Delen via


Gebruikers of apparaten beheren voor een beheereenheid met regels voor dynamische lidmaatschapsgroepen

U kunt handmatig gebruikers of apparaten voor beheereenheden toevoegen of verwijderen. Met dynamische lidmaatschapsgroepen kunt u gebruikers of apparaten voor beheereenheden dynamisch toevoegen of verwijderen met behulp van regels. In dit artikel wordt beschreven hoe u beheereenheden maakt met regels voor dynamische lidmaatschapsgroepen met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.

Notitie

Dynamische lidmaatschapsregels voor beheereenheden kunnen worden gemaakt met dezelfde kenmerken die beschikbaar zijn voor dynamische lidmaatschapsgroepen. Zie Regels beheren voor dynamische lidmaatschapsgroepen in Microsoft Entra ID voor meer informatie over de specifieke kenmerken die beschikbaar zijn en voorbeelden van hoe u deze kunt gebruiken.

Hoewel beheereenheden waaraan leden handmatig zijn toegewezen, meerdere objecttypen ondersteunen, zoals gebruikers, groepen en apparaten, is het momenteel niet mogelijk om een beheereenheid te maken met regels voor dynamische lidmaatschapsgroepen die meer dan één objecttype bevatten. U kunt bijvoorbeeld beheereenheden maken met regels voor dynamische lidmaatschapsgroepen voor gebruikers of apparaten, maar niet beide. Beheereenheden met regels voor dynamische lidmaatschapsgroepen voor groepen worden momenteel niet ondersteund.

Vereisten

  • Microsoft Entra ID P1- of P2-licentie voor elke beheerder van beheereenheden
  • Microsoft Entra ID P1- of P2-licentie voor elk lid van de beheereenheid
  • Beheerder voor bevoorrechte rollen
  • Microsoft Graph PowerShell SDK geïnstalleerd bij gebruik van PowerShell
  • Beheerderstoestemming bij het gebruik van Graph Explorer voor Microsoft Graph API
  • Wereldwijde Azure-cloud (niet beschikbaar in gespecialiseerde clouds, zoals Azure Government of Microsoft Azure beheerd door 21Vianet)

Notitie

Voor dynamische lidmaatschapsregels voor beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke unieke gebruiker die lid is van een of meer dynamische beheereenheden. U hoeft geen licenties toe te wijzen aan gebruikers om lid te zijn van dynamische beheereenheden, maar u moet het minimale aantal licenties in de Microsoft Entra-organisatie hebben om alle dergelijke gebruikers te dekken. Als u bijvoorbeeld in totaal 1000 unieke gebruikers hebt in alle dynamische beheereenheden in uw organisatie, hebt u ten minste 1000 licenties nodig voor Microsoft Entra ID P1 om te voldoen aan de licentievereiste. Er is geen licentie vereist voor apparaten die lid zijn van een beheereenheid voor een dynamische lidmaatschapsgroep voor apparaten.

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Regels toevoegen voor dynamische lidmaatschapsgroepen

Volg deze stappen om beheereenheden te maken met regels voor dynamische lidmaatschapsgroepen voor gebruikers of apparaten.

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Selecteer de beheereenheid waaraan u gebruikers of apparaten wilt toevoegen.

  3. Selecteer Eigenschappen.

  4. Selecteer in de lijst Lidmaatschapstype dynamische gebruiker of dynamisch apparaat, afhankelijk van het type regel dat u wilt toevoegen.

    Schermopname van de pagina Eigenschappen van een beheereenheid met de lijst Lidmaatschapstype weergegeven.

  5. Selecteer Dynamische query toevoegen.

  6. Gebruik de opbouwfunctie voor regels om de regel voor dynamische lidmaatschapsgroepen op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.

    Schermopname van de pagina Dynamische lidmaatschapsregels met de opbouwfunctie voor regels met eigenschap, operator en waarde.

  7. Wanneer u klaar bent, selecteert u Opslaan om de regel voor dynamische lidmaatschapsgroepen op te slaan.

  8. Selecteer Opslaan op de pagina Eigenschappen om het lidmaatschapstype en de query op te slaan.

    Het volgende bericht wordt weergegeven:

    Nadat u het type beheereenheid hebt gewijzigd, kan het bestaande lidmaatschap worden gewijzigd op basis van de regel voor dynamische lidmaatschapsgroepen die u opgeeft.

  9. Selecteer Ja om door te gaan.

Zie de volgende sectie Regels bewerken voor dynamische lidmaatschapsgroepen voor stappen voor het bewerken van uw regel.

Powershell

  1. Maak een regel voor dynamische lidmaatschapsgroepen. Zie Regels beheren voor dynamische lidmaatschapsgroepen in Microsoft Entra-id voor meer informatie.

  2. Gebruik de opdracht Connect-MgGraph om verbinding te maken met Microsoft Entra ID met een gebruiker waaraan de rol Beheerder voor bevoorrechte rollen is toegewezen.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. Gebruik de opdracht New-MgDirectoryAdministrativeUnit om een nieuwe beheereenheid te maken met een regel voor dynamische lidmaatschapsgroepen met behulp van de volgende parameters:

    • MembershipType: of DynamicAssigned
    • MembershipRule: Dynamische lidmaatschapsregel die u in een vorige stap hebt gemaakt
    • MembershipRuleProcessingState: of OnPaused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

Microsoft Graph API

  1. Maak een regel voor dynamische lidmaatschapsgroepen. Zie Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id voor meer informatie.

  2. Gebruik de Create administrativeUnit-API om een nieuwe beheereenheid te maken met een regel voor dynamische lidmaatschapsgroepen.

    Hieronder ziet u een voorbeeld van een regel voor dynamische lidmaatschapsgroepen die van toepassing zijn op Windows-apparaten.

    Aanvragen

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
    

    Hoofdtekst

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

Regels bewerken voor dynamische lidmaatschapsgroepen

Wanneer een beheereenheid is geconfigureerd voor dynamische lidmaatschapsgroepen, worden de gebruikelijke opdrachten voor het toevoegen of verwijderen van leden voor de beheereenheid uitgeschakeld omdat de engine voor dynamische lidmaatschapsgroepen het enige eigendom behoudt van het toevoegen of verwijderen van leden. Als u wijzigingen wilt aanbrengen in het lidmaatschap, kunt u de regels voor dynamische lidmaatschapsgroepen bewerken.

Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar beheereenheden voor identiteitsrollen>en beheerders>.

  3. Selecteer de beheereenheid met de regels voor dynamische lidmaatschapsgroepen die u wilt bewerken.

  4. Selecteer Lidmaatschapsregels om de regels voor dynamische lidmaatschapsgroepen te bewerken met behulp van de opbouwfunctie voor regels .

    Schermopname van een beheereenheid met lidmaatschapsregels en opties voor dynamische lidmaatschapsregels om de opbouwfunctie voor regels te openen.

    U kunt de opbouwfunctie voor regels ook openen door dynamische lidmaatschapsregels te selecteren in het linkernavigatievenster.

  5. Wanneer u klaar bent, selecteert u Opslaan om de regelwijzigingen voor dynamische lidmaatschapsgroepen op te slaan.

Powershell

Gebruik de opdracht Update-MgDirectoryAdministrativeUnit om de regel voor dynamische lidmaatschapsgroepen te bewerken.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Gebruik de Update administrativeUnit-API om de regel voor dynamische lidmaatschapsgroepen te bewerken.

Aanvragen

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Hoofdtekst

{
  "membershipRule": "(user.country -eq "Germany")"
}

Een dynamische beheereenheid wijzigen in toegewezen

Volg deze stappen om een beheereenheid te wijzigen met regels voor dynamische lidmaatschapsgroepen in een beheereenheid waaraan leden handmatig worden toegewezen.

Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar beheereenheden voor identiteitsrollen>en beheerders>.

  3. Selecteer de beheereenheid waaraan u wilt wijzigen.

  4. Selecteer Eigenschappen.

  5. Selecteer Toegewezen in de lijst Lidmaatschapstype.

    Schermopname van de pagina Eigenschappen van een beheereenheid met de lijst Lidmaatschapstypen weergegeven en Toegewezen geselecteerd.

  6. Selecteer Opslaan om het lidmaatschapstype op te slaan.

    Het volgende bericht wordt weergegeven:

    Nadat u het type beheereenheid hebt gewijzigd, wordt de dynamische regel niet meer verwerkt. Huidige leden van de beheereenheid blijven in de beheereenheid en de beheereenheid heeft lidmaatschap toegewezen.

  7. Selecteer Ja om door te gaan.

    Wanneer de instelling voor het lidmaatschapstype wordt gewijzigd van dynamisch naar toegewezen, blijven de huidige leden intact in de beheereenheid. Daarnaast is de mogelijkheid om groepen toe te voegen aan de beheereenheid ingeschakeld.

Powershell

Gebruik de opdracht Update-MgDirectoryAdministrativeUnit om de regel voor dynamische lidmaatschapsgroepen te bewerken.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Gebruik de Update administrativeUnit-API om de instelling voor het lidmaatschapstype te wijzigen.

Aanvragen

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Hoofdtekst

{
  "membershipType": "Assigned"
}

Volgende stappen