Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági csoportokra vonatkozó szabályokkal

A felügyeleti egységek felhasználóit vagy eszközeit manuálisan is hozzáadhatja vagy eltávolíthatja. Dinamikus tagsági csoportok esetén a szabályok használatával dinamikusan adhat hozzá vagy távolíthat el felhasználókat vagy eszközöket a felügyeleti egységekhez. Ez a cikk bemutatja, hogyan hozhat létre felügyeleti egységeket a dinamikus tagsági csoportokra vonatkozó szabályokkal a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph API használatával.

Feljegyzés

A felügyeleti egységek dinamikus tagsági szabályai a dinamikus tagsági csoportokhoz elérhető attribútumokkal hozhatók létre. Az elérhető attribútumokról és a használatukra vonatkozó példákról további információt a Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra ID-ban című témakörben talál.

Bár a manuálisan hozzárendelt tagokkal rendelkező felügyeleti egységek több objektumtípust támogatnak, például a felhasználót, a csoportot és az eszközt, jelenleg nem lehet olyan felügyeleti egységet létrehozni, amely egynél több objektumtípust tartalmazó dinamikus tagsági csoportokra vonatkozó szabályokat tartalmaz. Létrehozhat például felügyeleti egységeket a felhasználók vagy eszközök dinamikus tagsági csoportjaira vonatkozó szabályokkal, de mindkettőt nem. A csoportok dinamikus tagsági csoportjaira vonatkozó szabályokat tartalmazó felügyeleti egységek jelenleg nem támogatottak.

Előfeltételek

• Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
• Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység taghoz
• Kiemelt szerepkörű rendszergazda
• Microsoft Graph PowerShell modul a PowerShell használatakor
• Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
• Globális Azure-felhő (nem érhető el speciális felhőkben, például az Azure Governmentben vagy a 21Vianet által üzemeltetett Microsoft Azure-ban)

Feljegyzés

A felügyeleti egységek dinamikus tagsági szabályaihoz Microsoft Entra ID P1 licenc szükséges minden olyan egyedi felhasználóhoz, amely egy vagy több dinamikus felügyeleti egység tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus felügyeleti egységek tagjai legyenek, de a Microsoft Entra szervezetében a minimális számú licenccel kell rendelkeznie ahhoz, hogy az összes ilyen felhasználót lefedje. Ha például összesen 1000 egyedi felhasználóval rendelkezik a szervezet összes dinamikus felügyeleti egységében, a licenckövetelmény teljesítéséhez legalább 1000 licencre lenne szüksége a P1 Microsoft Entra-azonosítóhoz. Az eszközök dinamikus tagsági csoportjához tartozó felügyeleti egységhez tartozó eszközökhöz nincs szükség licencre.

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Dinamikus tagsági csoportok szabályainak hozzáadása

Az alábbi lépésekkel felügyeleti egységeket hozhat létre a felhasználók vagy eszközök dinamikus tagsági csoportjaira vonatkozó szabályokkal.

Felügyeleti központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba mint legalább kiemelt szerepkör-rendszergazda.

2. Válassza ki azt a felügyeleti egységet, amelyhez felhasználókat vagy eszközöket szeretne hozzáadni.

3. Válassza ki a tulajdonságokat.

4. A Tagság típusa listában válassza a Dinamikus felhasználó vagy a Dinamikus eszköz lehetőséget a hozzáadni kívánt szabály típusától függően.

   

5. Válassza a Dinamikus lekérdezés hozzáadása lehetőséget.

6. A szabályszerkesztő használatával adja meg a dinamikus tagsági csoportokra vonatkozó szabályt. További információ: Szabályszerkesztő az Azure Portalon.

   

7. Ha végzett, a Mentés gombra kattintva mentse a szabályt a dinamikus tagcsoportokhoz.

8. A Tulajdonságok lapon válassza a Mentés lehetőséget a tagság típusának és lekérdezésének mentéséhez.

   Az alábbi üzenet jelenik meg:

   A felügyeleti egység típusának módosítása után a meglévő tagság a megadott dinamikus tagsági csoportok szabálya alapján változhat.

9. Válassza az Igen lehetőséget a folytatáshoz.

A szabály szerkesztésének lépéseit a dinamikus tagsági csoportok szabályainak szerkesztése című szakaszban találja.

PowerShell

1. Dinamikus tagságcsoport-szabály létrehozása. További információ: Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra-azonosítóban.

2. A Connect-MgGraph paranccsal csatlakozhat a Microsoft Entra ID-hez egy Kiemelt Szerepkör Adminisztrátor szereppel rendelkező felhasználóval.

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. A New-MgDirectoryAdministrativeUnit paranccsal hozzon létre egy új felügyeleti egységet a dinamikus tagsági csoportok szabályával a következő paraméterekkel:

   • MembershipType: Dynamic vagy Assigned
   • MembershipRule: Az előző lépésben létrehozott dinamikus tagsági szabály
   • MembershipRuleProcessingState: On vagy Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

Graph API

1. Hozzon létre egy szabályt a dinamikus tagsági csoportokhoz. További információ: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban.

2. A Create administrativeUnit API használatával hozzon létre egy új felügyeleti egységet a dinamikus tagsági csoportok szabályával.

   Az alábbiakban egy példa látható a Windows-eszközökre vonatkozó dinamikus tagsági csoportokra vonatkozó szabályra.

   Kérés

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   Törzs

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

Dinamikus tagsági csoportok szabályainak szerkesztése

Ha egy felügyeleti egység dinamikus tagsági csoportokhoz lett konfigurálva, a felügyeleti egység tagjainak hozzáadására vagy eltávolítására vonatkozó szokásos parancsok le lesznek tiltva, mivel a dinamikus tagsági csoportok motorja fenntartja a tagok hozzáadásának vagy eltávolításának kizárólagos tulajdonjogát. A tagság módosításához szerkesztheti a dinamikus tagsági csoportok szabályait.

Felügyeleti központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba mint legalább kiemelt szerepkör-rendszergazda.

2. Keresse meg az Entra ID>Szerepkörök és adminisztrátorok>Felügyeleti egységek.

3. Válassza ki azt a felügyeleti egységet, amely a szerkeszteni kívánt dinamikus tagsági csoportokra vonatkozó szabályokat tartalmazza.

4. A tagsági szabályok kiválasztásával szerkesztheti a dinamikus tagsági csoportok szabályait a szabályszerkesztővel.

   

   A szabályszerkesztőt a dinamikus tagsági szabályok bal oldali navigációs sávon való kiválasztásával is megnyithatja.

5. Ha végzett, válassza a Mentés lehetőséget a dinamikus tagsági csoportok szabálymódosításainak mentéséhez.

PowerShell

A dinamikus tagsági csoportok szabályának szerkesztéséhez használja az Update-MgDirectoryAdministrativeUnit parancsot.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

Az Update administrativeUnit API használatával szerkessze a dinamikus tagsági csoportok szabályát.

Kérés

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Törzs

{
  "membershipRule": "(user.country -eq "Germany")"
}

Állítson be egy dinamikus adminisztratív egységet hozzárendelt állapotra

Az alábbi lépéseket követve módosíthat egy dinamikus tagsági csoportokra vonatkozó szabályokat tartalmazó felügyeleti egységet egy olyan felügyeleti egységre, amelyben a tagok manuálisan vannak hozzárendelve.

Felügyeleti központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba mint legalább kiemelt szerepkör-rendszergazda.

2. Keresse meg az Entra ID>Szerepkörök és adminisztrátorok>Felügyeleti egységek.

3. Válassza ki a hozzárendelni kívánt felügyeleti egységet.

4. Válassza ki a tulajdonságokat.

5. A Tagság típusa listában válassza a Hozzárendelt lehetőséget.

   

6. A tagságtípus mentéséhez válassza a Mentés lehetőséget.

   Az alábbi üzenet jelenik meg:

   A felügyeleti egység típusának módosítása után a dinamikus szabály a továbbiakban nem lesz feldolgozva. A felügyeleti egység jelenlegi tagjai továbbra is a felügyeleti egységben maradnak, és a felügyeleti egységhez hozzárendelt tagság lesz.

7. Válassza az Igen lehetőséget a folytatáshoz.

   Ha a tagságtípus beállítása dinamikusról hozzárendeltre változik, az aktuális tagok érintetlenek maradnak a felügyeleti egységben. Emellett engedélyezve van a csoportok hozzáadása a felügyeleti egységhez.

PowerShell

A dinamikus tagsági csoportok szabályának szerkesztéséhez használja az Update-MgDirectoryAdministrativeUnit parancsot .

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

A tagságtípus-beállítás módosításához használja az Update administrativeUnit API-t .

Kérés

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Törzs

{
  "membershipType": "Assigned"
}

Következő lépések

• Microsoft Entra-szerepkörök hozzárendelése felügyeleti egység hatókörével
• Felhasználók vagy csoportok hozzáadása felügyeleti egységhez
• Microsoft Entra felügyeleti egységek: Hibaelhárítás és gyakori kérdések