Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de associação dinâmica (versão prévia)
Importante
As regras de associação dinâmica de unidades administrativas estão atualmente em versão prévia. Consulte os Termos do produto para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, visualização ou ainda não lançados para disponibilidade geral.
Você pode adicionar ou remover manualmente usuários ou dispositivos de unidades administrativas. Com essa versão prévia, você pode adicionar ou remover dinamicamente usuários ou dispositivos de unidades administrativas usando as regras. Este artigo descreve como criar unidades administrativas com regras de associação dinâmica usando o Centro de administração do Microsoft Entra, PowerShell ou API do Microsoft Graph.
Observação
As regras de associação dinâmica para unidades administrativas podem ser criadas usando os mesmos atributos disponíveis para grupos dinâmicos. Para obter mais informações sobre os atributos específicos disponíveis e exemplos sobre como usá-los, confira Regras de associação dinâmica para grupos no Microsoft Entra.
Embora as unidades administrativas com membros atribuídos manualmente deem suporte a vários tipos de objeto, como usuário, grupo e dispositivos, atualmente não é possível criar uma unidade administrativa com regras de associação dinâmica que incluam mais de um tipo de objeto. Por exemplo, você pode criar unidades administrativas com regras de associação dinâmica para usuários ou dispositivos, mas não ambos. Atualmente, não há suporte para unidades administrativas com regras de associação dinâmica para grupos.
Pré-requisitos
- Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
- Licença P1 ou P2 do Microsoft Entra ID para cada membro de unidade administrativa
- Administrador de função com privilégios ou Administrador global
- SDK do PowerShell do Microsoft Graph instalado ao usar o PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
- Nuvem global do Azure (não disponível em nuvens especializadas, como o Azure Governamental ou o Microsoft Azure operado pela 21Vianet)
Observação
As regras de associação dinâmica para unidades administrativas exigem uma licença Microsoft Entra ID P1 para cada usuário único que seja membro de uma ou mais unidades administrativas dinâmicas. Você não precisa atribuir licenças aos usuários para que eles sejam membros de unidades administrativas dinâmicas, mas é necessário ter o número mínimo de licenças na organização do Microsoft Entra que abranja todos esses usuários. Por exemplo, se você tiver mil usuários únicos em todas as unidades administrativas dinâmicas na organização no total, serão necessárias pelo menos mil licenças Microsoft Entra ID P1 para atender ao requisito de licença. Nenhuma licença é necessária para dispositivos que são membros de uma unidade administrativa do dispositivo dinâmico.
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Adicionar regras de associação dinâmica
Siga estas etapas para criar unidades administrativas com regras de associação dinâmica para usuários ou dispositivos.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Selecione a unidade administrativa à qual você deseja adicionar usuários ou dispositivos.
Selecione Propriedades.
Na lista Tipo de associação, selecione Usuário Dinâmico ou Dispositivo Dinâmico, dependendo do tipo de regra que você deseja adicionar.
Selecione Adicionar consulta dinâmica.
Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.
Quando terminar, selecione Salvar para salvar a regra de associação dinâmica.
Na página Propriedades, selecione Salvar para salvar o tipo de associação e a consulta.
A seguinte mensagem é exibida:
Depois de alterar o tipo de unidade administrativa, a associação existente pode mudar com base na regra de associação dinâmica fornecida.
Clique em Sim para continuar.
Para ver as etapas sobre como editar sua regra, confira a seção Editar regras de associação dinâmica a seguir.
PowerShell
Crie uma regra de associação dinâmica. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Use o comando Connect-MgGraph para se conectar ao Microsoft Entra ID com um usuário que tenha sido atribuído à função Administrador de Funções com Privilégios ou Administrador Global.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa com uma regra de associação dinâmica usando os seguintes parâmetros:
MembershipType:DynamicouAssignedMembershipRule: regra de associação dinâmica criada em uma etapa anteriorMembershipRuleProcessingState:OnouPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API do Microsoft Graph
Crie uma regra de associação dinâmica. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Use a API Criar administrativeUnit para criar uma unidade administrativa com uma regra de associação dinâmica.
Veja a seguir um exemplo de uma regra de associação dinâmica que se aplica a dispositivos Windows.
Solicitação
POST https://graph.microsoft.com/beta/administrativeUnitsCorpo
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Editar regras de associação dinâmica
Quando uma unidade administrativa é configurada para associação dinâmica, os comandos usuais para adicionar ou remover membros da unidade administrativa são desabilitados, pois o mecanismo de associação dinâmica retém a propriedade exclusiva da adição ou remoção de membros. Para fazer alterações na associação, você pode editar as regras de associação dinâmica.
Centro de administração do Microsoft Entra
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa que tem as regras de associação dinâmica que você deseja editar.
Selecione Regras de associação para editar as regras de associação dinâmica usando o construtor de regras.
Você também pode abrir o construtor de regras selecionando Regras de associação dinâmicas no painel de navegação esquerdo.
Quando terminar, selecione Salvar para salvar as alterações na regra de associação dinâmica.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de associação dinâmica.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API do Microsoft Graph
Use a API Atualizar administrativeUnit para editar a regra de associação dinâmica.
Solicitação
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Alterar uma unidade administrativa dinâmica a ser atribuída
Siga estas etapas para alterar uma unidade administrativa com as regras de associação dinâmica para uma unidade administrativa em que os membros são atribuídos manualmente.
Centro de administração do Microsoft Entra
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa para a qual você deseja alterar para atribuída.
Selecione Propriedades.
Na lista Tipo de associação, selecione Atribuído.
Selecione Salvar para salvar o tipo de associação.
A seguinte mensagem é exibida:
Depois de alterar o tipo de unidade administrativa, a regra dinâmica não será mais processada. Os membros atuais da unidade administrativa permanecerão nela e ela terá a associação atribuída.
Clique em Sim para continuar.
Quando a configuração de tipo de associação é alterada de dinâmica para atribuída, os membros atuais permanecem intactos na unidade administrativa. Além disso, a capacidade de adicionar grupos à unidade administrativa está habilitada.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de associação dinâmica.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API do Microsoft Graph
Use a API Atualizar administrativeUnit para alterar a configuração de tipo de associação.
Solicitação
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipType": "Assigned"
}