동적 멤버 관리 규칙을 사용하여 관리 단위의 사용자 또는 디바이스 관리(미리 보기)
Important
관리 단위에 대한 동적 멤버 관리 규칙은 현재 미리 보기 상태입니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 법적 용어는 제품 약관을 참조하세요.
관리 단위에 대한 사용자 또는 디바이스를 수동으로 추가하거나 제거할 수 있습니다. 이 미리 보기에서는 규칙을 사용하여 관리 단위에 대한 사용자 또는 디바이스를 동적으로 추가하거나 제거할 수 있습니다. 이 문서에서는 Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph API를 사용하여 동적 멤버 관리 규칙으로 관리 장치를 만드는 방법을 설명합니다.
참고 항목
관리 단위에 대한 동적 멤버 관리 규칙은 동적 그룹에 사용할 수 있는 것과 동일한 특성을 사용하여 만들 수 있습니다. 사용 가능한 특정 특성과 이를 사용하는 방법에 대한 예에 대한 자세한 내용은 Microsoft Entra ID의 그룹에 대한 동적 멤버 관리 규칙을 참조하세요.
멤버 자격이 할당된 관리 단위는 사용자, 그룹 및 디바이스와 같은 여러 개체 형식을 수동으로 지원하지만 현재는 둘 이상의 개체 형식을 포함하는 동적 멤버 관리 규칙으로 관리 단위를 만들 수 없습니다. 예를 들어 사용자 또는 디바이스에 대한 동적 멤버 관리 규칙을 사용하여 관리 단위를 만들 수 있지만 둘 다 만들 수는 없습니다. 그룹에 대한 동적 멤버 관리 규칙이 있는 관리 단위는 현재 지원되지 않습니다.
필수 조건
- 각 관리 장치 관리자를 위한 Microsoft Entra ID P1 또는 P2 라이선스
- 각 관리 장치 멤버에 대한 Microsoft Entra ID P1 또는 P2 라이선스
- 권한 있는 역할 관리자 또는 전역 관리자
- PowerShell을 사용할 때 설치된 Microsoft Graph PowerShell SDK
- Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의.
- 글로벌 Azure 클라우드(Azure Government 또는 21Vianet에서 운영하는 Microsoft Azure와 같은 특수 클라우드에서는 사용할 수 없음)
참고 항목
관리 장치에 대한 동적 멤버 관리 규칙에는 하나 이상의 동적 관리 장치의 멤버 자격인 각 고유 사용자에 대해 Microsoft Entra ID P1 라이선스가 필요합니다. 동적 관리 단위의 멤버가 되기 위해 사용자에게 라이선스를 할당할 필요는 없지만 이러한 모든 사용자를 포함하려면 Microsoft Entra 조직에 최소 라이선스 수가 있어야 합니다. 예를 들어, 조직의 모든 동적 관리 장치에 총 1,000명의 고유 사용자가 있는 경우 라이선스 요구 사항을 충족하려면 Microsoft Entra ID P1에 대해 최소 1,000개의 라이선스가 필요합니다. 동적 디바이스 관리 단위의 멤버인 디바이스에는 라이선스가 필요하지 않습니다.
자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.
동적 멤버 자격 규칙 추가
사용자 또는 디바이스에 대한 동적 멤버 관리 규칙을 사용하여 관리 단위를 만들려면 다음 단계를 따릅니다.
Microsoft Entra 관리 센터
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
사용자 또는 디바이스를 추가하려는 관리 장치를 선택합니다.
속성을 선택합니다.
멤버 자격 형식 목록에서 추가하려는 규칙 형식에 따라 동적 사용자 또는 동적 디바이스를 선택합니다.
동적 쿼리 추가를 선택합니다.
규칙 작성기를 사용하여 동적 멤버 관리 규칙을 지정합니다. 자세한 내용은 Azure Portal의 규칙 작성기를 참조하세요.
완료되면 저장을 선택하여 동적 멤버 관리 규칙을 저장합니다.
속성 페이지에서 저장을 선택하여 멤버 자격 형식과 쿼리를 저장합니다.
다음 메시지가 표시됩니다.
관리 단위 유형을 변경한 후에는 사용자가 제공하는 동적 멤버 자격 규칙에 따라 기존 멤버 자격이 변경될 수 있습니다.
계속하려면 예를 선택합니다.
규칙을 편집하는 방법에 대한 단계는 다음 동적 멤버 관리 규칙 편집 섹션을 참조하세요.
PowerShell
동적 멤버 관리 규칙을 만듭니다. 자세한 내용은 Microsoft Entra ID의 그룹에 대한 동적 멤버 관리 규칙을 참조하세요.
커넥트-MgGraph 명령을 사용하여 Privileged Role 관리istrator 또는 Global 관리istrator 역할이 할당된 사용자와 Microsoft Entra ID에 연결합니다.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"New-MgDirectory관리istrativeUnit 명령을 사용하여 다음 매개 변수를 사용하여 동적 멤버 자격 규칙으로 새 관리 단위를 만듭니다.
MembershipType:Dynamic또는AssignedMembershipRule: 이전 단계에서 만든 동적 멤버 관리 규칙MembershipRuleProcessingState:On또는Paused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
동적 멤버 관리 규칙을 만듭니다. 자세한 내용은 Microsoft Entra ID의 그룹에 대한 동적 멤버 관리 규칙을 참조하세요.
Create managementUnit API를 사용하여 동적 멤버 관리 규칙이 있는 새 관리 단위를 만듭니다.
다음은 Windows 디바이스에 적용되는 동적 멤버 관리 규칙의 예를 보여 줍니다.
Request
POST https://graph.microsoft.com/beta/administrativeUnits본문
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
동적 멤버 관리 규칙 편집
관리 단위가 동적 멤버십에 대해 구성된 경우 동적 멤버십 엔진이 멤버 자격 추가 또는 제거에 대한 단독 소유권을 유지하므로 관리 단위의 멤버 자격을 추가하거나 제거하는 일반적인 명령은 사용하지 않도록 설정됩니다. 멤버 자격을 변경하기 위해 동적 멤버 관리 규칙을 편집할 수 있습니다.
Microsoft Entra 관리 센터
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자관리 단위로> 이동합니다.
편집하려는 동적 멤버 관리 규칙이 있는 관리 장치를 선택합니다.
규칙 작성기를 사용하여 동적 멤버 관리 규칙을 편집하려면 멤버 관리 규칙을 선택합니다.
왼쪽 탐색 메뉴에서 동적 멤버 관리 규칙을 선택하여 규칙 작성기를 열 수도 있습니다.
완료되면 저장을 선택하여 동적 멤버 관리 규칙 변경 내용을 저장합니다.
PowerShell
Update-MgDirectory관리istrativeUnit 명령을 사용하여 동적 멤버 자격 규칙을 편집합니다.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Update managementUnit API를 사용하여 동적 멤버 관리 규칙을 편집합니다.
Request
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
본문
{
"membershipRule": "(user.country -eq "Germany")"
}
동적 관리 단위를 할당으로 변경
동적 멤버 관리 규칙이 있는 관리 단위를 멤버 자격이 수동으로 할당되는 관리 단위로 변경하려면 다음 단계를 따릅니다.
Microsoft Entra 관리 센터
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자관리 단위로> 이동합니다.
할당됨으로 변경하려는 관리 장치를 선택합니다.
속성을 선택합니다.
멤버 자격 형식 목록에서 할당됨을 선택합니다.
저장을 선택하여 멤버 자격 형식을 저장합니다.
다음 메시지가 표시됩니다.
관리 단위 형식을 변경한 후에는 동적 규칙이 더 이상 처리되지 않습니다. 현재 관리 단위 멤버 자격은 관리 단위에 남아 있고 관리 단위에는 멤버 자격이 할당됩니다.
계속하려면 예를 선택합니다.
멤버 자격 형식 설정이 동적에서 할당으로 변경되면 현재 멤버 자격은 관리 단위에 그대로 유지됩니다. 또한 관리 단위에 그룹을 추가하는 기능이 사용하도록 설정됩니다.
PowerShell
Update-MgDirectory관리istrativeUnit 명령을 사용하여 동적 멤버 자격 규칙을 편집합니다.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Update managementUnit API를 사용하여 멤버 자격 형식 설정을 변경합니다.
Request
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
본문
{
"membershipType": "Assigned"
}