Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)

Sie können Benutzer oder Geräte für Verwaltungseinheiten manuell hinzufügen oder entfernen. Mit dynamischen Mitgliedergruppen können Sie Benutzende oder Geräte für Verwaltungseinheiten dynamisch mithilfe von Regeln hinzufügen oder entfernen. In diesem Artikel wird beschrieben, wie Sie mithilfe des Microsoft Entra Admin Centers, PowerShell oder der Microsoft Graph API Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen erstellen.

Hinweis

Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten können mit denselben Attributen erstellt werden, die für dynamische Mitgliedergruppen verfügbar sind. Weitere Informationen zu den verfügbaren spezifischen Attributen und Beispiele für deren Verwendung finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

Obwohl administrative Einheiten mit zugewiesenen Mitgliedern mehrere Objekttypen wie Benutzer, Gruppe und Geräte manuell unterstützen, ist es derzeit nicht möglich, eine Administrative Einheit mit Regeln für dynamische Mitgliedschaftsgruppen zu erstellen, die mehr als einen Objekttyp enthalten. Sie können beispielsweise Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte erstellen, aber nicht für beides. Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Gruppen werden derzeit nicht unterstützt.

Voraussetzungen

• Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
• Microsoft Entra ID P1- oder P2-Lizenz für jedes Mitglied der Verwaltungseinheit
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
• Globale Azure Cloud (nicht in spezialisierten Clouds wie Azure Government oder Microsoft Azure betrieben von 21Vianet)

Hinweis

Dynamische Mitgliedschaftsregeln für administrative Einheiten erfordern eine Microsoft Entra ID P1-Lizenz für jeden eindeutigen Benutzer, der Mitglied einer oder mehrerer dynamischer administrativer Einheiten ist. Sie müssen Benutzer*innen keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Verwaltungseinheiten werden, aber Sie müssen die Mindestanzahl von Lizenzen in der Microsoft Entra-Organisation haben, um alle diese Benutzer*innen abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer*innen in allen dynamischen Verwaltungseinheiten Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra ID P1, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglieder einer Verwaltungseinheit für eine dynamische Mitgliedergruppe für Geräte sind, ist keine Lizenz erforderlich.

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Hinzufügen von Regeln für dynamische Mitgliedergruppen

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte zu erstellen.

Admin-Zentrum

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer oder Geräte hinzufügen möchten.

3. Wählen Sie Eigenschaften aus.

4. Wählen Sie in der Liste Mitgliedschaftstyp je nach hinzuzufügendem Regeltyp Dynamischer Benutzer oder Dynamisches Gerät aus.

   

5. Wählen Sie Dynamische Abfrage hinzufügen aus.

6. Verwenden Sie den Regel-Generator, um die Regel für dynamische Mitgliedergruppen festzulegen. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

   

7. Wenn Sie fertig sind, wählen Sie Speichern, um die Regel für dynamische Mitgliedergruppen zu speichern.

8. Wählen Sie auf der Seite Eigenschaften die Option Speichern aus, um den Mitgliedschaftstyp und die Abfrage zu speichern.

   Die folgende Meldung wird angezeigt:

   Nach der Änderung des Verwaltungseinheitentyps kann sich die bestehende Mitgliedschaft basierend auf der von Ihnen bereitgestellten Regel für dynamische Mitgliedergruppen ändern.

9. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

Weitere Informationen zum Bearbeiten Ihrer Regel finden Sie im folgenden Abschnitt Bearbeiten von Regeln für dynamische Mitgliedergruppen.

PowerShell

1. Erstellen Sie eine dynamische Regel für Mitgliedergruppen. Weitere Informationen finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

2. Verwenden Sie den Befehl Connect-MgGraph, um eine Verbindung zwischen Microsoft Entra ID und einem Benutzer herzustellen, dem die Rolle „Administrator für privilegierte Rollen“ zugewiesen wurden.

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnit, um eine neue Verwaltungseinheit mit einer Regel für dynamische Mitgliedergruppen zu erstellen, und verwenden Sie dabei die folgenden Parameter:

   • MembershipType: Dynamic oder Assigned
   • MembershipRule: Dynamische Mitgliedschaftsregel, die Sie in einem vorherigen Schritt erstellt haben
   • MembershipRuleProcessingState: On oder Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

Graph-API

1. Erstellen Sie eine Regel für dynamische Mitgliedergruppen. Weitere Informationen finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

2. Verwenden Sie die API Create administrativeUnit, um eine neue Verwaltungseinheit mit einer Regel für dynamische Mitgliedergruppen zu erstellen.

   Im Folgenden wird ein Beispiel für eine Regel für dynamische Mitgliedergruppen gezeigt, die für Windows-Geräte gilt.

   Anforderung

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   Text

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

Bearbeiten von Regeln für dynamische Mitgliedergruppen

Wenn eine Verwaltungseinheit für dynamische Mitgliedergruppen konfiguriert wurde, sind die üblichen Befehle zum Hinzufügen oder Entfernen von Mitgliedern für die Verwaltungseinheit deaktiviert, da die Engine für dynamische Mitgliedergruppen das alleinige Recht zum Hinzufügen oder Entfernen von Mitgliedern behält. Um Änderungen an der Mitgliedschaft vorzunehmen, können Sie die Regeln für dynamische Mitgliedergruppen bearbeiten.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

3. Wählen Sie die Verwaltungseinheit aus, die die Regeln für dynamische Mitgliedergruppen enthält, die Sie bearbeiten möchten.

4. Wählen Sie Mitgliedschaftsregeln aus, um die Regeln für dynamische Mitgliedergruppen mithilfe des Regelgenerators zu bearbeiten.

   

   Sie können den Regel-Generator auch öffnen, indem Sie im linken Navigationsbereich Dynamische Mitgliedschaftsregeln auswählen.

5. Wählen Sie nach Abschluss Speichern, um die Regeländerungen für dynamische Mitgliedergruppen zu speichern.

PowerShell

Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph-API

Verwenden Sie die API Update administrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.

Anforderung

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Text

{
  "membershipRule": "(user.country -eq "Germany")"
}

Ändern einer Verwaltungseinheit von „dynamisch“ in „zugewiesen“

Führen Sie die folgenden Schritte aus, um eine Verwaltungseinheit mit Regeln für dynamische Mitgliedergruppen in eine Verwaltungseinheit zu ändern, in der Mitglieder manuell zugewiesen werden.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

3. Wählen Sie die Verwaltungseinheit aus, die Sie zu „zugewiesen“ ändern möchten.

4. Wählen Sie Eigenschaften aus.

5. Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.

   

6. Wählen Sie zum Speichern des Mitgliedschaftstyps Speichern aus.

   Die folgende Meldung wird angezeigt:

   Nach dem Ändern des Typs der Verwaltungseinheit wird die dynamische Regel nicht mehr verarbeitet. Aktuelle Mitglieder der Verwaltungseinheit verbleiben in der Verwaltungseinheit, und die Verwaltungseinheit verfügt über eine zugewiesene Mitgliedschaft.

7. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

   Wenn die Einstellung für den Mitgliedschaftstyp von „dynamisch“ in „zugewiesen“ geändert wird, bleiben die aktuellen Mitglieder in der Verwaltungseinheit erhalten. Darüber hinaus ist die Option zum Hinzufügen von Gruppen zur Verwaltungseinheit aktiviert.

PowerShell

Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph-API

Verwenden Sie die API Update administrativeUnit, um die Einstellung für den Mitgliedschaftstyp zu ändern.

Anforderung

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Text

{
  "membershipType": "Assigned"
}

Nächste Schritte

• Zuweisen von Microsoft Entra-Rollen mit Verwaltungseinheitsbereich
• Hinzufügen von Benutzern oder Gruppen zu einer Verwaltungseinheit
• Microsoft Entra-Verwaltungseinheiten: Problembehandlung und häufig gestellte Fragen