使用組動態成員資格群組規則管理管理單位的使用者或裝置

您可以手動新增或移除管理單位的使用者或裝置。 使用動態成員資格群組，您可以使用規則動態新增或移除系統管理單位的用戶或裝置。 本文說明如何使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph API，建立具有組動態成員資格群組規則的管理單位。

注意

您可以使用組動態成員資格群組可用的相同屬性，來建立管理單位的組動態成員資格群組規則。 有關可用特定屬性，以及如何使用這些屬性範例的詳細資訊，請參閱 管理 Microsoft Entra ID 組動態成員資格群組規則。

雖然指派成員的系統管理單位可手動支援多個物件類型，例如使用者、群組和裝置，但目前無法建立具有包含多個物件類型的動態成員資格群組規則的系統管理單位。 例如，您可以為使用者或裝置建立具有組動態成員資格群組規則的管理單位，但不能為這兩者同時建立。 目前不支援群組具有組動態成員資格群組規則的管理單位。

必要條件

• 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
• 每個管理單位的成員需具備 Microsoft Entra ID P1 或 P2 授權
• 特殊權限角色管理員
• 使用 PowerShell 時，Microsoft Graph PowerShell 模組
• 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
• 全域 Azure 雲端 (不適用於特殊化雲端，例如 Azure Government 或由世紀互聯營運的 Microsoft Azure)

注意

系統管理單位的動態成員資格規則要求每位作為一個或多個動態系統管理單位成員的唯一使用者需擁有 Microsoft Entra ID P1 授權。 您不需要為了讓使用者成為動態系統管理單位的成員，而指派授權給使用者，但在 Microsoft Entra 組織中，授權數至少必須足以涵蓋所有這類使用者。 例如，如果組織中的所有動態系統管理單位總計有 1,000 個唯一使用者，則至少需要 1,000 個 Microsoft Entra ID P1 授權，才符合授權需求。 作為裝置組動態成員資格群組管理單位的裝置不需要任何授權。

如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。

為組動態成員資格群組新增規則

請遵循下列步驟，為使用者或裝置建立具有組動態成員資格群組規則的管理單位。

系統管理中心

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 選取您要新增使用者或裝置的管理單位。

3. 選取屬性。

4. 在 [成員資格類型] 清單中，根據您想要新增的規則類型，選取 [動態使用者] 或 [動態裝置]。

   

5. 選取 [新增動態查詢]。

6. 使用規則建立器來指定組動態成員資格群組規則。 如需詳細資訊，請參閱 Azure 入口網站中的規則產生器。

   

7. 完成後，選取 儲存 以儲存組動態成員資格群組規則。

8. 在 [屬性] 頁面上，選取 [儲存] 以儲存成員資格類型和查詢。

   畫面顯示下列訊息：

   變更管理單位類型之後，現有的成員資格可能會依據您提供的組動態成員資格群組規則而有所變更。

9. 選取是 以繼續。

有關如何編輯規則的步驟，請參閱下列 編輯組動態成員資格群組規則 一節。

PowerShell

1. 建立組動態成員資格群組規則。 有關詳細資訊，請參閱 Microsoft Entra ID 中組動態成員資格群組規則。

2. 使用 Connect-MgGraph 命令，以已獲指派特殊權限角色管理員角色的使用者，與 Microsoft Entra ID 連線。

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. 使用 New-MgDirectoryAdministrativeUnit 命令，使用下列參數建立具有組動態成員資格群組規則的新管理單位：

   • MembershipType： Dynamic 或 Assigned
   • MembershipRule：您在上一個步驟中建立的動態成員資格規則
   • MembershipRuleProcessingState： On 或 Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

Graph API

1. 建立組動態成員資格群組規則。 如需詳細資訊，請參閱 Microsoft Entra ID 中群組的動態成員資格規則。

2. 使用 建立 administrativeUnit API 來建立具有組動態成員資格群組規則的新管理單位。

   以下顯示適用於 Windows 裝置的組動態成員資格群組規則範例。

   Request

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   本文

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

為組動態成員資格群組編輯規則

當管理單位為組動態成員資格群組設定時，管理單位新增或移除成員的一般命令會停用，因為組動態成員資格群組引擎會保留新增或移除成員的唯一所有權。 若要變更成員資格，您可以編輯組動態成員資格群組規則。

系統管理中心

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。

3. 選取具有您想編輯的組動態成員資格群組規則的管理單位。

4. 選取 成員資格規則 以使用規則建立器編輯組動態成員資格群組規則。

   

   您也可以在左側導覽中選取 [動態成員資格規則] 來開啟規則產生器。

5. 完成後，選取 儲存 以儲存組動態成員資格群組規則變更。

PowerShell

使用 Update-MgDirectoryAdministrativeUnit 命令來編輯組動態成員資格群組規則。

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

使用 更新 administrativeUnit API 來編輯組動態成員資格群組規則。

Request

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文

{
  "membershipRule": "(user.country -eq "Germany")"
}

將動態管理單位變更為已指派

請遵循下列步驟，將具有組動態成員資格群組規則的管理單位變更為手動指派成員的管理單位。

系統管理中心

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。

3. 選取您要變更指派的管理單位。

4. 選取屬性。

5. 在 [成員資格類型] 清單中，選取 [已指派]。

   

6. 選取 [儲存] 以儲存成員資格類型。

   畫面顯示下列訊息：

   變更管理單位類型之後，將不會再處理動態規則。 目前的管理單位成員會保留在管理單位中，而且管理單位將獲派成員資格。

7. 選取是 以繼續。

   當成員資格類型設定從動態變更為已指派時，目前成員在管理單位中會保持不變。 此外，會啟用將群組新增至管理單位的功能。

PowerShell

使用 Update-MgDirectoryAdministrativeUnit 命令來編輯組動態成員資格群組規則。

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

使用 Update administrativeUnit API 來變更成員資格類型設定。

Request

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文

{
  "membershipType": "Assigned"
}

下一步

• 為 Microsoft Entra 角色指派管理單位範圍
• 將使用者或群組新增至管理單位
• Microsoft Entra 管理單位：疑難排解和常見問題