Управление пользователями или устройствами для административной единицы с помощью правил для динамических групп членства
Вы можете добавлять или удалять пользователей или устройства для административных единиц вручную. С помощью динамических групп членства можно добавлять или удалять пользователей или устройств для административных единиц динамически с помощью правил. В этой статье описывается создание административных единиц с правилами для динамических групп членства с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.
Примечание.
Правила динамического членства для административных единиц можно создать с помощью одинаковых атрибутов, доступных для динамических групп членства. Дополнительные сведения о доступных атрибутах и примерах их использования см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra.
Хотя административные единицы с назначенными участниками вручную поддерживают несколько типов объектов, таких как пользователь, группа и устройства, в настоящее время невозможно создать административную единицу с правилами для динамических групп членства, которые включают несколько типов объектов. Например, можно создать административные единицы с правилами для динамических групп членства для пользователей или устройств, но не обоих. Административные единицы с правилами динамического членства для групп в настоящее время не поддерживаются.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Лицензия Microsoft Entra ID P1 или P2 для каждого члена административной единицы
- Администратор привилегированных ролей
- Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
- Глобальное облако Azure (недоступно в специализированных облаках, таких как Azure для государственных организаций или Microsoft Azure, управляемые 21Vianet)
Примечание.
Правила динамического членства для административных единиц требуют лицензии Microsoft Entra ID P1 для каждого уникального пользователя, являющегося членом одной или нескольких динамических административных единиц. Вам не нужно назначать лицензии пользователям, чтобы они были членами динамических административных единиц, но у вас должно быть минимальное количество лицензий в организации Microsoft Entra, чтобы охватывать всех таких пользователей. Например, если в организации было всего 1000 уникальных пользователей во всех динамических административных единицах, вам потребуется не менее 1000 лицензий для Microsoft Entra ID P1 для удовлетворения требования лицензии. Лицензия не требуется для устройств, являющихся членами административной единицы для динамической группы членства для устройств.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Добавление правил для динамических групп членства
Выполните следующие действия, чтобы создать административные единицы с правилами для динамических групп членства для пользователей или устройств.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Выберите административную единицу, к которой нужно добавить пользователей или устройства.
Выберите Свойства.
В списке Тип членства выберите Динамический пользователь или Динамическое устройство в зависимости от типа добавляемого правила.
Выберите Добавить динамический запрос.
Используйте построитель правил, чтобы указать правило для динамических групп членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.
По завершении нажмите кнопку "Сохранить ", чтобы сохранить правило для динамических групп членства.
На странице Свойства выберите Сохранить, чтобы сохранить тип членства и запрос.
Отобразится следующее сообщение:
Изменив тип административной единицы, существующее членство может измениться в зависимости от правила для предоставленных динамических групп членства.
Выберите Да для продолжения.
Инструкции по изменению правила см. в следующем разделе "Изменение правил" для динамических групп членства .
PowerShell
Создайте правило динамических групп членства. Дополнительные сведения см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra ID.
Используйте команду Connect-MgGraph, чтобы подключиться к идентификатору Microsoft Entra с пользователем, которому назначена роль администратора привилегированных ролей.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Используйте команду New-MgDirectoryAdministrativeUnit, чтобы создать новую административную единицу с правилом для динамических групп членства с помощью следующих параметров:
MembershipType:DynamicилиAssigned.MembershipRule: правило динамического членства, созданное на предыдущем шаге.MembershipRuleProcessingState:OnилиPaused.
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Создайте правило для динамических групп членства. Дополнительные сведения см. в разделе "Правила динамического членства" для групп в идентификаторе Microsoft Entra.
Используйте API Create administrativeUnit, чтобы создать новую административную единицу с правилом для динамических групп членства.
Ниже показан пример правила для динамических групп членства, которые применяются к устройствам Windows.
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnitsТекст
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Изменение правил для динамических групп членства
Если административная единица настроена для динамических групп членства, обычные команды для добавления или удаления участников административной единицы отключены, так как подсистема динамических групп членства сохраняет единственное владение добавлением или удалением участников. Чтобы внести изменения в членство, можно изменить правила для динамических групп членства.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу с правилами для динамических групп членства, которые нужно изменить.
Выберите правила членства, чтобы изменить правила для динамических групп членства с помощью построителя правил.
Вы также можете открыть конструктор правил, выбрав Динамические правила членства в области навигации слева.
По завершении нажмите кнопку "Сохранить ", чтобы сохранить изменения правил динамических групп членства.
PowerShell
Используйте команду Update-MgDirectoryAdministrativeUnit, чтобы изменить правило динамических групп членства.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Используйте API Update administrativeUnit, чтобы изменить правило для динамических групп членства.
Запрос
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Текст
{
"membershipRule": "(user.country -eq "Germany")"
}
Изменить динамическую административную единицу на назначенную
Выполните следующие действия, чтобы изменить административную единицу с правилами для динамических групп членства в административной единице, где члены назначаются вручную.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу, которую необходимо изменить на назначенную.
Выберите Свойства.
В списке Тип членства выберите Назначено.
Выберите Сохранить, чтобы сохранить тип членства.
Отобразится следующее сообщение:
После изменения типа административной единицы динамическое правило больше не будет обрабатываться. Текущие члены административной единицы останутся в административной единице, а самой административной единице будет назначено членство.
Выберите Да для продолжения.
Когда параметр типа членства меняется с динамического на назначенный, текущие члены в административной единице остаются незатронутыми. Дополнительно включена возможность добавления групп в административную единицу.
PowerShell
Используйте команду Update-MgDirectoryAdministrativeUnit, чтобы изменить правило для динамических групп членства.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Используйте API Update administratorUnit, чтобы изменить параметр типа членства.
Запрос
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Текст
{
"membershipType": "Assigned"
}