Freigeben über


Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)

Sie können Benutzer oder Geräte für Verwaltungseinheiten manuell hinzufügen oder entfernen. Mit dynamischen Mitgliedergruppen können Sie Benutzende oder Geräte für Verwaltungseinheiten dynamisch mithilfe von Regeln hinzufügen oder entfernen. In diesem Artikel wird beschrieben, wie Sie mithilfe des Microsoft Entra Admin Centers, PowerShell oder der Microsoft Graph API Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen erstellen.

Hinweis

Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten können mit denselben Attributen erstellt werden, die für dynamische Mitgliedergruppen verfügbar sind. Weitere Informationen zu den verfügbaren spezifischen Attributen und Beispiele für deren Verwendung finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

Obwohl administrative Einheiten mit zugewiesenen Mitgliedern mehrere Objekttypen wie Benutzer, Gruppe und Geräte manuell unterstützen, ist es derzeit nicht möglich, eine Administrative Einheit mit Regeln für dynamische Mitgliedschaftsgruppen zu erstellen, die mehr als einen Objekttyp enthalten. Sie können beispielsweise Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte erstellen, aber nicht für beides. Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Gruppen werden derzeit nicht unterstützt.

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Microsoft Entra ID P1- oder P2-Lizenz für jedes Mitglied der Verwaltungseinheit
  • Administrator für privilegierte Rollen
  • Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
  • Globale Azure Cloud (nicht in spezialisierten Clouds wie Azure Government oder Microsoft Azure betrieben von 21Vianet)

Hinweis

Dynamische Mitgliedschaftsregeln für administrative Einheiten erfordern eine Microsoft Entra ID P1-Lizenz für jeden eindeutigen Benutzer, der Mitglied einer oder mehrerer dynamischer administrativer Einheiten ist. Sie müssen Benutzer*innen keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Verwaltungseinheiten werden, aber Sie müssen die Mindestanzahl von Lizenzen in der Microsoft Entra-Organisation haben, um alle diese Benutzer*innen abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer*innen in allen dynamischen Verwaltungseinheiten Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra ID P1, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglieder einer Verwaltungseinheit für eine dynamische Mitgliedergruppe für Geräte sind, ist keine Lizenz erforderlich.

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Hinzufügen von Regeln für dynamische Mitgliedergruppen

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte zu erstellen.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer oder Geräte hinzufügen möchten.

  3. Wählen Sie Eigenschaften aus.

  4. Wählen Sie in der Liste Mitgliedschaftstyp je nach hinzuzufügendem Regeltyp Dynamischer Benutzer oder Dynamisches Gerät aus.

    Screenshot: Seite „Eigenschaften“ der Verwaltungseinheit mit Anzeige der Liste „Mitgliedschaftstyp“

  5. Wählen Sie Dynamische Abfrage hinzufügen aus.

  6. Verwenden Sie den Regel-Generator, um die Regel für dynamische Mitgliedergruppen festzulegen. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

    Screenshot: Seite „Dynamische Mitgliedschaftsregeln“ mit dem Regel-Generator mit Eigenschaft, Operator und Wert

  7. Wenn Sie fertig sind, wählen Sie Speichern, um die Regel für dynamische Mitgliedergruppen zu speichern.

  8. Wählen Sie auf der Seite Eigenschaften die Option Speichern aus, um den Mitgliedschaftstyp und die Abfrage zu speichern.

    Die folgende Meldung wird angezeigt:

    Nach der Änderung des Verwaltungseinheitentyps kann sich die bestehende Mitgliedschaft basierend auf der von Ihnen bereitgestellten Regel für dynamische Mitgliedergruppen ändern.

  9. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

Weitere Informationen zum Bearbeiten Ihrer Regel finden Sie im folgenden Abschnitt Bearbeiten von Regeln für dynamische Mitgliedergruppen.

Bearbeiten von Regeln für dynamische Mitgliedergruppen

Wenn eine Verwaltungseinheit für dynamische Mitgliedergruppen konfiguriert wurde, sind die üblichen Befehle zum Hinzufügen oder Entfernen von Mitgliedern für die Verwaltungseinheit deaktiviert, da die Engine für dynamische Mitgliedergruppen das alleinige Recht zum Hinzufügen oder Entfernen von Mitgliedern behält. Um Änderungen an der Mitgliedschaft vorzunehmen, können Sie die Regeln für dynamische Mitgliedergruppen bearbeiten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, die die Regeln für dynamische Mitgliedergruppen enthält, die Sie bearbeiten möchten.

  4. Wählen Sie Mitgliedschaftsregeln aus, um die Regeln für dynamische Mitgliedergruppen mithilfe des Regelgenerators zu bearbeiten.

    Screenshot: Verwaltungseinheit mit den Optionen „Mitgliedschaftsregeln“ und „Dynamische Mitgliedschaftsregeln“ zum Öffnen des Regel-Generators

    Sie können den Regel-Generator auch öffnen, indem Sie im linken Navigationsbereich Dynamische Mitgliedschaftsregeln auswählen.

  5. Wählen Sie nach Abschluss Speichern, um die Regeländerungen für dynamische Mitgliedergruppen zu speichern.

Ändern einer Verwaltungseinheit von „dynamisch“ in „zugewiesen“

Führen Sie die folgenden Schritte aus, um eine Verwaltungseinheit mit Regeln für dynamische Mitgliedergruppen in eine Verwaltungseinheit zu ändern, in der Mitglieder manuell zugewiesen werden.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, die Sie zu „zugewiesen“ ändern möchten.

  4. Wählen Sie Eigenschaften aus.

  5. Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.

    Screenshot: Seite „Eigenschaften“ der Verwaltungseinheit mit Anzeige der Liste „Mitgliedschaftstyp“ und Auswahl von „Zugewiesen“

  6. Wählen Sie zum Speichern des Mitgliedschaftstyps Speichern aus.

    Die folgende Meldung wird angezeigt:

    Nach dem Ändern des Typs der Verwaltungseinheit wird die dynamische Regel nicht mehr verarbeitet. Aktuelle Mitglieder der Verwaltungseinheit verbleiben in der Verwaltungseinheit, und die Verwaltungseinheit verfügt über eine zugewiesene Mitgliedschaft.

  7. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

    Wenn die Einstellung für den Mitgliedschaftstyp von „dynamisch“ in „zugewiesen“ geändert wird, bleiben die aktuellen Mitglieder in der Verwaltungseinheit erhalten. Darüber hinaus ist die Option zum Hinzufügen von Gruppen zur Verwaltungseinheit aktiviert.

Nächste Schritte