Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł dla dynamicznych grup członkostwa
Możesz ręcznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych. Dzięki dynamicznym grupom członkostwa można dynamicznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych przy użyciu reguł. W tym artykule opisano sposób tworzenia jednostek administracyjnych z regułami dla dynamicznych grup członkostwa przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.
Uwaga
Dynamiczne reguły członkostwa dla jednostek administracyjnych można utworzyć przy użyciu tych samych atrybutów dostępnych dla dynamicznych grup członkostwa. Aby uzyskać więcej informacji na temat dostępnych atrybutów i przykładów dotyczących sposobu ich używania, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.
Chociaż jednostki administracyjne z przypisanymi członkami ręcznie obsługują wiele typów obiektów, takich jak użytkownik, grupa i urządzenia, obecnie nie można utworzyć jednostki administracyjnej z regułami dla dynamicznych grup członkostwa, które zawierają więcej niż jeden typ obiektu. Można na przykład utworzyć jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla użytkowników lub urządzeń, ale nie obu tych grup. Jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla grup nie są obecnie obsługiwane.
Wymagania wstępne
- Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
- Licencja microsoft Entra ID P1 lub P2 dla każdego członka jednostki administracyjnej
- Administrator ról uprzywilejowanych
- Zestaw Microsoft Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
- Globalna chmura platformy Azure (niedostępna w wyspecjalizowanych chmurach, takich jak Azure Government lub Microsoft Azure obsługiwana przez firmę 21Vianet)
Uwaga
Reguły członkostwa dynamicznego dla jednostek administracyjnych wymagają licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej jednostki administracyjnej. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych jednostek administracyjnych, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych jednostkach administracyjnych w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń będących członkami jednostki administracyjnej dla dynamicznej grupy członkostwa dla urządzeń.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Dodawanie reguł dla dynamicznych grup członkostwa
Wykonaj następujące kroki, aby utworzyć jednostki administracyjne z regułami dla dynamicznych grup członkostwa dla użytkowników lub urządzeń.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Wybierz jednostkę administracyjną, do której chcesz dodać użytkowników lub urządzenia.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Użytkownik dynamiczny lub Urządzenie dynamiczne w zależności od typu reguły, którą chcesz dodać.
Wybierz pozycję Dodaj zapytanie dynamiczne.
Użyj konstruktora reguł, aby określić regułę dla dynamicznych grup członkostwa. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.
Po zakończeniu wybierz pozycję Zapisz , aby zapisać regułę dla dynamicznych grup członkostwa.
Na stronie Właściwości wybierz pozycję Zapisz, aby zapisać typ członkostwa i zapytanie.
Zostanie wyświetlony następujący komunikat:
Po zmianie typu jednostki administracyjnej istniejące członkostwo może ulec zmianie na podstawie reguły dla dynamicznych grup członkostwa, które podajesz.
Wybierz przycisk Tak, aby kontynuować.
Aby uzyskać instrukcje dotyczące edytowania reguły, zobacz następującą sekcję Edytowanie reguł dla dynamicznych grup członkostwa.
PowerShell
Utwórz regułę dynamicznych grup członkostwa. Aby uzyskać więcej informacji, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.
Użyj polecenia Connect-MgGraph, aby nawiązać połączenie z identyfikatorem Entra firmy Microsoft z użytkownikiem, któremu przypisano rolę Administrator ról uprzywilejowanych.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Użyj polecenia New-MgDirectoryAdministrativeUnit, aby utworzyć nową jednostkę administracyjną z regułą dla dynamicznych grup członkostwa przy użyciu następujących parametrów:
MembershipType:DynamiclubAssignedMembershipRule: Reguła członkostwa dynamicznego utworzona w poprzednim krokuMembershipRuleProcessingState:OnlubPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Interfejsu API programu Microsoft Graph
Utwórz regułę dla dynamicznych grup członkostwa. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.
Użyj interfejsu API Create administrativeUnit (Tworzenie interfejsu API administracyjnego), aby utworzyć nową jednostkę administracyjną z regułą dla dynamicznych grup członkostwa.
Poniżej przedstawiono przykład reguły dla dynamicznych grup członkostwa, które mają zastosowanie do urządzeń z systemem Windows.
Wniosek
POST https://graph.microsoft.com/v1.0/directory/administrativeUnitsTreść
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Edytowanie reguł dla dynamicznych grup członkostwa
Po skonfigurowaniu jednostki administracyjnej dla dynamicznych grup członkostwa zwykłe polecenia służące do dodawania lub usuwania członków jednostki administracyjnej są wyłączone, ponieważ aparat dynamicznych grup członkostwa zachowuje wyłączną własność dodawania lub usuwania członków. Aby wprowadzić zmiany w członkostwie, możesz edytować reguły dla dynamicznych grup członkostwa.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy>jednostki administracyjne.
Wybierz jednostkę administracyjną zawierającą reguły dla dynamicznych grup członkostwa, które chcesz edytować.
Wybierz pozycję Reguły członkostwa, aby edytować reguły dla dynamicznych grup członkostwa przy użyciu konstruktora reguł.
Możesz również otworzyć konstruktora reguł, wybierając pozycję Dynamiczne reguły członkostwa w obszarze nawigacji po lewej stronie.
Po zakończeniu wybierz pozycję Zapisz , aby zapisać zmiany reguły dynamicznej grupy członkostwa.
PowerShell
Użyj polecenia Update-MgDirectoryAdministrativeUnit, aby edytować regułę dynamicznych grup członkostwa.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Interfejsu API programu Microsoft Graph
Użyj interfejsu API Update administrativeUnit , aby edytować regułę dla dynamicznych grup członkostwa.
Wniosek
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Treść
{
"membershipRule": "(user.country -eq "Germany")"
}
Zmiana dynamicznej jednostki administracyjnej na przypisaną
Wykonaj następujące kroki, aby zmienić jednostkę administracyjną z regułami dla dynamicznych grup członkostwa w jednostce administracyjnej, w której członkowie są przypisywani ręcznie.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy>jednostki administracyjne.
Wybierz jednostkę administracyjną, którą chcesz zmienić na przypisaną.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Przypisane.
Wybierz pozycję Zapisz , aby zapisać typ członkostwa.
Zostanie wyświetlony następujący komunikat:
Po zmianie typu jednostki administracyjnej reguła dynamiczna nie będzie już przetwarzana. Członkowie bieżącej jednostki administracyjnej pozostaną w jednostce administracyjnej, a jednostka administracyjna będzie miała przypisane członkostwo.
Wybierz przycisk Tak, aby kontynuować.
Gdy ustawienie typu członkostwa zostanie zmienione z dynamicznego na przypisane, bieżące elementy członkowskie pozostaną nienaruszone w jednostce administracyjnej. Ponadto włączono możliwość dodawania grup do jednostki administracyjnej.
PowerShell
Użyj polecenia Update-MgDirectoryAdministrativeUnit, aby edytować regułę dla dynamicznych grup członkostwa.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Interfejsu API programu Microsoft Graph
Zmień ustawienie typu członkostwa za pomocą interfejsu API Update administrativeUnit .
Wniosek
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Treść
{
"membershipType": "Assigned"
}