Mengelola pengguna atau perangkat untuk unit administratif dengan aturan keanggotaan dinamis (Pratinjau)
Penting
Aturan keanggotaan dinamis untuk unit administratif saat ini dalam PRATINJAU. Lihat Ketentuan Produk untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara manual. Dengan pratinjau ini, Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara dinamis menggunakan aturan. Artikel ini menjelaskan cara membuat unit administratif dengan aturan keanggotaan dinamis menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph API.
Catatan
Aturan keanggotaan dinamis untuk unit administratif dapat dibuat menggunakan atribut yang sama dan tersedia untuk grup dinamis. Untuk informasi selengkapnya tentang atribut tertentu yang tersedia dan contoh tentang cara menggunakannya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.
Meskipun unit administratif dengan anggota yang ditetapkan secara manual mendukung beberapa tipe objek, seperti pengguna, grup, dan perangkat, saat ini tidak mungkin membuat unit administratif dengan aturan keanggotaan dinamis yang menyertakan lebih dari satu tipe objek. Misalnya, Anda dapat membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat, tetapi tidak sekaligus untuk keduanya. Unit administratif dengan aturan keanggotaan dinamis untuk grup saat ini tidak didukung.
Prasyarat
- Lisensi Microsoft Entra ID P1 atau P2 untuk setiap administrator unit administratif
- Lisensi Microsoft Entra ID P1 atau P2 untuk setiap anggota unit administratif
- Administrator Peran Privileged
- Microsoft Graph PowerShell SDK terinstal saat menggunakan PowerShell
- Izin admin saat menggunakan Graph Explorer untuk API Microsoft Graph
- Cloud Azure global (tidak tersedia di cloud khusus, seperti Azure Government atau Microsoft Azure yang dioperasikan oleh 21Vianet)
Catatan
Aturan keanggotaan dinamis untuk unit administratif memerlukan lisensi Microsoft Entra ID P1 untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa unit administratif dinamis. Anda tidak perlu menetapkan lisensi kepada pengguna agar mereka menjadi anggota unit administratif dinamis, tetapi Anda harus memiliki jumlah lisensi minimum di organisasi Microsoft Entra untuk mencakup semua pengguna tersebut. Misalnya, jika Anda memiliki total 1.000 pengguna unik di semua unit administratif dinamis di organisasi Anda, Anda akan memerlukan setidaknya 1.000 lisensi untuk Microsoft Entra ID P1 untuk memenuhi persyaratan lisensi. Tidak diperlukan lisensi untuk perangkat yang menjadi anggota unit administratif perangkat dinamis.
Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.
Menambahkan aturan keanggotaan dinamis
Ikuti langkah-langkah ini untuk membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat.
Pusat admin Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Pilih unit administratif yang ingin Anda tambahkan pengguna atau perangkatnya.
Pilih Properti.
Dalam daftar Jenis keanggotaan, pilih Pengguna Dinamis atau Perangkat Dinamis, bergantung pada jenis aturan yang ingin Anda tambahkan.
Pilih Tambahkan kueri dinamis.
Gunakan penyusun aturan untuk menentukan aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat penyusun aturan di portal Microsoft Azure.
Setelah selesai, pilih Simpan untuk menyimpan aturan keanggotaan dinamis.
Pada halaman Properti, pilih Simpan untuk menyimpan jenis dan kueri keanggotaan.
Pesan berikut ditampilkan:
Setelah mengubah jenis unit administratif, keanggotaan yang ada mungkin berubah berdasarkan aturan keanggotaan dinamis yang Anda berikan.
Pilih Ya untuk melanjutkan.
Untuk langkah-langkah tentang cara mengedit aturan Anda, lihat bagian Mengedit aturan keanggotaan dinamis berikut.
PowerShell
Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.
Gunakan perintah Koneksi-MgGraph untuk terhubung dengan ID Microsoft Entra dengan pengguna yang telah diberi peran Administrator Peran Istimewa.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Gunakan perintah New-MgDirectoryAdministrativeUnit untuk membuat unit administratif baru dengan aturan keanggotaan dinamis menggunakan parameter berikut:
MembershipType
:Dynamic
atauAssigned
MembershipRule
: Aturan keanggotaan dinamis yang Anda buat di langkah sebelumnyaMembershipRuleProcessingState
:On
atauPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.
Gunakan API Buat Unit administratif untuk membuat unit administratif baru dengan aturan keanggotaan dinamis.
Berikut adalah contoh aturan keanggotaan dinamis yang berlaku untuk perangkat Windows.
Minta
POST https://graph.microsoft.com/beta/administrativeUnits
Isi
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Edit aturan keanggotaan dinamis
Ketika unit administratif telah dikonfigurasi untuk keanggotaan dinamis, perintah biasa untuk menambah atau menghapus anggota unit administratif dinonaktifkan karena mesin keanggotaan dinamis mempertahankan kepemilikan tunggal untuk menambah atau menghapus anggota. Untuk melakukan perubahan pada keanggotaan, Anda dapat mengedit aturan keanggotaan dinamis.
Pusat admin Microsoft Entra
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri ke Peran Identitas>&>admin Unit admin.
Pilih unit administratif yang memiliki aturan keanggotaan dinamis yang ingin Anda edit.
Pilih Aturan keanggotaan untuk mengedit aturan keanggotaan dinamis menggunakan penyusun aturan.
Anda juga dapat membuka penyusun aturan dengan memilih Aturan keanggotaan dinamis di navigasi kiri.
Setelah selesai, pilih Simpan untuk menyimpan perubahan aturan keanggotaan dinamis.
PowerShell
Gunakan perintah Update-MgDirectoryAdministrativeUnit untuk mengedit aturan keanggotaan dinamis.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Gunakan API Perbarui Unit administratif untuk mengedit aturan keanggotaan dinamis.
Minta
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Isi
{
"membershipRule": "(user.country -eq "Germany")"
}
Mengubah unit administratif dinamis menjadi ditetapkan
Ikuti langkah-langkah ini untuk mengubah unit administratif dengan aturan keanggotaan dinamis ke unit administratif tempat anggota ditetapkan secara manual.
Pusat admin Microsoft Entra
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri ke Peran Identitas>&>admin Unit admin.
Pilih unit administratif yang ingin Anda ubah untuk ditetapkan.
Pilih Properti.
Dalam daftar Jenis keanggotaan, pilih Ditetapkan.
Pilih Simpan untuk menyimpan jenis keanggotaan.
Pesan berikut ditampilkan:
Setelah mengubah jenis unit administratif, aturan dinamis tidak akan diproses lagi. Anggota unit administrasi saat ini akan tetap berada di unit administrasi dan unit administrasi akan memiliki keanggotaan yang ditetapkan.
Pilih Ya untuk melanjutkan.
Saat pengaturan jenis keanggotaan diubah dari dinamis menjadi ditetapkan, anggota saat ini tetap utuh di unit administratif. Selain itu, kemampuan untuk menambahkan grup ke unit administratif diaktifkan.
PowerShell
Gunakan perintah Update-MgDirectoryAdministrativeUnit untuk mengedit aturan keanggotaan dinamis.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Gunakan API Perbarui Unit administratif untuk mengubah pengaturan jenis keanggotaan.
Minta
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Isi
{
"membershipType": "Assigned"
}
Langkah berikutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk