Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)

  • Artikel

Wichtig

Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten befinden sich derzeit in der VORSCHAUPHASE. Rechtliche Bedingungen für Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind, finden Sie in den Produktbedingungen.

Sie können Benutzer oder Geräte für Verwaltungseinheiten manuell hinzufügen oder entfernen. In dieser Vorschauversion können Sie Benutzer oder Geräte für Verwaltungseinheiten dynamisch mithilfe von Regeln hinzufügen oder entfernen. In diesem Artikel wird beschrieben, wie Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln über das Microsoft Entra Admin Center, PowerShell oder die Microsoft Graph-API erstellt werden.

Hinweis

Dynamische Mitgliedschaftsregeln für administrative Einheiten können mithilfe der gleichen Attribute erstellt werden, die für dynamische Gruppen verfügbar sind. Weitere Informationen zu den verfügbaren spezifischen Attributen und Beispielen zur Verwendung finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

Obwohl Verwaltungseinheiten mit manuell zugewiesenen Mitgliedern mehrere Objekttypen (etwa Benutzer, Gruppen und Geräte) unterstützen, ist es derzeit nicht möglich, eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln zu erstellen, die mehr als einen Objekttyp enthält. Sie können beispielsweise Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln für Benutzer oder Geräte erstellen, aber nicht für beide. Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln für Gruppen werden derzeit nicht unterstützt.

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Microsoft Entra ID P1- oder P2-Lizenz für jedes Mitglied der Verwaltungseinheit
  • „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
  • Installiertes Microsoft Graph PowerShell-SDK bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
  • Globale Azure Cloud (nicht in spezialisierten Clouds wie Azure Government oder Microsoft Azure betrieben von 21Vianet)

Hinweis

Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten erfordern eine Microsoft Entra ID P1-Lizenz für alle eindeutigen Benutzer*innen, die Mitglied von dynamischen Verwaltungseinheiten sind. Sie müssen Benutzer*innen keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Verwaltungseinheiten werden, aber Sie müssen die Mindestanzahl von Lizenzen in der Microsoft Entra-Organisation haben, um alle diese Benutzer*innen abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer*innen in allen dynamischen Verwaltungseinheiten Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra ID P1, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglied einer dynamischen Geräteverwaltungseinheit sind, ist keine Lizenz erforderlich.

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Hinzufügen dynamischer Mitgliedschaftsregeln

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln für Benutzer oder Geräte zu erstellen.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer oder Geräte hinzufügen möchten.

  3. Wählen Sie Eigenschaften aus.

  4. Wählen Sie in der Liste Mitgliedschaftstyp je nach hinzuzufügendem Regeltyp Dynamischer Benutzer oder Dynamisches Gerät aus.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  5. Wählen Sie Dynamische Abfrage hinzufügen aus.

  6. Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  7. Wählen Sie anschließend Speicher aus, um die dynamische Mitgliedschaftsregel zu speichern.

  8. Wählen Sie auf der Seite Eigenschaften die Option Speichern aus, um den Mitgliedschaftstyp und die Abfrage zu speichern.

    Die folgende Meldung wird angezeigt:

    Nach dem Ändern des Typs der Verwaltungseinheit kann sich die vorhandene Mitgliedschaft basierend auf der von Ihnen bereitgestellten dynamischen Mitgliedschaftsregel ändern.

  9. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

Schritte zum Bearbeiten Ihrer Regel finden Sie weiter unten im Abschnitt Bearbeiten dynamischer Mitgliedschaftsregeln.

PowerShell

  1. Erstellen Sie eine dynamische Mitgliedschaftsregel. Weitere Informationen finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

  2. Verwenden Sie den Befehl Connect-MgGraph, um eine Verbindung zwischen Microsoft Entra ID und Benutzer*innen herzustellen, denen die Rolle Administrator*in für privilegierte Rollen oder Globale Administrator*in zugewiesen wurden.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnit, um mithilfe der folgenden Parameter eine neue Verwaltungseinheit mit einer dynamischen Mitgliedschaftsregel zu erstellen:

    • MembershipType: Dynamic oder Assigned
    • MembershipRule: Dynamische Mitgliedschaftsregel, die Sie in einem vorherigen Schritt erstellt haben
    • MembershipRuleProcessingState: On oder Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph-API

  1. Erstellen Sie eine dynamische Mitgliedschaftsregel. Weitere Informationen finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

  2. Verwenden Sie die API Create administrativeUnit, um eine neue Verwaltungseinheit mit einer dynamischen Mitgliedschaftsregel zu erstellen.

    Im Anschluss sehen Sie ein Beispiel für eine dynamische Mitgliedschaftsregel, die auf Windows-Geräte angewendet wird.

    Anforderung

    POST https://graph.microsoft.com/beta/administrativeUnits

    Text

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Bearbeiten dynamischer Mitgliedschaftsregeln

Wenn eine Verwaltungseinheit für die dynamische Mitgliedschaft konfiguriert wurde, werden die üblichen Befehle zum Hinzufügen oder Entfernen von Mitgliedern für die Verwaltungseinheit deaktiviert, da die Engine für dynamische Mitgliedschaften die alleinige Verantwortung für das Hinzufügen oder Entfernen von Mitgliedern behält. Um Änderungen an der Mitgliedschaft vorzunehmen, können Sie die dynamischen Mitgliedschaftsregeln bearbeiten.

Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit mit den dynamischen Mitgliedschaftsregeln aus, die Sie bearbeiten möchten.

  4. Wählen Sie Mitgliedschaftsregeln aus, um die dynamischen Mitgliedschaftsregeln mithilfe des Regel-Generators zu bearbeiten.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Sie können den Regel-Generator auch öffnen, indem Sie im linken Navigationsbereich Dynamische Mitgliedschaftsregeln auswählen.

  5. Wählen Sie anschließend Speichern aus, um die Änderungen an den dynamischen Mitgliedschaftsregeln zu speichern.

PowerShell

Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die dynamische Mitgliedschaftsregel zu bearbeiten.

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph-API

Verwenden Sie die API Update administrativeUnit, um die dynamische Mitgliedschaftsregel zu bearbeiten.

Anforderung

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Text

{
  "membershipRule": "(user.country -eq "Germany")"
}

Ändern einer Verwaltungseinheit von „dynamisch“ in „zugewiesen“

Führen Sie die folgenden Schritte aus, um eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln in eine Verwaltungseinheit zu ändern, in der Mitglieder manuell zugewiesen werden.

Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, die Sie zu „zugewiesen“ ändern möchten.

  4. Wählen Sie Eigenschaften aus.

  5. Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Wählen Sie zum Speichern des Mitgliedschaftstyps Speichern aus.

    Die folgende Meldung wird angezeigt:

    Nach dem Ändern des Typs der Verwaltungseinheit wird die dynamische Regel nicht mehr verarbeitet. Aktuelle Mitglieder der Verwaltungseinheit verbleiben in der Verwaltungseinheit, und die Verwaltungseinheit verfügt über eine zugewiesene Mitgliedschaft.

  7. Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.

    Wenn die Einstellung für den Mitgliedschaftstyp von „dynamisch“ in „zugewiesen“ geändert wird, bleiben die aktuellen Mitglieder in der Verwaltungseinheit erhalten. Darüber hinaus ist die Option zum Hinzufügen von Gruppen zur Verwaltungseinheit aktiviert.

PowerShell

Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die dynamische Mitgliedschaftsregel zu bearbeiten.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph-API

Verwenden Sie die API Update administrativeUnit, um die Einstellung für den Mitgliedschaftstyp zu ändern.

Anforderung

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Text

{
  "membershipType": "Assigned"
}

Nächste Schritte