Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł członkostwa dynamicznego (wersja zapoznawcza)
Ważne
Reguły członkostwa dynamicznego dla jednostek administracyjnych są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.
Możesz ręcznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych. Dzięki tej wersji zapoznawczej możesz dynamicznie dodawać lub usuwać użytkowników lub urządzenia dla jednostek administracyjnych przy użyciu reguł. W tym artykule opisano sposób tworzenia jednostek administracyjnych przy użyciu reguł członkostwa dynamicznego przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.
Uwaga
Reguły członkostwa dynamicznego dla jednostek administracyjnych można tworzyć przy użyciu tych samych atrybutów, jakie są dostępne dla grup dynamicznych. Aby uzyskać więcej informacji na temat dostępnych atrybutów i przykładów dotyczących sposobu ich używania, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.
Chociaż jednostki administracyjne z przypisanymi członkami ręcznie obsługują wiele typów obiektów, takich jak użytkownik, grupa i urządzenia, obecnie nie można utworzyć jednostki administracyjnej z regułami członkostwa dynamicznego, które zawierają więcej niż jeden typ obiektu. Można na przykład utworzyć jednostki administracyjne z dynamicznymi regułami członkostwa dla użytkowników lub urządzeń, ale nie dla obu. Administracja istracyjne jednostki z regułami członkostwa dynamicznego dla grup nie są obecnie obsługiwane.
Wymagania wstępne
- Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
- Licencja microsoft Entra ID P1 lub P2 dla każdego członka jednostki administracyjnej
- Administrator ról uprzywilejowanych
- Zestaw Microsoft Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell
- Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
- Globalna chmura platformy Azure (niedostępna w wyspecjalizowanych chmurach, takich jak Azure Government lub Microsoft Azure obsługiwana przez firmę 21Vianet)
Uwaga
Reguły członkostwa dynamicznego dla jednostek administracyjnych wymagają licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej jednostki administracyjnej. Nie musisz przypisywać licencji do użytkowników, aby należeli do dynamicznych jednostek administracyjnych, ale musisz mieć minimalną liczbę licencji w organizacji Microsoft Entra, aby objąć wszystkich takich użytkowników. Jeśli na przykład masz łącznie 1000 unikatowych użytkowników we wszystkich dynamicznych jednostkach administracyjnych w organizacji, potrzebujesz co najmniej 1000 licencji dla firmy Microsoft Entra ID P1, aby spełnić wymagania licencyjne. Nie jest wymagana licencja dla urządzeń będących członkami jednostki administracyjnej urządzenia dynamicznego.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Dodawanie reguł członkostwa dynamicznego
Wykonaj następujące kroki, aby utworzyć jednostki administracyjne z regułami członkostwa dynamicznego dla użytkowników lub urządzeń.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Wybierz jednostkę administracyjną, do której chcesz dodać użytkowników lub urządzenia.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Użytkownik dynamiczny lub Urządzenie dynamiczne w zależności od typu reguły, którą chcesz dodać.
Wybierz pozycję Dodaj zapytanie dynamiczne.
Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.
Po zakończeniu wybierz pozycję Zapisz , aby zapisać regułę członkostwa dynamicznego.
Na stronie Właściwości wybierz pozycję Zapisz, aby zapisać typ członkostwa i zapytanie.
Zostanie wyświetlony następujący komunikat:
Po zmianie typu jednostki administracyjnej istniejące członkostwo może ulec zmianie na podstawie podanej reguły członkostwa dynamicznego.
Wybierz przycisk Tak, aby kontynuować.
Aby uzyskać instrukcje dotyczące edytowania reguły, zobacz następującą sekcję Edytowanie reguł członkostwa dynamicznego.
PowerShell
Utwórz regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.
Użyj polecenia Połączenie-MgGraph, aby nawiązać połączenie z identyfikatorem Entra firmy Microsoft z użytkownikiem, któremu przypisano rolę privileged role Administracja istrator.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Użyj polecenia New-MgDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną z regułą członkostwa dynamicznego przy użyciu następujących parametrów:
MembershipType
:Dynamic
lubAssigned
MembershipRule
: Reguła członkostwa dynamicznego utworzona w poprzednim krokuMembershipRuleProcessingState
:On
lubPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Interfejsu API programu Microsoft Graph
Utwórz regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.
Utwórz interfejs API administrativeUnit, aby utworzyć nową jednostkę administracyjną z dynamiczną regułą członkostwa.
Poniżej przedstawiono przykład reguły członkostwa dynamicznego, która ma zastosowanie do urządzeń z systemem Windows.
Wniosek
POST https://graph.microsoft.com/beta/administrativeUnits
Treść
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Edytowanie reguł członkostwa dynamicznego
Po skonfigurowaniu jednostki administracyjnej na potrzeby członkostwa dynamicznego zwykłe polecenia służące do dodawania lub usuwania członków jednostki administracyjnej są wyłączone, ponieważ aparat członkostwa dynamicznego zachowuje wyłączną własność dodawania lub usuwania członków. Aby wprowadzić zmiany w członkostwie, możesz edytować reguły członkostwa dynamicznego.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną zawierającą reguły członkostwa dynamicznego, które chcesz edytować.
Wybierz pozycję Reguły członkostwa, aby edytować reguły członkostwa dynamicznego przy użyciu konstruktora reguł.
Możesz również otworzyć konstruktora reguł, wybierając pozycję Dynamiczne reguły członkostwa w obszarze nawigacji po lewej stronie.
Po zakończeniu wybierz pozycję Zapisz , aby zapisać zmiany reguły członkostwa dynamicznego.
PowerShell
Użyj polecenia Update-MgDirectory Administracja istrativeUnit, aby edytować regułę członkostwa dynamicznego.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Interfejsu API programu Microsoft Graph
Użyj interfejsu API Update administrativeUnit , aby edytować regułę członkostwa dynamicznego.
Wniosek
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Treść
{
"membershipRule": "(user.country -eq "Germany")"
}
Zmiana dynamicznej jednostki administracyjnej na przypisaną
Wykonaj następujące kroki, aby zmienić jednostkę administracyjną przy użyciu reguł członkostwa dynamicznego na jednostkę administracyjną, w której członkowie są przypisywani ręcznie.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną, którą chcesz zmienić na przypisaną.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Przypisane.
Wybierz pozycję Zapisz , aby zapisać typ członkostwa.
Zostanie wyświetlony następujący komunikat:
Po zmianie typu jednostki administracyjnej reguła dynamiczna nie będzie już przetwarzana. Członkowie bieżącej jednostki administracyjnej pozostaną w jednostce administracyjnej, a jednostka administracyjna będzie miała przypisane członkostwo.
Wybierz przycisk Tak, aby kontynuować.
Gdy ustawienie typu członkostwa zostanie zmienione z dynamicznego na przypisane, bieżące elementy członkowskie pozostaną nienaruszone w jednostce administracyjnej. Ponadto włączono możliwość dodawania grup do jednostki administracyjnej.
PowerShell
Użyj polecenia Update-MgDirectory Administracja istrativeUnit, aby edytować regułę członkostwa dynamicznego.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Interfejsu API programu Microsoft Graph
Zmień ustawienie typu członkostwa za pomocą interfejsu API Update administrativeUnit .
Wniosek
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Treść
{
"membershipType": "Assigned"
}