Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de grupos de associação dinâmica

Você pode adicionar ou remover manualmente usuários ou dispositivos de unidades administrativas. Com os grupos de associação dinâmica, você pode adicionar ou remover usuários ou dispositivos de unidades administrativas dinamicamente usando regras. Este artigo descreve como criar unidades administrativas com regras de grupos de associação dinâmica usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.

Observação

As regras de associação dinâmica das unidades administrativas podem ser criadas usando os mesmos atributos disponíveis para grupos de associação dinâmica. Para mais informações sobre os atributos específicos disponíveis e exemplos sobre como usá-los, confira Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID.

Embora unidades administrativas com membros atribuídos dão suporte manualmente a vários tipos de objeto, como usuário, grupo e dispositivos, atualmente não é possível criar uma unidade administrativa com regras para grupos de associação dinâmica que incluam mais de um tipo de objeto. Por exemplo, você pode criar unidades administrativas com regras de grupos de associação dinâmica para usuários ou dispositivos, mas não ambos. Atualmente, não há suporte para unidades administrativas com regras de grupos de associação dinâmica.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
• Licença P1 ou P2 do Microsoft Entra ID para cada membro de unidade administrativa
• Administrador de função com privilégios
• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
• Nuvem global do Azure (não disponível em nuvens especializadas, como o Azure Governamental ou o Microsoft Azure operado pela 21Vianet)

Observação

As regras de associação dinâmica para unidades administrativas exigem uma licença do Microsoft Entra ID P1 para cada usuário exclusivo que seja membro de uma ou mais unidades administrativas dinâmicas. Você não precisa atribuir licenças aos usuários para que eles sejam membros de unidades administrativas dinâmicas, mas é necessário ter o número mínimo de licenças na organização do Microsoft Entra que abranja todos esses usuários. Por exemplo, se você tiver mil usuários únicos em todas as unidades administrativas dinâmicas na organização no total, serão necessárias pelo menos mil licenças Microsoft Entra ID P1 para atender ao requisito de licença. Nenhuma licença é necessária para dispositivos que são membros de uma unidade administrativa de um grupo de associação dinâmica para dispositivos.

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Adicionar regras de grupos de associação dinâmica

Siga estas etapas para criar unidades administrativas com regras de grupos de associação dinâmica para usuários ou dispositivos.

Centro de administração

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Selecione a unidade administrativa à qual você deseja adicionar usuários ou dispositivos.

3. Selecione Propriedades.

4. Na lista Tipo de associação, selecione Usuário Dinâmico ou Dispositivo Dinâmico, dependendo do tipo de regra que você deseja adicionar.

   

5. Selecione Adicionar consulta dinâmica.

6. Use o construtor de regras para especificar a regra de grupos de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.

   

7. Quando terminar, clique em Salvar para salvar a regra de grupos de associação dinâmica.

8. Na página Propriedades, selecione Salvar para salvar o tipo de associação e a consulta.

   A seguinte mensagem é exibida:

   Depois de alterar o tipo de unidade administrativa, a associação existente pode mudar com base na regra de grupos de associação dinâmica fornecida.

9. Clique em Sim para continuar.

Para ver as etapas sobre como editar sua regra, confira a seção Editar regras de grupos de associação dinâmica a seguir.

PowerShell

1. Crie uma regra de grupos de associação dinâmica. Para mais informações, consulte Gerenciar regras de grupos de associação dinâmica no Microsoft Entra ID.

2. Use o comando Connect-MgGraph para se conectar ao Microsoft Entra ID com um usuário que possui a função de Administrador de Funções com Privilégios.

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa com uma regra de grupos de associação dinâmica usando os seguintes parâmetros:

   • MembershipType: Dynamic ou Assigned
   • MembershipRule: regra de associação dinâmica criada em uma etapa anterior
   • MembershipRuleProcessingState: On ou Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

API do Graph

1. Crie uma regra de grupos de associação dinâmica. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.

2. Use a API Criar administrativeUnit para criar uma unidade administrativa com uma regra de grupos de associação dinâmica.

   Veja a seguir um exemplo de uma regra de grupos de associação dinâmica que se aplica a dispositivos Windows.

   Solicitar

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   Corpo

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

Editar regras de grupos de associação dinâmica

Quando uma unidade administrativa é configurada para grupos de associação dinâmica, os comandos usuais para adicionar ou remover membros da unidade administrativa são desabilitados, pois o mecanismo de grupos de associação dinâmica retém a propriedade exclusiva da adição ou remoção de membros. Para fazer alterações na associação, você pode editar as regras de grupos de associação dinâmica.

Centro de Administração

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

3. Selecione a unidade administrativa que tem as regras de grupos de associação dinâmica que você quer editar.

4. Selecione Regras de associação para editar as regras de grupos de associação dinâmica usando o construtor de regras.

   

   Você também pode abrir o construtor de regras selecionando Regras de associação dinâmicas no painel de navegação esquerdo.

5. Quando terminar, clique em Salvar para salvar as alterações na regra de grupos de associação dinâmica.

PowerShell

Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de grupos de associação dinâmica.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API do Graph

Use a API Atualizar administrativeUnit para editar a regra de grupos de associação dinâmica.

Solicitar

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Corpo

{
  "membershipRule": "(user.country -eq "Germany")"
}

Alterar uma unidade administrativa dinâmica a ser atribuída

Siga estas etapas para alterar uma unidade administrativa com as regras de grupos de associação dinâmica para uma unidade administrativa em que os membros são atribuídos manualmente.

Centro de Administração

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Unidades administrativas.

3. Selecione a unidade administrativa para a qual você deseja alterar para atribuída.

4. Selecione Propriedades.

5. Na lista Tipo de associação, selecione Atribuído.

   

6. Selecione Salvar para salvar o tipo de associação.

   A seguinte mensagem é exibida:

   Depois de alterar o tipo de unidade administrativa, a regra dinâmica não será mais processada. Os membros atuais da unidade administrativa permanecerão nela e ela terá a associação atribuída.

7. Clique em Sim para continuar.

   Quando a configuração de tipo de associação é alterada de dinâmica para atribuída, os membros atuais permanecem intactos na unidade administrativa. Além disso, a capacidade de adicionar grupos à unidade administrativa está habilitada.

PowerShell

Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de grupos de associação dinâmica.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API do Graph

Use a API Atualizar administrativeUnit para alterar a configuração de tipo de associação.

Solicitar

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Corpo

{
  "membershipType": "Assigned"
}

Próximas etapas

• Atribuir funções do Microsoft Entra com o escopo da unidade administrativa
• Adicionar usuários ou grupos a uma unidade administrativa
• Unidades administrativas do Microsoft Entra: solução de problemas e perguntas frequentes