Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)
Sie können Benutzer oder Geräte für Verwaltungseinheiten manuell hinzufügen oder entfernen. Mit dynamischen Mitgliedschaftsgruppen können Sie Benutzer oder Geräte für administrative Einheiten dynamisch mithilfe von Regeln hinzufügen oder entfernen. In diesem Artikel wird beschrieben, wie Sie mithilfe des Microsoft Entra Admin Centers, PowerShell oder der Microsoft Graph API Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen erstellen.
Hinweis
Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten können mit denselben Attributen erstellt werden, die für dynamische Mitgliedergruppen verfügbar sind. Weitere Informationen zu den verfügbaren spezifischen Attributen und Beispiele für deren Verwendung finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.
Obwohl Verwaltungseinheiten mit manuell zugewiesenen Mitgliedern mehrere Objekttypen unterstützen, wie z. B. Benutzende, Gruppen und Geräte, ist es derzeit nicht möglich, eine Verwaltungseinheit mit Regeln für dynamische Mitgliedergruppen zu erstellen, die mehr als einen Objekttyp umfasst. Sie können beispielsweise Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte erstellen, aber nicht für beides. Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Gruppen werden derzeit nicht unterstützt.
Voraussetzungen
- Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
- Microsoft Entra ID P1- oder P2-Lizenz für jedes Mitglied der Verwaltungseinheit
- Administrator für privilegierte Rollen
- Installiertes Microsoft Graph PowerShell-SDK bei Verwendung von PowerShell
- Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
- Globale Azure Cloud (nicht in spezialisierten Clouds wie Azure Government oder Microsoft Azure betrieben von 21Vianet)
Hinweis
Dynamische Mitgliedschaftsregeln für Verwaltungseinheiten erfordern eine Microsoft Entra ID P1-Lizenz für alle eindeutigen Benutzer*innen, die Mitglied von dynamischen Verwaltungseinheiten sind. Sie müssen Benutzer*innen keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Verwaltungseinheiten werden, aber Sie müssen die Mindestanzahl von Lizenzen in der Microsoft Entra-Organisation haben, um alle diese Benutzer*innen abzudecken. Beispiel: Wenn Sie über insgesamt 1.000 eindeutige Benutzer*innen in allen dynamischen Verwaltungseinheiten Ihrer Organisation verfügen, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra ID P1, um die Lizenzanforderung zu erfüllen. Für Geräte, die Mitglieder einer Verwaltungseinheit für eine dynamische Mitgliedergruppe für Geräte sind, ist keine Lizenz erforderlich.
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.
Hinzufügen von Regeln für dynamische Mitgliedergruppen
Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen für Benutzende oder Geräte zu erstellen.
Microsoft Entra Admin Center
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer oder Geräte hinzufügen möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp je nach hinzuzufügendem Regeltyp Dynamischer Benutzer oder Dynamisches Gerät aus.
Wählen Sie Dynamische Abfrage hinzufügen aus.
Verwenden Sie den Regel-Generator, um die Regel für dynamische Mitgliedergruppen festzulegen. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.
Wenn Sie fertig sind, wählen Sie Speichern, um die Regel für dynamische Mitgliedergruppen zu speichern.
Wählen Sie auf der Seite Eigenschaften die Option Speichern aus, um den Mitgliedschaftstyp und die Abfrage zu speichern.
Die folgende Meldung wird angezeigt:
Nach der Änderung des Verwaltungseinheitentyps kann sich die bestehende Mitgliedschaft basierend auf der von Ihnen bereitgestellten Regel für dynamische Mitgliedergruppen ändern.
Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.
Weitere Informationen zum Bearbeiten Ihrer Regel finden Sie im folgenden Abschnitt Bearbeiten von Regeln für dynamische Mitgliedergruppen.
PowerShell
Erstellen Sie eine dynamische Regel für Mitgliedergruppen. Weitere Informationen finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.
Verwenden Sie den Befehl Connect-MgGraph, um eine Verbindung zwischen Microsoft Entra ID und einem Benutzer herzustellen, dem die Rolle „Administrator für privilegierte Rollen“ zugewiesen wurden.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnit, um eine neue Verwaltungseinheit mit einer Regel für dynamische Mitgliedergruppen zu erstellen, und verwenden Sie dabei die folgenden Parameter:
MembershipType
:Dynamic
oderAssigned
MembershipRule
: Dynamische Mitgliedschaftsregel, die Sie in einem vorherigen Schritt erstellt habenMembershipRuleProcessingState
:On
oderPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph-API
Erstellen Sie eine Regel für dynamische Mitgliedergruppen. Weitere Informationen finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.
Verwenden Sie die API Create administrativeUnit, um eine neue Verwaltungseinheit mit einer Regel für dynamische Mitgliedergruppen zu erstellen.
Im Folgenden wird ein Beispiel für eine Regel für dynamische Mitgliedergruppen gezeigt, die für Windows-Geräte gilt.
Anforderung
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Text
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Bearbeiten von Regeln für dynamische Mitgliedergruppen
Wenn eine Verwaltungseinheit für dynamische Mitgliedergruppen konfiguriert wurde, sind die üblichen Befehle zum Hinzufügen oder Entfernen von Mitgliedern für die Verwaltungseinheit deaktiviert, da die Engine für dynamische Mitgliedergruppen das alleinige Recht zum Hinzufügen oder Entfernen von Mitgliedern behält. Um Änderungen an der Mitgliedschaft vorzunehmen, können Sie die Regeln für dynamische Mitgliedergruppen bearbeiten.
Microsoft Entra Admin Center
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.
Wählen Sie die Verwaltungseinheit aus, die die Regeln für dynamische Mitgliedergruppen enthält, die Sie bearbeiten möchten.
Wählen Sie Mitgliedschaftsregeln aus, um die Regeln für dynamische Mitgliedergruppen mithilfe des Regelgenerators zu bearbeiten.
Sie können den Regel-Generator auch öffnen, indem Sie im linken Navigationsbereich Dynamische Mitgliedschaftsregeln auswählen.
Wählen Sie nach Abschluss Speichern, um die Regeländerungen für dynamische Mitgliedergruppen zu speichern.
PowerShell
Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph-API
Verwenden Sie die API Update administrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.
Anforderung
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Text
{
"membershipRule": "(user.country -eq "Germany")"
}
Ändern einer Verwaltungseinheit von „dynamisch“ in „zugewiesen“
Führen Sie die folgenden Schritte aus, um eine Verwaltungseinheit mit Regeln für dynamische Mitgliedergruppen in eine Verwaltungseinheit zu ändern, in der Mitglieder manuell zugewiesen werden.
Microsoft Entra Admin Center
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.
Wählen Sie die Verwaltungseinheit aus, die Sie zu „zugewiesen“ ändern möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.
Wählen Sie zum Speichern des Mitgliedschaftstyps Speichern aus.
Die folgende Meldung wird angezeigt:
Nach dem Ändern des Typs der Verwaltungseinheit wird die dynamische Regel nicht mehr verarbeitet. Aktuelle Mitglieder der Verwaltungseinheit verbleiben in der Verwaltungseinheit, und die Verwaltungseinheit verfügt über eine zugewiesene Mitgliedschaft.
Klicken Sie auf Yes (Ja), um den Vorgang fortzusetzen.
Wenn die Einstellung für den Mitgliedschaftstyp von „dynamisch“ in „zugewiesen“ geändert wird, bleiben die aktuellen Mitglieder in der Verwaltungseinheit erhalten. Darüber hinaus ist die Option zum Hinzufügen von Gruppen zur Verwaltungseinheit aktiviert.
PowerShell
Verwenden Sie den Befehl Update-MgDirectoryAdministrativeUnit, um die Regel für dynamische Mitgliedergruppen zu bearbeiten.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph-API
Verwenden Sie die API Update administrativeUnit, um die Einstellung für den Mitgliedschaftstyp zu ändern.
Anforderung
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Text
{
"membershipType": "Assigned"
}