Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels (preview)
Belangrijk
Dynamische lidmaatschapsregels voor beheereenheden bevinden zich momenteel in PREVIEW. Zie de productvoorwaarden voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.
U kunt handmatig gebruikers of apparaten voor beheereenheden toevoegen of verwijderen. Met deze preview kunt u gebruikers of apparaten voor beheereenheden dynamisch toevoegen of verwijderen met behulp van regels. In dit artikel wordt beschreven hoe u beheereenheden maakt met dynamische lidmaatschapsregels met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.
Notitie
Dynamische lidmaatschapsregels voor beheereenheden kunnen worden gemaakt met diezelfde kenmerken die beschikbaar zijn voor dynamische groepen. Zie Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id voor meer informatie over de specifieke kenmerken die beschikbaar zijn en voorbeelden van hoe u deze kunt gebruiken.
Hoewel beheereenheden met leden die handmatig zijn toegewezen, meerdere objecttypen ondersteunen, zoals gebruikers, groepen en apparaten, is het momenteel niet mogelijk om een beheereenheid te maken met dynamische lidmaatschapsregels die meer dan één objecttype bevatten. U kunt bijvoorbeeld beheereenheden maken met dynamische lidmaatschapsregels voor gebruikers of apparaten, maar niet beide. Beheer istratieve eenheden met dynamische lidmaatschapsregels voor groepen worden momenteel niet ondersteund.
Vereisten
- Microsoft Entra ID P1- of P2-licentie voor elke beheerder van beheereenheden
- Microsoft Entra ID P1- of P2-licentie voor elk lid van de beheereenheid
- Beheerder voor bevoorrechte rollen
- Microsoft Graph PowerShell SDK geïnstalleerd bij gebruik van PowerShell
- Beheer toestemming bij het gebruik van Graph Explorer voor Microsoft Graph API
- Wereldwijde Azure-cloud (niet beschikbaar in gespecialiseerde clouds, zoals Azure Government of Microsoft Azure beheerd door 21Vianet)
Notitie
Voor dynamische lidmaatschapsregels voor beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke unieke gebruiker die lid is van een of meer dynamische beheereenheden. U hoeft geen licenties toe te wijzen aan gebruikers om lid te zijn van dynamische beheereenheden, maar u moet het minimale aantal licenties in de Microsoft Entra-organisatie hebben om alle dergelijke gebruikers te dekken. Als u bijvoorbeeld in totaal 1000 unieke gebruikers hebt in alle dynamische beheereenheden in uw organisatie, hebt u ten minste 1000 licenties nodig voor Microsoft Entra ID P1 om te voldoen aan de licentievereiste. Er is geen licentie vereist voor apparaten die lid zijn van een dynamische apparaatbeheereenheid.
Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Dynamische lidmaatschapsregels toevoegen
Volg deze stappen om beheereenheden te maken met dynamische lidmaatschapsregels voor gebruikers of apparaten.
Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Selecteer de beheereenheid waaraan u gebruikers of apparaten wilt toevoegen.
Selecteer Eigenschappen.
Selecteer in de lijst Lidmaatschapstype dynamische gebruiker of dynamisch apparaat, afhankelijk van het type regel dat u wilt toevoegen.
Selecteer Dynamische query toevoegen.
Gebruik de opbouwfunctie voor regels om de dynamische lidmaatschapsregel op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.
Wanneer u klaar bent, selecteert u Opslaan om de dynamische lidmaatschapsregel op te slaan.
Selecteer Opslaan op de pagina Eigenschappen om het lidmaatschapstype en de query op te slaan.
Het volgende bericht wordt weergegeven:
Nadat u het type beheereenheid hebt gewijzigd, kan het bestaande lidmaatschap worden gewijzigd op basis van de dynamische lidmaatschapsregel die u opgeeft.
Selecteer Ja om door te gaan.
Zie de volgende sectie Dynamische lidmaatschapsregels bewerken voor stappen voor het bewerken van uw regel.
Powershell
Maak een dynamische lidmaatschapsregel. Zie Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id voor meer informatie.
Gebruik de opdracht Verbinding maken-MgGraph om verbinding te maken met Microsoft Entra-id met een gebruiker waaraan de rol Privileged Role Beheer istrator is toegewezen.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Gebruik de opdracht New-MgDirectory Beheer istrativeUnit om een nieuwe beheereenheid te maken met een dynamische lidmaatschapsregel met behulp van de volgende parameters:
MembershipType: ofDynamicAssignedMembershipRule: Dynamische lidmaatschapsregel die u in een vorige stap hebt gemaaktMembershipRuleProcessingState: ofOnPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Maak een dynamische lidmaatschapsregel. Zie Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id voor meer informatie.
Gebruik de Create administrativeUnit-API om een nieuwe beheereenheid te maken met een dynamische lidmaatschapsregel.
Hieronder ziet u een voorbeeld van een dynamische lidmaatschapsregel die van toepassing is op Windows-apparaten.
Aanvragen
POST https://graph.microsoft.com/beta/administrativeUnitsHoofdtekst
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Dynamische lidmaatschapsregels bewerken
Wanneer een beheereenheid is geconfigureerd voor dynamisch lidmaatschap, worden de gebruikelijke opdrachten voor het toevoegen of verwijderen van leden voor de beheereenheid uitgeschakeld omdat de engine voor dynamisch lidmaatschap het enige eigendom behoudt van het toevoegen of verwijderen van leden. Als u wijzigingen wilt aanbrengen in het lidmaatschap, kunt u de dynamische lidmaatschapsregels bewerken.
Microsoft Entra-beheercentrum
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Blader naar identiteitsrollen>> en beheerders Beheer eenheden.
Selecteer de beheereenheid met de dynamische lidmaatschapsregels die u wilt bewerken.
Selecteer Lidmaatschapsregels om de dynamische lidmaatschapsregels te bewerken met behulp van de opbouwfunctie voor regels.
U kunt de opbouwfunctie voor regels ook openen door dynamische lidmaatschapsregels te selecteren in het linkernavigatievenster.
Wanneer u klaar bent, selecteert u Opslaan om de wijzigingen in de dynamische lidmaatschapsregel op te slaan.
Powershell
Gebruik de opdracht Update-MgDirectory Beheer istrativeUnit om de dynamische lidmaatschapsregel te bewerken.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Gebruik de Update administrativeUnit-API om de dynamische lidmaatschapsregel te bewerken.
Aanvragen
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Hoofdtekst
{
"membershipRule": "(user.country -eq "Germany")"
}
Een dynamische beheereenheid wijzigen in toegewezen
Volg deze stappen om een beheereenheid met dynamische lidmaatschapsregels te wijzigen in een beheereenheid waaraan leden handmatig worden toegewezen.
Microsoft Entra-beheercentrum
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Blader naar identiteitsrollen>> en beheerders Beheer eenheden.
Selecteer de beheereenheid waaraan u wilt wijzigen.
Selecteer Eigenschappen.
Selecteer Toegewezen in de lijst Lidmaatschapstype.
Selecteer Opslaan om het lidmaatschapstype op te slaan.
Het volgende bericht wordt weergegeven:
Nadat u het type beheereenheid hebt gewijzigd, wordt de dynamische regel niet meer verwerkt. Huidige leden van de beheereenheid blijven in de beheereenheid en de beheereenheid heeft lidmaatschap toegewezen.
Selecteer Ja om door te gaan.
Wanneer de instelling voor het lidmaatschapstype wordt gewijzigd van dynamisch naar toegewezen, blijven de huidige leden intact in de beheereenheid. Daarnaast is de mogelijkheid om groepen toe te voegen aan de beheereenheid ingeschakeld.
Powershell
Gebruik de opdracht Update-MgDirectory Beheer istrativeUnit om de dynamische lidmaatschapsregel te bewerken.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Gebruik de Update administrativeUnit-API om de instelling voor het lidmaatschapstype te wijzigen.
Aanvragen
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Hoofdtekst
{
"membershipType": "Assigned"
}
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor