Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel dynamického členství (Preview)

  • Článek

Důležité

Dynamická pravidla členství pro jednotky pro správu jsou aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi Beta, Preview nebo které ještě nejsou vydány v obecné dostupnosti.

Uživatele nebo zařízení pro jednotky pro správu můžete přidat nebo odebrat ručně. V této verzi Preview můžete dynamicky přidávat nebo odebírat uživatele nebo zařízení pro jednotky pro správu pomocí pravidel. Tento článek popisuje, jak vytvořit jednotky pro správu s dynamickými pravidly členství pomocí Centra pro správu Microsoft Entra, PowerShellu nebo rozhraní Microsoft Graph API.

Poznámka:

Pravidla dynamického členství pro jednotky pro správu je možné vytvářet s použitím stejných atributů, které jsou k dispozici pro dynamické skupiny. Další informace o konkrétních dostupných atributech a příkladech jejich použití najdete v tématu Pravidla dynamického členství pro skupiny v Microsoft Entra ID.

I když jednotky pro správu s členy přiřazenými ručně podporují více typů objektů, jako je uživatel, skupina a zařízení, není v současné době možné vytvořit jednotku pro správu s pravidly dynamického členství, která obsahují více než jeden typ objektu. Můžete například vytvořit jednotky pro správu s dynamickými pravidly členství pro uživatele nebo zařízení, ale ne s oběma. Správa istrativní jednotky s dynamickými pravidly členství pro skupiny se v současné době nepodporují.

Požadavky

  • Licence Microsoft Entra ID P1 nebo P2 pro každého správce jednotek pro správu
  • Licence Microsoft Entra ID P1 nebo P2 pro každého člena jednotky pro správu
  • Správce privilegovaných rolí nebo globální správce
  • Sada Microsoft Graph PowerShell SDK nainstalovaná při použití PowerShellu
  • Správa souhlas při používání Graph Exploreru pro rozhraní Microsoft Graph API
  • Globální cloud Azure (není k dispozici ve specializovaných cloudech, jako je Azure Government nebo Microsoft Azure provozovaný společností 21Vianet)

Poznámka:

Pravidla dynamického členství pro jednotky pro správu vyžadují licenci Microsoft Entra ID P1 pro každého jedinečného uživatele, který je členem jedné nebo více dynamických jednotek pro správu. Licence uživatelům nemusíte přiřazovat, aby byly členy dynamických jednotek pro správu, ale musíte mít minimální počet licencí v organizaci Microsoft Entra, abyste mohli pokrýt všechny tyto uživatele. Pokud byste například měli celkem 1 000 jedinečných uživatelů ve všech dynamických jednotkách pro správu ve vaší organizaci, potřebujete alespoň 1 000 licencí pro Microsoft Entra ID P1, abyste splnili licenční požadavek. Pro zařízení, která jsou členy dynamické jednotky pro správu zařízení, se nevyžaduje žádná licence.

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Přidání pravidel dynamického členství

Podle těchto kroků vytvořte jednotky pro správu s dynamickými pravidly členství pro uživatele nebo zařízení.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Vyberte jednotku pro správu, do které chcete přidat uživatele nebo zařízení.

  3. Vyberte Vlastnosti.

  4. V seznamu typů členství vyberte dynamického uživatele nebo dynamické zařízení v závislosti na typu pravidla, které chcete přidat.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  5. Vyberte Přidat dynamický dotaz.

  6. Pomocí tvůrce pravidel určete pravidlo dynamického členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  7. Po dokončení vyberte Uložit a uložte pravidlo dynamického členství.

  8. Na stránce Vlastnosti vyberte Uložit a uložte typ členství a dotaz.

    Zobrazí se následující zpráva:

    Po změně typu jednotky pro správu se stávající členství může změnit na základě pravidla dynamického členství, které zadáte.

  9. Pokračujte výběrem tlačítka Ano.

Postup úprav pravidla najdete v následující části Upravit pravidla dynamického členství.

PowerShell

  1. Vytvořte pravidlo dynamického členství. Další informace naleznete v tématu Pravidla dynamického členství pro skupiny v Microsoft Entra ID.

  2. Pomocí příkazu Připojení-MgGraph se připojte k Microsoft Entra ID s uživatelem, kterému byla přiřazena role privilegovaná role Správa istrator nebo globální Správa istrator.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Pomocí příkazu New-MgDirectory Správa istrativeUnit vytvořte novou jednotku pro správu s dynamickým pravidlem členství pomocí následujících parametrů:

    • MembershipType: Dynamic nebo Assigned
    • MembershipRule: Pravidlo dynamického členství, které jste vytvořili v předchozím kroku
    • MembershipRuleProcessingState: On nebo Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

  1. Vytvořte pravidlo dynamického členství. Další informace naleznete v tématu Pravidla dynamického členství pro skupiny v Microsoft Entra ID.

  2. K vytvoření nové jednotky pro správu s dynamickým pravidlem členství použijte rozhraní API Pro správu.

    Následuje příklad pravidla dynamického členství, které platí pro zařízení s Windows.

    Žádost

    POST https://graph.microsoft.com/beta/administrativeUnits

    Text

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Úprava pravidel dynamického členství

Pokud je jednotka pro správu nakonfigurována pro dynamické členství, obvyklé příkazy pro přidání nebo odebrání členů pro jednotku pro správu jsou zakázány, protože dynamický modul členství zachovává výhradní vlastnictví přidávání nebo odebírání členů. Pokud chcete členství změnit, můžete upravit pravidla dynamického členství.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům> Správa jednotek.

  3. Vyberte jednotku pro správu, která obsahuje pravidla dynamického členství, která chcete upravit.

  4. Vyberte pravidla členství a upravte pravidla dynamického členství pomocí tvůrce pravidel.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Tvůrce pravidel můžete otevřít také tak , že v levém navigačním panelu vyberete pravidla dynamického členství.

  5. Po dokončení vyberte Uložit a uložte změny pravidla dynamického členství.

PowerShell

Pomocí příkazu Update-MgDirectory Správa istrativeUnit upravte pravidlo dynamického členství.

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

K úpravě pravidla dynamického členství použijte rozhraní API pro správu aktualizace.

Žádost

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Text

{
  "membershipRule": "(user.country -eq "Germany")"
}

Změna dynamické jednotky pro správu na přiřazenou

Podle těchto kroků změňte jednotku pro správu s dynamickými pravidly členství na jednotku pro správu, kde jsou členové přiřazeni ručně.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům> Správa jednotek.

  3. Vyberte jednotku pro správu, kterou chcete změnit na přiřazenou.

  4. Vyberte Vlastnosti.

  5. V seznamu Typ členství vyberte Přiřazeno.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Vyberte Uložit a uložte typ členství.

    Zobrazí se následující zpráva:

    Po změně typu jednotky pro správu už dynamické pravidlo nebude zpracováno. Aktuální členové správní jednotky zůstanou v jednotce pro správu a členové správní jednotky budou mít přiřazené členství.

  7. Pokračujte výběrem tlačítka Ano.

    Když se nastavení typu členství změní z dynamické na přiřazené, zůstanou aktuální členové v jednotce pro správu nedotčeni. Kromě toho je povolená možnost přidávat skupiny do jednotky pro správu.

PowerShell

Pomocí příkazu Update-MgDirectory Správa istrativeUnit upravte pravidlo dynamického členství.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Ke změně nastavení typu členství použijte rozhraní API pro správu aktualizací.

Žádost

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Text

{
  "membershipType": "Assigned"
}

Další kroky