Udostępnij za pośrednictwem


Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł dla dynamicznych grup członkostwa

Możesz ręcznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych. Dzięki dynamicznym grupom członkostwa można dynamicznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych przy użyciu reguł. W tym artykule opisano sposób tworzenia jednostek administracyjnych z regułami dla dynamicznych grup członkostwa przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.

Uwaga

Dynamiczne reguły członkostwa dla jednostek administracyjnych można utworzyć przy użyciu tych samych atrybutów dostępnych dla dynamicznych grup członkostwa. Aby uzyskać więcej informacji na temat dostępnych atrybutów i przykładów dotyczących sposobu ich używania, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.

Chociaż jednostki administracyjne z przypisanymi członkami ręcznie obsługują wiele typów obiektów, takich jak użytkownik, grupa i urządzenia, obecnie nie można utworzyć jednostki administracyjnej z regułami dla dynamicznych grup członkostwa, które zawierają więcej niż jeden typ obiektu. Można na przykład utworzyć jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla użytkowników lub urządzeń, ale nie obu tych grup. Jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla grup nie są obecnie obsługiwane.

Wymagania wstępne

  • Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
  • Licencja microsoft Entra ID P1 lub P2 dla każdego członka jednostki administracyjnej
  • Administrator ról uprzywilejowanych
  • moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
  • Globalna chmura platformy Azure (niedostępna w wyspecjalizowanych chmurach, takich jak Azure Government lub Microsoft Azure obsługiwana przez firmę 21Vianet)

Uwaga

Reguły członkostwa dynamicznego dla jednostek administracyjnych wymagają licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej jednostki administracyjnej. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych jednostek administracyjnych, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych jednostkach administracyjnych w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń będących członkami jednostki administracyjnej dla dynamicznej grupy członkostwa dla urządzeń.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Dodawanie reguł dla dynamicznych grup członkostwa

Wykonaj następujące kroki, aby utworzyć jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla użytkowników lub urządzeń.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Wybierz jednostkę administracyjną, do której chcesz dodać użytkowników lub urządzenia.

  3. Wybierz Właściwości.

  4. Na liście Typ członkostwa wybierz pozycję Użytkownik dynamiczny lub Urządzenie dynamiczne w zależności od typu reguły, którą chcesz dodać.

    Zrzut ekranu przedstawiający stronę właściwości jednostki administracyjnej z listą typów członkostwa.

  5. Wybierz pozycję Dodaj zapytanie dynamiczne.

  6. Użyj konstruktora reguł, aby określić regułę dla dynamicznych grup członkostwa. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.

    Zrzut ekranu przedstawiający stronę z regułami członkostwa dynamicznego z kreatorem reguł z wykorzystaniem właściwości, operatora i wartości.

  7. Po zakończeniu wybierz pozycję Zapisz , aby zapisać regułę dla dynamicznych grup członkostwa.

  8. Na stronie Właściwości wybierz pozycję Zapisz, aby zapisać typ członkostwa i zapytanie.

    Zostanie wyświetlony następujący komunikat:

    Po zmianie typu jednostki administracyjnej istniejące członkostwo może ulec zmianie na podstawie reguły dla dynamicznych grup członkostwa, które podajesz.

  9. Wybierz przycisk Tak, aby kontynuować.

Aby uzyskać instrukcje dotyczące edytowania reguły, zobacz następującą sekcję Edytowanie reguł dla dynamicznych grup członkostwa.

Edytowanie reguł dla dynamicznych grup członkostwa

Po skonfigurowaniu jednostki administracyjnej dla dynamicznych grup członkostwa zwykłe polecenia służące do dodawania lub usuwania członków jednostki administracyjnej są wyłączone, ponieważ aparat dynamicznych grup członkostwa zachowuje wyłączną własność dodawania lub usuwania członków. Aby wprowadzić zmiany w członkostwie, możesz edytować reguły dla dynamicznych grup członkostwa.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>> administracyjne.

  3. Wybierz jednostkę administracyjną zawierającą reguły dla dynamicznych grup członkostwa, które chcesz edytować.

  4. Wybierz pozycję Reguły członkostwa, aby edytować reguły dla dynamicznych grup członkostwa przy użyciu konstruktora reguł.

    Zrzut ekranu jednostki administracyjnej z regułami członkostwa i opcjami reguł członkostwa dynamicznego w celu otwarcia konstruktora reguł.

    Możesz również otworzyć konstruktora reguł, wybierając pozycję Dynamiczne reguły członkostwa w obszarze nawigacji po lewej stronie.

  5. Po zakończeniu wybierz pozycję Zapisz , aby zapisać zmiany reguły dynamicznej grupy członkostwa.

Zmiana dynamicznej jednostki administracyjnej na przypisaną

Wykonaj następujące kroki, aby zmienić jednostkę administracyjną z regułami dla dynamicznych grup członkostwa w jednostce administracyjnej, w której członkowie są przypisywani ręcznie.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>> administracyjne.

  3. Wybierz jednostkę administracyjną, którą chcesz zmienić na przypisaną.

  4. Wybierz Właściwości.

  5. Na liście Typ członkostwa wybierz pozycję Przypisane.

    Zrzut ekranu strony Właściwości jednostki administracyjnej z wyświetloną listą typów członkostwa i z zaznaczoną opcją

  6. Wybierz pozycję Zapisz , aby zapisać typ członkostwa.

    Zostanie wyświetlony następujący komunikat:

    Po zmianie typu jednostki administracyjnej reguła dynamiczna nie będzie już przetwarzana. Członkowie bieżącej jednostki administracyjnej pozostaną w jednostce administracyjnej, a jednostka administracyjna będzie miała przypisane członkostwo.

  7. Wybierz przycisk Tak, aby kontynuować.

    Gdy ustawienie typu członkostwa zostanie zmienione z dynamicznego na przypisane, bieżące elementy członkowskie pozostaną nienaruszone w jednostce administracyjnej. Ponadto włączono możliwość dodawania grup do jednostki administracyjnej.

Następne kroki