Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági csoportokra vonatkozó szabályokkal
A felügyeleti egységek felhasználóit vagy eszközeit manuálisan is hozzáadhatja vagy eltávolíthatja. Dinamikus tagsági csoportok esetén a szabályok használatával dinamikusan adhat hozzá vagy távolíthat el felhasználókat vagy eszközöket a felügyeleti egységekhez. Ez a cikk bemutatja, hogyan hozhat létre felügyeleti egységeket a dinamikus tagsági csoportokra vonatkozó szabályokkal a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph API használatával.
Feljegyzés
A felügyeleti egységek dinamikus tagsági szabályai a dinamikus tagsági csoportokhoz elérhető attribútumokkal hozhatók létre. Az elérhető attribútumokról és a használatukra vonatkozó példákról további információt a Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra ID-ban című témakörben talál.
Bár a manuálisan hozzárendelt tagokkal rendelkező felügyeleti egységek több objektumtípust támogatnak, például a felhasználót, a csoportot és az eszközt, jelenleg nem hozható létre olyan felügyeleti egység, amely egynél több objektumtípust tartalmazó dinamikus tagsági csoportokra vonatkozó szabályokat tartalmaz. Létrehozhat például felügyeleti egységeket a felhasználók vagy eszközök dinamikus tagsági csoportjaira vonatkozó szabályokkal, de mindkettőt nem. A csoportok dinamikus tagsági csoportjaira vonatkozó szabályokat tartalmazó felügyeleti egységek jelenleg nem támogatottak.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység taghoz
- Kiemelt szerepkörű rendszergazda
- A PowerShell használatakor telepített Microsoft Graph PowerShell SDK
- Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
- Globális Azure-felhő (nem érhető el speciális felhőkben, például az Azure Governmentben vagy a 21Vianet által üzemeltetett Microsoft Azure-ban)
Feljegyzés
A felügyeleti egységek dinamikus tagsági szabályaihoz microsoft Entra id P1 licenc szükséges minden olyan egyedi felhasználóhoz, amely egy vagy több dinamikus felügyeleti egység tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus felügyeleti egységek tagjai legyenek, de a Microsoft Entra szervezetében a minimális számú licenccel kell rendelkeznie ahhoz, hogy az összes ilyen felhasználót lefedje. Ha például összesen 1000 egyedi felhasználóval rendelkezik a szervezet összes dinamikus felügyeleti egységében, a licenckövetelmény teljesítéséhez legalább 1000 licencre lenne szüksége a P1 Microsoft Entra-azonosítóhoz. Az eszközök dinamikus tagsági csoportjához tartozó felügyeleti egységhez tartozó eszközökhöz nincs szükség licencre.
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Dinamikus tagsági csoportok szabályainak hozzáadása
Az alábbi lépésekkel felügyeleti egységeket hozhat létre a felhasználók vagy eszközök dinamikus tagsági csoportjaira vonatkozó szabályokkal.
Microsoft Entra felügyeleti központ
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Válassza ki azt a felügyeleti egységet, amelyhez felhasználókat vagy eszközöket szeretne hozzáadni.
Válassza ki a tulajdonságokat.
A Tagság típusa listában válassza a Dinamikus felhasználó vagy a Dinamikus eszköz lehetőséget a hozzáadni kívánt szabály típusától függően.
Válassza a Dinamikus lekérdezés hozzáadása lehetőséget.
A szabályszerkesztő használatával adja meg a dinamikus tagsági csoportokra vonatkozó szabályt. További információ: Szabályszerkesztő az Azure Portalon.
Ha végzett, a Mentés gombra kattintva mentse a szabályt a dinamikus tagsági csoportokhoz.
A Tulajdonságok lapon válassza a Mentés lehetőséget a tagság típusának és lekérdezésének mentéséhez.
Az alábbi üzenet jelenik meg:
A felügyeleti egység típusának módosítása után a meglévő tagság a megadott dinamikus tagsági csoportok szabálya alapján változhat.
Válassza az Igen lehetőséget a folytatáshoz.
A szabály szerkesztésének lépéseit a dinamikus tagsági csoportok szabályainak szerkesztése című szakaszban találja.
PowerShell
Dinamikus tagságcsoport-szabály létrehozása. További információ: Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra-azonosítóban.
A Connect-MgGraph paranccsal csatlakozhat a Microsoft Entra-azonosítóhoz egy kiemelt szerepkör-rendszergazdai szerepkörrel rendelkező felhasználóval.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"A New-MgDirectoryAdministrativeUnit paranccsal hozzon létre egy új felügyeleti egységet a dinamikus tagsági csoportok szabályával a következő paraméterekkel:
MembershipType:DynamicvagyAssignedMembershipRule: Az előző lépésben létrehozott dinamikus tagsági szabályMembershipRuleProcessingState:OnvagyPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Hozzon létre egy szabályt a dinamikus tagsági csoportokhoz. További információ: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban.
A Create administrativeUnit API használatával hozzon létre egy új felügyeleti egységet a dinamikus tagsági csoportok szabályával.
Az alábbiakban egy példa látható a Windows-eszközökre vonatkozó dinamikus tagsági csoportokra vonatkozó szabályra.
Kérés
POST https://graph.microsoft.com/v1.0/directory/administrativeUnitsTörzs
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Dinamikus tagsági csoportok szabályainak szerkesztése
Ha egy felügyeleti egység dinamikus tagsági csoportokhoz lett konfigurálva, a felügyeleti egység tagjainak hozzáadására vagy eltávolítására vonatkozó szokásos parancsok le lesznek tiltva, mivel a dinamikus tagsági csoportok motorja fenntartja a tagok hozzáadásának vagy eltávolításának kizárólagos tulajdonjogát. A tagság módosításához szerkesztheti a dinamikus tagsági csoportok szabályait.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse meg az Identitásszerepkörök>> rendszergazdai>egységeket.
Válassza ki azt a felügyeleti egységet, amely a szerkeszteni kívánt dinamikus tagsági csoportokra vonatkozó szabályokat tartalmazza.
A tagsági szabályok kiválasztásával szerkesztheti a dinamikus tagsági csoportok szabályait a szabályszerkesztővel.
A szabályszerkesztőt a dinamikus tagsági szabályok bal oldali navigációs sávon való kiválasztásával is megnyithatja.
Ha végzett, válassza a Mentés lehetőséget a dinamikus tagsági csoportok szabálymódosításainak mentéséhez.
PowerShell
A dinamikus tagsági csoportok szabályának szerkesztéséhez használja az Update-MgDirectoryAdministrativeUnit parancsot.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Az Update administrativeUnit API használatával szerkessze a dinamikus tagsági csoportok szabályát.
Kérés
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Törzs
{
"membershipRule": "(user.country -eq "Germany")"
}
Dinamikus felügyeleti egység módosítása hozzárendelve
Az alábbi lépéseket követve módosíthat egy dinamikus tagsági csoportokra vonatkozó szabályokat tartalmazó felügyeleti egységet egy olyan felügyeleti egységre, amelyben a tagok manuálisan vannak hozzárendelve.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse meg az Identitásszerepkörök>> rendszergazdai>egységeket.
Válassza ki a hozzárendelni kívánt felügyeleti egységet.
Válassza ki a tulajdonságokat.
A Tagság típusa listában válassza a Hozzárendelt lehetőséget.
A tagságtípus mentéséhez válassza a Mentés lehetőséget.
Az alábbi üzenet jelenik meg:
A felügyeleti egység típusának módosítása után a dinamikus szabály a továbbiakban nem lesz feldolgozva. A felügyeleti egység jelenlegi tagjai továbbra is a felügyeleti egységben maradnak, és a felügyeleti egységhez hozzárendelt tagság lesz.
Válassza az Igen lehetőséget a folytatáshoz.
Ha a tagságtípus beállítása dinamikusról hozzárendeltre változik, az aktuális tagok érintetlenek maradnak a felügyeleti egységben. Emellett engedélyezve van a csoportok hozzáadása a felügyeleti egységhez.
PowerShell
A dinamikus tagsági csoportok szabályának szerkesztéséhez használja az Update-MgDirectoryAdministrativeUnit parancsot .
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
A tagságtípus-beállítás módosításához használja az Update administrativeUnit API-t .
Kérés
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Törzs
{
"membershipType": "Assigned"
}