Mengelola pengguna atau perangkat untuk unit administratif dengan aturan keanggotaan dinamis (Pratinjau)

  • Artikel

Penting

Aturan keanggotaan dinamis untuk unit administratif saat ini dalam PRATINJAU. Lihat Ketentuan Produk untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara manual. Dengan pratinjau ini, Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara dinamis menggunakan aturan. Artikel ini menjelaskan cara membuat unit administratif dengan aturan keanggotaan dinamis menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph API.

Catatan

Aturan keanggotaan dinamis untuk unit administratif dapat dibuat menggunakan atribut yang sama dan tersedia untuk grup dinamis. Untuk informasi selengkapnya tentang atribut tertentu yang tersedia dan contoh tentang cara menggunakannya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.

Meskipun unit administratif dengan anggota yang ditetapkan secara manual mendukung beberapa tipe objek, seperti pengguna, grup, dan perangkat, saat ini tidak mungkin membuat unit administratif dengan aturan keanggotaan dinamis yang menyertakan lebih dari satu tipe objek. Misalnya, Anda dapat membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat, tetapi tidak sekaligus untuk keduanya. Unit administratif dengan aturan keanggotaan dinamis untuk grup saat ini tidak didukung.

Prasyarat

  • Lisensi Microsoft Entra ID P1 atau P2 untuk setiap administrator unit administratif
  • Lisensi Microsoft Entra ID P1 atau P2 untuk setiap anggota unit administratif
  • Administrator Peran Istimewa atau Administrator Global
  • Microsoft Graph PowerShell SDK terinstal saat menggunakan PowerShell
  • Izin admin saat menggunakan Graph Explorer untuk API Microsoft Graph
  • Cloud Azure global (tidak tersedia di cloud khusus, seperti Azure Government atau Microsoft Azure yang dioperasikan oleh 21Vianet)

Catatan

Aturan keanggotaan dinamis untuk unit administratif memerlukan lisensi Microsoft Entra ID P1 untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa unit administratif dinamis. Anda tidak perlu menetapkan lisensi kepada pengguna agar mereka menjadi anggota unit administratif dinamis, tetapi Anda harus memiliki jumlah lisensi minimum di organisasi Microsoft Entra untuk mencakup semua pengguna tersebut. Misalnya, jika Anda memiliki total 1.000 pengguna unik di semua unit administratif dinamis di organisasi Anda, Anda akan memerlukan setidaknya 1.000 lisensi untuk Microsoft Entra ID P1 untuk memenuhi persyaratan lisensi. Tidak diperlukan lisensi untuk perangkat yang menjadi anggota unit administratif perangkat dinamis.

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Menambahkan aturan keanggotaan dinamis

Ikuti langkah-langkah ini untuk membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat.

Pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Pilih unit administratif yang ingin Anda tambahkan pengguna atau perangkatnya.

  3. Pilih Properti.

  4. Dalam daftar Jenis keanggotaan, pilih Pengguna Dinamis atau Perangkat Dinamis, bergantung pada jenis aturan yang ingin Anda tambahkan.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  5. Pilih Tambahkan kueri dinamis.

  6. Gunakan penyusun aturan untuk menentukan aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat penyusun aturan di portal Microsoft Azure.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  7. Setelah selesai, pilih Simpan untuk menyimpan aturan keanggotaan dinamis.

  8. Pada halaman Properti, pilih Simpan untuk menyimpan jenis dan kueri keanggotaan.

    Pesan berikut ditampilkan:

    Setelah mengubah jenis unit administratif, keanggotaan yang ada mungkin berubah berdasarkan aturan keanggotaan dinamis yang Anda berikan.

  9. Pilih Ya untuk melanjutkan.

Untuk langkah-langkah tentang cara mengedit aturan Anda, lihat bagian Mengedit aturan keanggotaan dinamis berikut.

PowerShell

  1. Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.

  2. Gunakan perintah Koneksi-MgGraph untuk terhubung dengan MICROSOFT Entra ID dengan pengguna yang telah diberi peran Administrator Peran Istimewa atau Administrator Global.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Gunakan perintah New-MgDirectoryAdministrativeUnit untuk membuat unit administratif baru dengan aturan keanggotaan dinamis menggunakan parameter berikut:

    • MembershipType: Dynamic atau Assigned
    • MembershipRule: Aturan keanggotaan dinamis yang Anda buat di langkah sebelumnya
    • MembershipRuleProcessingState: On atau Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

API Microsoft Graph

  1. Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.

  2. Gunakan API Buat Unit administratif untuk membuat unit administratif baru dengan aturan keanggotaan dinamis.

    Berikut adalah contoh aturan keanggotaan dinamis yang berlaku untuk perangkat Windows.

    Minta

    POST https://graph.microsoft.com/beta/administrativeUnits

    Isi

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Edit aturan keanggotaan dinamis

Ketika unit administratif telah dikonfigurasi untuk keanggotaan dinamis, perintah biasa untuk menambah atau menghapus anggota unit administratif dinonaktifkan karena mesin keanggotaan dinamis mempertahankan kepemilikan tunggal untuk menambah atau menghapus anggota. Untuk melakukan perubahan pada keanggotaan, Anda dapat mengedit aturan keanggotaan dinamis.

Pusat admin Microsoft Entra

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri ke Peran Identitas>&>admin Unit admin.

  3. Pilih unit administratif yang memiliki aturan keanggotaan dinamis yang ingin Anda edit.

  4. Pilih Aturan keanggotaan untuk mengedit aturan keanggotaan dinamis menggunakan penyusun aturan.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Anda juga dapat membuka penyusun aturan dengan memilih Aturan keanggotaan dinamis di navigasi kiri.

  5. Setelah selesai, pilih Simpan untuk menyimpan perubahan aturan keanggotaan dinamis.

PowerShell

Gunakan perintah Update-MgDirectoryAdministrativeUnit untuk mengedit aturan keanggotaan dinamis.

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API Microsoft Graph

Gunakan API Perbarui Unit administratif untuk mengedit aturan keanggotaan dinamis.

Minta

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Isi

{
  "membershipRule": "(user.country -eq "Germany")"
}

Mengubah unit administratif dinamis menjadi ditetapkan

Ikuti langkah-langkah ini untuk mengubah unit administratif dengan aturan keanggotaan dinamis ke unit administratif tempat anggota ditetapkan secara manual.

Pusat admin Microsoft Entra

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri ke Peran Identitas>&>admin Unit admin.

  3. Pilih unit administratif yang ingin Anda ubah untuk ditetapkan.

  4. Pilih Properti.

  5. Dalam daftar Jenis keanggotaan, pilih Ditetapkan.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Pilih Simpan untuk menyimpan jenis keanggotaan.

    Pesan berikut ditampilkan:

    Setelah mengubah jenis unit administratif, aturan dinamis tidak akan diproses lagi. Anggota unit administrasi saat ini akan tetap berada di unit administrasi dan unit administrasi akan memiliki keanggotaan yang ditetapkan.

  7. Pilih Ya untuk melanjutkan.

    Saat pengaturan jenis keanggotaan diubah dari dinamis menjadi ditetapkan, anggota saat ini tetap utuh di unit administratif. Selain itu, kemampuan untuk menambahkan grup ke unit administratif diaktifkan.

PowerShell

Gunakan perintah Update-MgDirectoryAdministrativeUnit untuk mengedit aturan keanggotaan dinamis.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API Microsoft Graph

Gunakan API Perbarui Unit administratif untuk mengubah pengaturan jenis keanggotaan.

Minta

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Isi

{
  "membershipType": "Assigned"
}

Langkah berikutnya