Les groupes dynamiques dans Microsoft Entra ID sont des groupes dont l’appartenance est déterminée par des règles basées sur des attributs utilisateur ou appareil.
Il est très pratique d’utiliser des groupes qui se remplissent automatiquement en utilisant des critères spécifiques.
Licences
Ces groupes pourront par exemple être utilisés dans Intune pour déployer des applications ou des stratégies de configuration.
Pour utiliser des groupes dynamiques il faut disposer d’une licence Microsoft Entra ID P1 ou Microsoft Entra ID P2, Entra ID P1 étant inclus dans Microsoft 365 Business Premium.
Modification
Il est possible de modifier les règles d’appartenance dans la console Identité, dans le menu Groupes :
Il est aussi possible de modifier les groupes depuis Intune dans le menu Groupes :
Il est possible de modifier les règles d’appartenance en Powershell :
Set-AzureADMSGroup -Id $groupId -MembershipRule 'user.department -eq "Ventes"' -MembershipRuleProcessingState "On"
Et en Graph API :
{ "membershipRule": "user.department -eq \"Ventes\"", "membershipRuleProcessingState": "On" } PATCH https://graph.microsoft.com/v1.0/groups/{groupId} Content-Type: application/json Authorization: Bearer {token} { "membershipRule": "user.department -eq \"Ventes\"", "membershipRuleProcessingState": "On" }
Exemples de critères utilisateurs :
Critère | Formule |
Tous les utilisateurs avec un titre spécifique | (user.jobTitle -eq « Manager ») |
Tous les utilisateurs dans un pays spécifique | (user.country -eq « France ») |
Tous les utilisateurs ayant une licence Office Business | (user.assignedPlans -any (assignedPlan.servicePlanId -eq « 094e7854-93fc-4d55-b2c0-3ab5369ebdc1 » -and assignedPlan.capabilityStatus -eq « Enabled ») |
Tous les utilisateurs ayant une licence Office Entreprise | (user.assignedPlans -any (assignedPlan.servicePlanId -eq « 43de0ff5-c92c-492b-9116-175376d08c38 » -and assignedPlan.capabilityStatus -eq « Enabled ») |
Tous les utilisateurs dont le compte est activé | (user.accountEnabled -eq true) |
Tous les utilisateurs ayant une licence Defender For Business | (user.assignedPlans -any (assignedPlan.servicePlanId -eq « bfc1bbd9-981b-4f71-9b82-17c35fd0e2a4 » -and assignedPlan.capabilityStatus -eq « Enabled ») |
Tous les utilisateurs créés après une date spécifique |
(user.createdDateTime -gt « 2023-01-01T00:00:00Z ») |
Exemples de critères PC :
Critère | Formule |
Tous les périphériques managés par Intune | (device.managementType -eq « PC ») |
Tous les PC enrôlés et actifs | (device.accountEnabled -eq true) -and (device.deviceOwnership -eq « Company ») -and (device.managementType -eq « MDM ») -and (device.deviceOSType -contains « Windows » |
Tous les appareils Android | (device.operatingSystem -eq « Android ») |
Tous les appareils dont le nom commence par « PC-« | (device.displayName -startsWith « PC-« ) |
Tous les PC managés sous Windows | (device.managementType -eq « MDM ») and (device.deviceOSType -contains « Windows ») |
Tous les appareils avec un fabricant spécifique | (device.deviceManufacturer -eq « Dell ») |
Tous les appareils avec un modèle spécifique |
(device.deviceModel -eq « Surface Pro 7 ») |
On peut bien sur combiner les paramètres comme ci dessous avec l’opérateur and :
(user.department -eq « Ventes ») -and (user.jobTitle -eq « Manager »)
Fonctionnement
Les groupes dynamiques se mettent à jour lorsque vous les modifiez et peuvent se réactualiser toutes les 24 heures au maximum.
Vous pouvez vérifier la dernière date et heure de mise à jour dans les propriétés du groupe :
Conclusion
Les groupes de sécurité dynamiques sont un véritable outil pour gérer un parc de PC avec Intune et des groupes d’utilisateurs.
Ces groupes peuvent ensuite être complétés dans Intune par des filtres, que nous aborderons une prochaine fois.
Laurent Gébeau
Leave a Reply