici, la data ultima modifica dell'appartenenza mostra un valore segnaposto. Questo valore viene aggiornato al termine dell'elaborazione.
Se si verifica un errore durante l'elaborazione della regola di appartenenza per un gruppo specifico, viene visualizzato un avviso nella parte superiore della pagina di panoramica per il gruppo. Se non è possibile elaborare aggiornamenti in sospeso per i gruppi di appartenenza dinamici per tutti i gruppi all'interno dell'organizzazione per più di 24 ore, viene visualizzato un avviso sopra Tutti i gruppi.
