다음을 통해 공유


동적 멤버 자격 그룹에 대한 규칙을 사용하여 관리 단위의 사용자 또는 장치 관리

관리 단위에 대한 사용자 또는 디바이스를 수동으로 추가하거나 제거할 수 있습니다. 동적 멤버 자격 그룹을 사용하면 규칙을 사용하여 관리 단위에 대한 사용자 또는 디바이스를 동적으로 추가하거나 제거할 수 있습니다. 이 문서에서는 Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph API를 사용하여 동적 멤버 자격 그룹에 대한 규칙이 있는 관리 단위를 만드는 방법에 대해 설명합니다.

참고 항목

관리 단위의 동적 멤버 자격 규칙은 동적 멤버 자격 그룹에 사용할 수 있는 것과 동일한 특성을 사용하여 만들 수 있습니다. 사용 가능한 특정 속성에 대한 자세한 내용과 사용 방법에 대한 예는 Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.

구성원이 수동으로 할당된 관리 단위는 사용자, 그룹 및 디바이스와 같은 여러 개체 유형을 지원하지만 현재 둘 이상의 개체 형식을 포함하는 동적 멤버 자격 그룹에 대한 규칙이 있는 관리 단위를 만들 수는 없습니다. 예를 들어 사용자 또는 디바이스에 대한 동적 멤버 자격 그룹에 대한 규칙을 사용하여 관리 단위를 만들 수 있지만 둘 다 만들 수는 없습니다. 그룹에 대한 동적 멤버 자격 그룹에 대한 규칙이 있는 관리 단위는 현재 지원되지 않습니다.

필수 조건

  • 각 관리 장치 관리자를 위한 Microsoft Entra ID P1 또는 P2 라이선스
  • 각 관리 장치 멤버에 대한 Microsoft Entra ID P1 또는 P2 라이선스
  • 권한 있는 역할 관리자
  • PowerShell 사용 시 Microsoft Graph PowerShell SDK가 설치됨
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의.
  • 글로벌 Azure 클라우드(Azure Government 또는 21Vianet에서 운영하는 Microsoft Azure와 같은 특수 클라우드에서는 사용할 수 없음)

참고 항목

관리 장치에 대한 동적 멤버 관리 규칙에는 하나 이상의 동적 관리 장치의 멤버 자격인 각 고유 사용자에 대해 Microsoft Entra ID P1 라이선스가 필요합니다. 동적 관리 단위의 멤버가 되기 위해 사용자에게 라이선스를 할당할 필요는 없지만 이러한 모든 사용자를 포함하려면 Microsoft Entra 조직에 최소 라이선스 수가 있어야 합니다. 예를 들어, 조직의 모든 동적 관리 장치에 총 1,000명의 고유 사용자가 있는 경우 라이선스 요구 사항을 충족하려면 Microsoft Entra ID P1에 대해 최소 1,000개의 라이선스가 필요합니다. 디바이스의 동적 멤버 자격 그룹에 대한 관리 단위의 구성원인 디바이스에는 라이선스가 필요하지 않습니다.

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

동적 멤버 자격 그룹에 대한 규칙 추가

사용자 또는 디바이스에 대한 동적 멤버 자격 그룹에 대한 규칙이 포함된 관리 단위를 만들려면 다음 단계를 따르세요.

Microsoft Entra 관리 센터

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 사용자 또는 디바이스를 추가하려는 관리 장치를 선택합니다.

  3. 속성을 선택합니다.

  4. 멤버 자격 형식 목록에서 추가하려는 규칙 형식에 따라 동적 사용자 또는 동적 디바이스를 선택합니다.

    멤버 자격 형식 목록이 표시된 관리 장치 속성 페이지의 스크린샷.

  5. 동적 쿼리 추가를 선택합니다.

  6. 규칙 작성기를 사용하여 동적 멤버 자격 그룹에 대한 규칙을 지정할 수 있습니다. 자세한 내용은 Azure Portal의 규칙 작성기를 참조하세요.

    속성, 연산자 및 값이 포함된 규칙 빌드기를 보여 주는 동적 멤버십 관리 규칙 페이지의 스크린샷.

  7. 완료되면 저장를 선택하여 동적 멤버 자격 그룹에 대한 규칙을 저장합니다.

  8. 속성 페이지에서 저장을 선택하여 멤버 자격 형식과 쿼리를 저장합니다.

    다음 메시지가 표시됩니다.

    관리 단위 유형을 변경한 후에는 제공한 동적 멤버 자격 그룹에 대한 규칙에 따라 기존 멤버 자격이 변경될 수 있습니다.

  9. 계속하려면 를 선택합니다.

규칙을 편집하는 방법에 대한 단계는 다음 동적 멤버 자격 그룹에 대한 규칙 수정 섹션을 참조하세요.

PowerShell

  1. 동적 멤버 자격 그룹 규칙을 만듭니다. 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.

  2. Connect-MgGraph 명령을 사용하여 권한 있는 역할 관리자 역할이 할당된 사용자와 Microsoft Entra ID에 연결합니다.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. New-MgDirectoryAdministrativeUnit 명령을 사용하여 다음 매개 변수를 사용하는 동적 멤버 자격 그룹 규칙이 있는 새 관리 단위를 만듭니다.

    • MembershipType: Dynamic 또는 Assigned
    • MembershipRule: 이전 단계에서 만든 동적 멤버 관리 규칙
    • MembershipRuleProcessingState: On 또는 Paused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

Microsoft Graph API

  1. 동적 멤버 자격 그룹 규칙을 만듭니다. 자세한 내용은 Microsoft Entra ID의 그룹에 대한 동적 멤버 관리 규칙을 참조하세요.

  2. Create administrativeUnit API를 사용하여 동적 멤버 자격 그룹 규칙이 있는 새 관리 단위를 만듭니다.

    다음은 Windows 디바이스에 적용되는 동적 멤버 자격 그룹 규칙의 예를 보여 줍니다.

    Request

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
    

    본문

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

동적 멤버 자격 그룹 규칙 편집

관리 단위가 동적 멤버 자격 그룹에 대해 구성된 경우 동적 멤버 자격 그룹 엔진이 멤버 추가 또는 제거에 대한 단독 소유권을 보유하므로 관리 단위의 멤버를 추가하거나 제거하는 일반적인 명령은 사용하지 않도록 설정됩니다. 멤버 자격을 변경하려면 동적 멤버 자격 그룹 규칙을 편집할 수 있습니다.

Microsoft Entra 관리 센터

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>관리 단위로 이동합니다.

  3. 편집하려는 동적 멤버 자격 그룹 규칙이 있는 관리 단위를 선택합니다.

  4. 규칙 작성기를 사용하여 동적 멤버 자격 그룹 규칙을 편집하려면 멤버 자격 규칙을 선택합니다.

    규칙 빌드 도구를 열 수 있는 멤버 자격 관리 규칙 및 동적 멤버십 관리 규칙 옵션이 포함된 관리 장치의 스크린샷.

    왼쪽 탐색 메뉴에서 동적 멤버 관리 규칙을 선택하여 규칙 작성기를 열 수도 있습니다.

  5. 완료되면 저장을 선택하여 동적 멤버 자격 그룹 규칙의 변경 내용을 저장합니다.

PowerShell

Update-MgDirectoryAdministrativeUnit 명령을 사용하여 동적 멤버 자격 그룹 규칙을 편집합니다.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Update administrativeUnit API를 사용하여 동적 멤버 자격 그룹 규칙을 편집합니다.

Request

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

본문

{
  "membershipRule": "(user.country -eq "Germany")"
}

동적 관리 단위를 할당으로 변경

동적 멤버 자격 그룹 규칙이 있는 관리 단위를 멤버 자격이 수동으로 할당되는 관리 단위로 변경하려면 다음 단계를 따릅니다.

Microsoft Entra 관리 센터

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>관리 단위로 이동합니다.

  3. 할당됨으로 변경하려는 관리 장치를 선택합니다.

  4. 속성을 선택합니다.

  5. 멤버 자격 형식 목록에서 할당됨을 선택합니다.

    멤버 자격 형식 목록이 표시되고 할당됨이 선택된 관리 장치 속성 페이지의 스크린샷.

  6. 저장을 선택하여 멤버 자격 형식을 저장합니다.

    다음 메시지가 표시됩니다.

    관리 단위 형식을 변경한 후에는 동적 규칙이 더 이상 처리되지 않습니다. 현재 관리 단위 멤버 자격은 관리 단위에 남아 있고 관리 단위에는 멤버 자격이 할당됩니다.

  7. 계속하려면 를 선택합니다.

    멤버 자격 형식 설정이 동적에서 할당으로 변경되면 현재 멤버 자격은 관리 단위에 그대로 유지됩니다. 또한 관리 단위에 그룹을 추가하는 기능이 사용하도록 설정됩니다.

PowerShell

동적 멤버 자격 그룹에 대한 규칙을 편집하려면 Update-MgDirectoryAdministrativeUnit 명령을 사용합니다.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Update managementUnit API를 사용하여 멤버 자격 형식 설정을 변경합니다.

Request

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

본문

{
  "membershipType": "Assigned"
}

다음 단계