Udostępnij za pośrednictwem


Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł członkostwa dynamicznego (wersja zapoznawcza)

Ważne

Reguły członkostwa dynamicznego dla jednostek administracyjnych są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.

Możesz ręcznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych. Dzięki tej wersji zapoznawczej możesz dynamicznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych przy użyciu reguł. W tym artykule opisano sposób tworzenia jednostek administracyjnych przy użyciu reguł członkostwa dynamicznego przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.

Uwaga

Reguły członkostwa dynamicznego dla jednostek administracyjnych można tworzyć przy użyciu tych samych atrybutów, jakie są dostępne dla grup dynamicznych. Aby uzyskać więcej informacji na temat dostępnych atrybutów i przykładów dotyczących sposobu ich używania, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.

Chociaż jednostki administracyjne z przypisanymi członkami ręcznie obsługują wiele typów obiektów, takich jak użytkownik, grupa i urządzenia, obecnie nie można utworzyć jednostki administracyjnej z regułami członkostwa dynamicznego, które zawierają więcej niż jeden typ obiektu. Można na przykład utworzyć jednostki administracyjne z dynamicznymi regułami członkostwa dla użytkowników lub urządzeń, ale nie dla obu. Administracja istracyjne jednostki z regułami członkostwa dynamicznego dla grup nie są obecnie obsługiwane.

Wymagania wstępne

  • Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
  • Licencja microsoft Entra ID P1 lub P2 dla każdego członka jednostki administracyjnej
  • Administrator ról uprzywilejowanych
  • Zestaw Microsoft Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell
  • Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
  • Globalna chmura platformy Azure (niedostępna w wyspecjalizowanych chmurach, takich jak Azure Government lub Microsoft Azure obsługiwana przez firmę 21Vianet)

Uwaga

Reguły członkostwa dynamicznego dla jednostek administracyjnych wymagają licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej jednostki administracyjnej. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych jednostek administracyjnych, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych jednostkach administracyjnych w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń będących członkami jednostki administracyjnej urządzenia dynamicznego.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Dodawanie reguł członkostwa dynamicznego

Wykonaj następujące kroki, aby utworzyć jednostki administracyjne z regułami członkostwa dynamicznego dla użytkowników lub urządzeń.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Wybierz jednostkę administracyjną, do której chcesz dodać użytkowników lub urządzenia.

  3. Wybierz Właściwości.

  4. Na liście Typ członkostwa wybierz pozycję Użytkownik dynamiczny lub Urządzenie dynamiczne w zależności od typu reguły, którą chcesz dodać.

    Zrzut ekranu przedstawiający stronę Właściwości jednostki administracyjnej z wyświetloną listą Typ członkostwa.

  5. Wybierz pozycję Dodaj zapytanie dynamiczne.

  6. Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.

    Zrzut ekranu przedstawiający stronę Reguły członkostwa dynamicznego z konstruktorem reguł z właściwością, operatorem i wartością.

  7. Po zakończeniu wybierz pozycję Zapisz , aby zapisać regułę członkostwa dynamicznego.

  8. Na stronie Właściwości wybierz pozycję Zapisz, aby zapisać typ członkostwa i zapytanie.

    Zostanie wyświetlony następujący komunikat:

    Po zmianie typu jednostki administracyjnej istniejące członkostwo może ulec zmianie na podstawie podanej reguły członkostwa dynamicznego.

  9. Wybierz przycisk Tak, aby kontynuować.

Aby uzyskać instrukcje dotyczące edytowania reguły, zobacz następującą sekcję Edytowanie reguł członkostwa dynamicznego.

PowerShell

  1. Utwórz regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.

  2. Użyj polecenia Połączenie-MgGraph, aby nawiązać połączenie z identyfikatorem Entra firmy Microsoft z użytkownikiem, któremu przypisano rolę privileged role Administracja istrator.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. Użyj polecenia New-MgDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną z regułą członkostwa dynamicznego przy użyciu następujących parametrów:

    • MembershipType: Dynamic lub Assigned
    • MembershipRule: Reguła członkostwa dynamicznego utworzona w poprzednim kroku
    • MembershipRuleProcessingState: On lub Paused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

Interfejsu API programu Microsoft Graph

  1. Utwórz regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.

  2. Utwórz interfejs API administrativeUnit, aby utworzyć nową jednostkę administracyjną z dynamiczną regułą członkostwa.

    Poniżej przedstawiono przykład reguły członkostwa dynamicznego, która ma zastosowanie do urządzeń z systemem Windows.

    Wniosek

    POST https://graph.microsoft.com/beta/administrativeUnits
    

    Treść

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

Edytowanie reguł członkostwa dynamicznego

Po skonfigurowaniu jednostki administracyjnej na potrzeby członkostwa dynamicznego zwykłe polecenia służące do dodawania lub usuwania członków jednostki administracyjnej są wyłączone, ponieważ aparat członkostwa dynamicznego zachowuje wyłączną własność dodawania lub usuwania członków. Aby wprowadzić zmiany w członkostwie, możesz edytować reguły członkostwa dynamicznego.

Centrum administracyjne Microsoft Entra

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.

  3. Wybierz jednostkę administracyjną zawierającą reguły członkostwa dynamicznego, które chcesz edytować.

  4. Wybierz pozycję Reguły członkostwa, aby edytować reguły członkostwa dynamicznego przy użyciu konstruktora reguł.

    Zrzut ekranu jednostki administracyjnej z regułami członkostwa i opcjami reguł członkostwa dynamicznego w celu otwarcia konstruktora reguł.

    Możesz również otworzyć konstruktora reguł, wybierając pozycję Dynamiczne reguły członkostwa w obszarze nawigacji po lewej stronie.

  5. Po zakończeniu wybierz pozycję Zapisz , aby zapisać zmiany reguły członkostwa dynamicznego.

PowerShell

Użyj polecenia Update-MgDirectory Administracja istrativeUnit, aby edytować regułę członkostwa dynamicznego.

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Interfejsu API programu Microsoft Graph

Użyj interfejsu API Update administrativeUnit , aby edytować regułę członkostwa dynamicznego.

Wniosek

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Treść

{
  "membershipRule": "(user.country -eq "Germany")"
}

Zmiana dynamicznej jednostki administracyjnej na przypisaną

Wykonaj następujące kroki, aby zmienić jednostkę administracyjną przy użyciu reguł członkostwa dynamicznego na jednostkę administracyjną, w której członkowie są przypisywani ręcznie.

Centrum administracyjne Microsoft Entra

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.

  3. Wybierz jednostkę administracyjną, którą chcesz zmienić na przypisaną.

  4. Wybierz Właściwości.

  5. Na liście Typ członkostwa wybierz pozycję Przypisane.

    Zrzut ekranu przedstawiający stronę Właściwości jednostki administracyjnej z wyświetloną listą Typ członkostwa i Wybrana opcja Przypisano.

  6. Wybierz pozycję Zapisz , aby zapisać typ członkostwa.

    Zostanie wyświetlony następujący komunikat:

    Po zmianie typu jednostki administracyjnej reguła dynamiczna nie będzie już przetwarzana. Członkowie bieżącej jednostki administracyjnej pozostaną w jednostce administracyjnej, a jednostka administracyjna będzie miała przypisane członkostwo.

  7. Wybierz przycisk Tak, aby kontynuować.

    Gdy ustawienie typu członkostwa zostanie zmienione z dynamicznego na przypisane, bieżące elementy członkowskie pozostaną nienaruszone w jednostce administracyjnej. Ponadto włączono możliwość dodawania grup do jednostki administracyjnej.

PowerShell

Użyj polecenia Update-MgDirectory Administracja istrativeUnit, aby edytować regułę członkostwa dynamicznego.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Interfejsu API programu Microsoft Graph

Zmień ustawienie typu członkostwa za pomocą interfejsu API Update administrativeUnit .

Wniosek

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Treść

{
  "membershipType": "Assigned"
}

Następne kroki