Agregar usuarios a grupos de Azure AD dinámicamente

Mantener un directorio activo a veces puede ser algo tedioso, sobre todo en la gestión de usuarios y grupos. Siempre deberías preocuparte de que todos los usuarios tienen acceso, y no, a las diferentes herramientas y aplicaciones que provee la compañía. En la mayoría de las ocasiones solemos agregar usuarios de forma manual a los diferentes grupos de los que deben ser miembros. Quizás no sepas que también existe una forma de agregarlos de manera dinámica, en base a una serie de consultas que podemos definir sobre las propiedades que tienen los usuarios.

Para verlo con un ejemplo, supongamos que queremos tener un grupo de la iniciativa Dharma y queremos que se asignen de manera dinámica todos aquellos que tengan como departamento Dharma initiative 🙂 Lo primero que tienes que hacer es acceder a tu Azure Active Directory, ir a la sección Groups y hacer clic en el botón + New group para crear uno nuevo. En este ejemplo, el nombre del grupo será Dharma Initiative y el Membership type debes ponerlo como Dynamic User. Al elegir este tipo aparece un nuevo apartado donde puedes agregar la consulta que se debe comprobar para saber qué usuarios de tu directorio son miembros.

Azure AD – New group – Dynamic assignment

En este ejemplo se utiliza la propiedad department para determinar si un usuario debe pertenecer a dicho grupo o no. Puedes generar queries más complejas, con más comprobaciones, si seleccionas la opción Advanced rule. Para verificar que funciona correctamente, crea un nuevo usuario y asígnale como valor de department Dharma Initiative.

Azure AD – Edit – Department – Dharma Initiative

Si vuelves de nuevo a la sección Groups y accedes a tu grupo dinámico comprobarás que de manera automática Hugo Reyes es miembro, por pertenecer a la iniciativa Dharma 🙂 Súper útil cuando empleados cambian de rol, de departamento, oficina, país, etcétera.

Azure AD – Dharma Initiative – Members

Otro ejemplo muy bueno sería un grupo de invitados a nuestro directorio, Guests, donde asignáramos a todos aquellos que tengan como usertype el tipo Guest:

Azure AD – Dynamic membership rules – userType Guest

En el apartado Overview de este tipo de grupos podrás ver el estado de la comprobación y cuándo fue la última vez que se hizo la misma:

Azure AD – Group – Dynamic membership – status

¡Saludos!