Gerenciar usuários ou dispositivos para uma unidade administrativa com regras de associação dinâmicas (Visualização)
Importante
As regras de associação dinâmica para unidades administrativas estão atualmente em pré-visualização. Consulte os Termos do Produto para obter os termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.
Você pode adicionar ou remover usuários ou dispositivos para unidades administrativas manualmente. Com essa visualização, você pode adicionar ou remover usuários ou dispositivos para unidades administrativas dinamicamente usando regras. Este artigo descreve como criar unidades administrativas com regras de associação dinâmicas usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.
Nota
As regras de associação dinâmicas para unidades administrativas podem ser criadas com os mesmos atributos disponíveis para grupos dinâmicos. Para obter mais informações sobre os atributos específicos disponíveis e exemplos sobre como usá-los, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Embora as unidades administrativas com membros atribuídos manualmente ofereçam suporte a vários tipos de objeto, como usuário, grupo e dispositivos, atualmente não é possível criar uma unidade administrativa com regras de associação dinâmicas que inclua mais de um tipo de objeto. Por exemplo, você pode criar unidades administrativas com regras de associação dinâmicas para usuários ou dispositivos, mas não ambos. No momento, não há suporte para unidades administrativas com regras de associação dinâmicas para grupos.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
- Licença do Microsoft Entra ID P1 ou P2 para cada membro da unidade administrativa
- Administrador de Funções com Privilégios
- SDK do Microsoft Graph PowerShell instalado ao usar o PowerShell
- Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph
- Nuvem global do Azure (não disponível em nuvens especializadas, como o Azure Government ou o Microsoft Azure operado pela 21Vianet)
Nota
As regras de associação dinâmica para unidades administrativas requerem uma licença P1 do Microsoft Entra ID para cada usuário exclusivo que seja membro de uma ou mais unidades administrativas dinâmicas. Não é necessário atribuir licenças aos usuários para que eles sejam membros de unidades administrativas dinâmicas, mas você deve ter o número mínimo de licenças na organização do Microsoft Entra para cobrir todos esses usuários. Por exemplo, se você tivesse um total de 1.000 usuários exclusivos em todas as unidades administrativas dinâmicas em sua organização, precisaria de pelo menos 1.000 licenças para o Microsoft Entra ID P1 para atender ao requisito de licença. Nenhuma licença é necessária para dispositivos que são membros de uma unidade administrativa de dispositivo dinâmico.
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Adicionar regras de associação dinâmica
Siga estas etapas para criar unidades administrativas com regras de associação dinâmicas para usuários ou dispositivos.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Selecione a unidade administrativa à qual pretende adicionar utilizadores ou dispositivos.
Selecione Propriedades.
Na lista Tipo de associação, selecione Usuário dinâmico ou Dispositivo dinâmico, dependendo do tipo de regra que você deseja adicionar.
Selecione Adicionar consulta dinâmica.
Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, consulte Construtor de regras no portal do Azure.
Quando terminar, selecione Salvar para salvar a regra de associação dinâmica.
Na página Propriedades, selecione Salvar para salvar o tipo de associação e a consulta.
É apresentada a seguinte mensagem:
Depois de alterar o tipo de unidade administrativa, a associação existente pode mudar com base na regra de associação dinâmica fornecida.
Selecione Sim para continuar.
Para conhecer as etapas sobre como editar sua regra, consulte a seção Editar regras de associação dinâmicas a seguir.
PowerShell
Crie uma regra de associação dinâmica. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Use o comando Connect-MgGraph para se conectar com o Microsoft Entra ID com um usuário ao qual tenha sido atribuída a função de Administrador de Função Privilegiada.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa com uma regra de associação dinâmica usando os seguintes parâmetros:
MembershipType:DynamicouAssignedMembershipRule: Regra de associação dinâmica que você criou em uma etapa anteriorMembershipRuleProcessingState:OnouPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Crie uma regra de associação dinâmica. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Use a API Create administrativeUnit para criar uma nova unidade administrativa com uma regra de associação dinâmica.
A seguir mostra um exemplo de uma regra de associação dinâmica que se aplica a dispositivos Windows.
Pedir
POST https://graph.microsoft.com/beta/administrativeUnitsCorpo
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Editar regras de associação dinâmica
Quando uma unidade administrativa é configurada para associação dinâmica, os comandos usuais para adicionar ou remover membros para a unidade administrativa são desativados, pois o mecanismo de associação dinâmica mantém a propriedade exclusiva de adicionar ou remover membros. Para fazer alterações na associação, você pode editar as regras de associação dinâmica.
Centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa que tem as regras de associação dinâmicas que você deseja editar.
Selecione Regras de associação para editar as regras de associação dinâmicas usando o construtor de regras.
Você também pode abrir o construtor de regras selecionando Regras de associação dinâmicas na navegação à esquerda.
Quando terminar, selecione Salvar para salvar as alterações dinâmicas da regra de associação.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de associação dinâmica.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use a API Update administrativeUnit para editar a regra de associação dinâmica.
Pedir
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Alterar uma unidade administrativa dinâmica para atribuída
Siga estas etapas para alterar uma unidade administrativa com regras de associação dinâmicas para uma unidade administrativa onde os membros são atribuídos manualmente.
Centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa que você deseja alterar para atribuída.
Selecione Propriedades.
Na lista Tipo de associação , selecione Atribuído.
Selecione Salvar para salvar o tipo de associação.
É apresentada a seguinte mensagem:
Depois de alterar o tipo de unidade administrativa, a regra dinâmica não será mais processada. Os atuais membros da unidade administrativa permanecerão na unidade administrativa e a unidade administrativa terá membros atribuídos.
Selecione Sim para continuar.
Quando a configuração do tipo de associação é alterada de dinâmica para atribuída, os membros atuais permanecem intactos na unidade administrativa. Além disso, a capacidade de adicionar grupos à unidade administrativa está habilitada.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de associação dinâmica.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use a API Update administrativeUnit para alterar a configuração do tipo de associação.
Pedir
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipType": "Assigned"
}