Criando grupos dinâmicos no Entra ID

Criando grupos dinâmicos no Entra ID

Procurando facilitar a inclusão de usuários e dispositivos em grupos, o Entra ID disponibiliza os grupos dinâmicos, que nos permitem utilizar atributos para decidir em qual grupo o objeto deve ser colocado.


O recurso

Quando um grupo é criado no Entra ID ele pode ser de 2 tipos: segurança e Microsoft 365. Os dois tipos tem suas diferenças, que não fazem parte do objetivo deste artigo, porém ambos nos permitem usufruir das atribuições dinâmicas.

Como foi explicado brevemente, as atribuições dinâmicas nos permitem criar regras (ou queries) que serão executadas sobre usuários e dispositivos existentes no tenant. Essas regras irão analisar certas informações que são contidas no objeto e o tornarão um membro do grupo.

Essas regras são criadas através do Portal do Entra ou através do Portal do Azure, acessando o Azure Active Directory. É disponibilizado um construtor para definir a regra, permitindo que você crie regras complexas e interligadas e não exigindo que você tenha conhecimento da sintaxe utilizada.

É importante frisar que a opção de Dispositivos Dinâmicos está disponível apenas para grupos de segurança e não para grupos do tipo Microsoft 365.


Aplicação

Esse recurso traz benefícios para as empresas dos mais diversos tamanhos.

A construção de boas regras de atribuição pode tranquilizar os times de segurança e gestão de acesso, permitindo que os mesmos foquem em outras atividades que agreguem mais valor para a empresa e não em atividades repetitivas e que poderiam ter sido automatizadas.

As regras também eliminam a possibilidade de erro humano. Uma vez que forem bem definidas e os processos de criação dos usuários e dispositivos forem maduros, as regras poderão ter cobertura de praticamente 100% dos casos nas empresas, exigindo que os times se preocupem com isso apenas em casos especiais.

Alguns casos de usos em que a aplicação desta funcionalidade pode ser útil:

  • Atribuição de novos funcionários nos grupos departamentais específicos;

  • Atribuição dos funcionários nos grupos de suas equipes (tanto para novos funcionários quanto para funcionários em mudança de equipe);

  • Atribuição dos dispositivos em grupos utilizados para gerenciamento dos mesmos.

Este recurso pode ser utilizado para atribuir usuários de diversas áreas, cargos e departamentos em grupos comuns a eles, visando facilitar a liberação de acessos, como também pode ser utilizado para cenários mais específicos, onde precisamos analisar com mais detalhe as informações dos usuários.

Usuários sincronizados do Active Directory on-premise através do Azure AD Cloud Sync, também serão “impactados” pelas regras criadas.

Listados os benefícios do uso dessa funcionalidade, vamos explorar a sua aplicação!


Hands-on

Passando para a seção prática do nosso tutorial, a imagem abaixo ilustra o cenário que iremos configurar:

Criaremos 3 grupos e dentro de cada um deles configuraremos as regras de atribuição dinâmica de usuários.

Não é possível criar grupos com atribuição dinâmica através do Azure CLI, então todas as operações deverão ser feitas utilizando o Portal do Azure ou o Portal do Entra.

Ao navegarmos no Portal do Entra, acessarmos o Entra ID e a seção de Grupos, vamos clicar em “Novo Grupo”.

Vamos clicar sobre o texto “Add dynamic query” e seremos direcionados para a seção onde criaremos as regras de atribuição.

Como esse primeiro grupo que estamos criando é direcionado para os gerentes, a regra que iremos construir analisará o cargo dos usuários procurando os que contenham a palavra “Gerente”. Dessa maneira a regra será executada para todos os gerentes da empresa, sem realizar distinção entre os departamentos em que atuam.

O editor visual disponibiliza de todas as propriedades existentes nos usuários, você pode navegar por ele e explorar as mais diversas possibilidades.

As queries também podem ser feitas em cima de valores numéricos.

O campo “Rule syntax” transformará a query criada no editor gráfico para a sintaxe utilizada pelo Entra ID. No final do campo de texto podemos ver o botão “Edit”. Ao clicarmos sobre ele, o campo de texto é habilitado e nós podemos utilizá-lo para escrever a query utilizando a sintaxe apropriada.

Agora basta salvar a query e confirmar a criação do grupo.

Os grupos dinâmicos criados impactarão usuários já criados no tenant. Pode levar um tempo para você notar as mudanças de acordo com a quantidade de usuários existentes na sua empresa, mas usuários antigos e novos serão afetados pelas queries*.*

Agora que você já sabe criar um grupo do zero e criar sua query, vamos criar os outros dois grupos necessários. Colocarei a seguir as duas queries que devem ser criadas em cada um dos grupos.

Query para grupo de diretores

Query para grupo do Departamento de Segurança

Validate Rules: caso você deseje testar a execução da sua query, você pode acessar a funcionalidade “Validate Rules” que está ao lado de “Configure Rules”. Esse recurso nos permite selecionar um ou mais usuários e retornará se esse usuário será colocado no grupo ou não.

Grupos criados, o que nos resta é criar usuários que contenham as informações que foram utilizadas nas queries e verificar a execução.

Como utilizamos as propriedades department e jobTitle, essas mesmas devem ser preenchidas na seção “Propriedades” quando você estiver criando os usuários.

Crie seus usuários e aguarde alguns minutos para que a query tenha tempo de ser executada.


Pronto! Hoje entendemos o poder dos grupos dinâmicos e como eles podem nos ajudar a aumentar a produtividade da nossa organização e diminuir esforços dos times operacionais.

Os grupos dinâmicos podem ter queries complexas, que fazem uso de dezenas de informações diferentes e que funcionam em diferentes granularidades, por isso se demonstra um recurso valioso para as empresas de diferentes tamanhos.

É isso, chegamos ao final do texto. Espero que tenha gostado e que agora você consiga fazer uso desse recurso valioso.

Até mais!