Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique (préversion)

  • Article

Important

Les règles d’appartenance dynamiques pour les unités administratives sont actuellement en préversion. Consultez les conditions du produit pour les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Vous pouvez ajouter ou supprimer manuellement des utilisateurs ou des appareils pour les unités administratives. Avec cette préversion, vous pouvez ajouter ou supprimer des utilisateurs ou des appareils pour les unités administratives de manière dynamique à l’aide de règles. Cet article explique comment créer des unités administratives avec des règles d’appartenance dynamique à l’aide du centre d’administration Microsoft Entra, de PowerShell ou de l’API Microsoft Graph.

Remarque

Les règles d’adhésion dynamique pour les unités administratives peuvent être créées à l’aide des mêmes attributs que ceux disponibles pour les groupes dynamiques. Pour plus d’informations sur les attributs spécifiques disponibles et obtenir des exemples d’utilisation, consultez les Règles d’appartenance de groupe dynamique dans Microsoft Entra ID.

Bien que les unités administratives avec des membres affectés manuellement prennent en charge plusieurs types d’objets, comme les utilisateurs, les groupes et les appareils, il n’est actuellement pas possible de créer une unité administrative avec des règles d’appartenance dynamique qui incluent plusieurs types d’objets. Par exemple, vous pouvez créer des unités administratives avec des règles d’appartenance dynamique pour des utilisateurs ou des appareils, mais pas les deux. Les unités administratives avec des règles d’appartenance dynamique pour les groupes ne sont actuellement pas prises en charge.

Prérequis

  • Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
  • Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
  • Administrateur de rôle privilégié ou Administrateur général
  • Microsoft Graph PowerShell SDK installé lors de l'utilisation de PowerShell
  • Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour l’API Microsoft Graph
  • Le cloud Azure global (non disponible dans les clouds spécialisés, comme Azure Government ou Microsoft Azure géré par 21Vianet)

Remarque

Les règles d’appartenance dynamiques pour les unités administratives nécessitent une licence Microsoft Entra Premium P1 pour chaque utilisateur unique membre d’une ou de plusieurs unités administratives dynamiques. Vous n’avez pas à attribuer des licences aux utilisateurs pour qu’ils soient membres d’unités administratives dynamiques. Toutefois, vous devez disposer du nombre minimal de licences dans l’organisation Microsoft Entra pour couvrir tous les utilisateurs de ce type. Par exemple, si vous avez un total de 1 000 utilisateurs uniques dans toutes les unités administratives dynamiques de votre organisation, vous devez disposer d’au moins 1 000 licences Microsoft Entra Premium P1 pour répondre aux exigences de licence. Aucune licence n’est requise pour les appareils qui sont membres d’une unité administrative d’appareils dynamique.

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Ajouter des règles d’appartenance dynamique

Procédez comme suit pour créer des unités administratives avec des règles d’appartenance dynamiques pour les utilisateurs ou les appareils.

Centre d’administration Microsoft Entra

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des appareils.

  3. Sélectionner Propriétés.

  4. Dans la liste Type d’appartenance, sélectionnez Utilisateur dynamique ou Appareil dynamique, selon le type de règle que vous souhaitez ajouter.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  5. Sélectionnez Ajouter une requête dynamique.

  6. Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  7. Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer la règle d’appartenance dynamique.

  8. Sur la page Propriétés, sélectionnez Enregistrer pour enregistrer le type d’appartenance et la requête.

    Le message suivant s’affiche :

    Après la modification du type d’unité administrative, l’appartenance existante peut changer en fonction de la règle d’appartenance dynamique que vous fournissez.

  9. Cliquez sur Oui pour continuer.

Pour connaître les étapes de modification de votre règle, consultez la section Modifier des règles d’appartenance dynamique suivante.

PowerShell

  1. Créez une règle d’appartenance dynamique. Pour plus d’informations, consultez Règles d’appartenance de groupe dynamique dans Microsoft Entra ID.

  2. Utilisez la commande Connect-MgGraph pour vous connecter à Microsoft Entra ID avec un utilisateur auquel a été attribué le rôle Administrateur de rôle privilégié ou rôle Administrateur général.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Utilisez la commande New-MgDirectoryAdministrativeUnit pour créer une nouvelle unité administrative avec une règle d’appartenance dynamique à l’aide des paramètres suivants :

    • MembershipType : Dynamic ou Assigned
    • MembershipRule : règle d’appartenance dynamique que vous avez créée à l’étape précédente
    • MembershipRuleProcessingState : On ou Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

API Microsoft Graph

  1. Créez une règle d’appartenance dynamique. Pour plus d’informations, consultez Règles d’appartenance de groupe dynamique dans Microsoft Entra ID.

  2. Utilisez l’API Créer une unité administrative pour créer une nouvelle unité administrative avec une règle d’appartenance dynamique.

    L’exemple suivant illustre une règle d’appartenance dynamique qui s’applique aux appareils Windows.

    Requête

    POST https://graph.microsoft.com/beta/administrativeUnits

    Corps

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Modifier des règles d’appartenance dynamique

Lorsqu’une unité administrative a été configurée pour l’appartenance dynamique, les commandes habituelles pour ajouter ou supprimer des membres pour l’unité administrative sont désactivées, car le moteur d’appartenance dynamique conserve la propriété exclusive de l’ajout ou de la suppression de membres. Pour apporter des modifications à l’appartenance, vous pouvez modifier les règles d’appartenance dynamiques.

Centre d’administration Microsoft Entra

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Unités administratives.

  3. Sélectionnez l’unité administrative dont vous souhaitez modifier les règles d’appartenance dynamique.

  4. Sélectionnez Règles d’appartenance pour modifier les règles d’appartenance dynamique à l’aide du générateur de règles.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Vous pouvez également ouvrir le générateur de règles en sélectionnant Règles d’appartenance dynamique dans le volet de navigation de gauche.

  5. Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer les changements de règle d’appartenance dynamique.

PowerShell

Utilisez la commande Update-MgDirectoryAdministrativeUnit pour modifier la règle d’appartenance dynamique.

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API Microsoft Graph

Utilisez l’API Update administrativeUnit pour modifier la règle d’appartenance dynamique.

Requête

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Corps

{
  "membershipRule": "(user.country -eq "Germany")"
}

Remplacer une unité administrative dynamique par une avec affectation

Procédez comme suit pour modifier une unité administrative avec des règles d’appartenance dynamique en unité administrative à laquelle les membres sont affectés manuellement.

Centre d’administration Microsoft Entra

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Unités administratives.

  3. Sélectionnez l’unité administrative que vous souhaitez modifier à attribuée.

  4. Sélectionner Propriétés.

  5. Dans la liste Type d’appartenance, sélectionnez Affectée.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Sélectionnez Enregistrer pour enregistrer le type d’appartenance.

    Le message suivant s’affiche :

    Une fois le type d’unité administrative modifié, la règle dynamique n’est plus traitée. Les membres de l’unité administrative actuelle resteront dans l’unité administrative et l’appartenance de l’unité administrative sera de type affectation.

  7. Cliquez sur Oui pour continuer.

    Lorsque le paramètre de type d’appartenance passe de dynamique à affectation, les membres actuels restent intacts dans l’unité administrative. En outre, la possibilité d’ajouter des groupes à l’unité administrative est activée.

PowerShell

Utilisez la commande Update-MgDirectoryAdministrativeUnit pour modifier la règle d’appartenance dynamique.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API Microsoft Graph

Utilisez l’API Update administrativeUnit pour modifier le paramètre de type d’appartenance.

Requête

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Corps

{
  "membershipType": "Assigned"
}

Étapes suivantes