Gerenciar usuários ou dispositivos para uma unidade administrativa com regras para grupos dinâmicos de associação
Você pode adicionar ou remover usuários ou dispositivos para unidades administrativas manualmente. Com grupos de associação dinâmicos, você pode adicionar ou remover usuários ou dispositivos para unidades administrativas dinamicamente usando regras. Este artigo descreve como criar unidades administrativas com regras para grupos dinâmicos de associação usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.
Nota
As regras de associação dinâmica para unidades administrativas podem ser criadas usando os mesmos atributos disponíveis para grupos de associação dinâmica. Para obter mais informações sobre os atributos específicos disponíveis e exemplos sobre como usá-los, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID.
Embora as unidades administrativas com membros atribuídos manualmente ofereçam suporte a vários tipos de objeto, como usuário, grupo e dispositivos, atualmente não é possível criar uma unidade administrativa com regras para grupos de associação dinâmica que inclua mais de um tipo de objeto. Por exemplo, você pode criar unidades administrativas com regras para grupos de associação dinâmica para usuários ou dispositivos, mas não ambos. Atualmente, não há suporte para unidades administrativas com regras para grupos de associação dinâmica.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2 para cada administrador de unidade administrativa
- Licença do Microsoft Entra ID P1 ou P2 para cada membro da unidade administrativa
- Administrador de Funções com Privilégios
- SDK do Microsoft Graph PowerShell instalado ao usar o PowerShell
- Consentimento do administrador ao usar o Graph Explorer para API do Microsoft Graph
- Nuvem global do Azure (não disponível em nuvens especializadas, como o Azure Government ou o Microsoft Azure operado pela 21Vianet)
Nota
As regras de associação dinâmica para unidades administrativas requerem uma licença P1 do Microsoft Entra ID para cada usuário exclusivo que seja membro de uma ou mais unidades administrativas dinâmicas. Não é necessário atribuir licenças aos usuários para que eles sejam membros de unidades administrativas dinâmicas, mas você deve ter o número mínimo de licenças na organização do Microsoft Entra para cobrir todos esses usuários. Por exemplo, se você tivesse um total de 1.000 usuários exclusivos em todas as unidades administrativas dinâmicas em sua organização, precisaria de pelo menos 1.000 licenças para o Microsoft Entra ID P1 para atender ao requisito de licença. Nenhuma licença é necessária para dispositivos que são membros de uma unidade administrativa para um grupo de associação dinâmica para dispositivos.
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Adicionar regras para grupos dinâmicos de membros
Siga estas etapas para criar unidades administrativas com regras para grupos de associação dinâmica para usuários ou dispositivos.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Selecione a unidade administrativa à qual pretende adicionar utilizadores ou dispositivos.
Selecione Propriedades.
Na lista Tipo de associação, selecione Usuário dinâmico ou Dispositivo dinâmico, dependendo do tipo de regra que você deseja adicionar.
Selecione Adicionar consulta dinâmica.
Use o construtor de regras para especificar a regra para grupos dinâmicos de associação. Para obter mais informações, consulte Construtor de regras no portal do Azure.
Quando terminar, selecione Salvar para salvar a regra para grupos dinâmicos de associação.
Na página Propriedades, selecione Salvar para salvar o tipo de associação e a consulta.
É apresentada a seguinte mensagem:
Depois de alterar o tipo de unidade administrativa, a associação existente pode ser alterada com base na regra para grupos de associação dinâmica que você fornece.
Selecione Sim para continuar.
Para conhecer as etapas sobre como editar sua regra, consulte a seção Editar regras para grupos dinâmicos de associação.
PowerShell
Crie uma regra de grupos de associação dinâmica. Para obter mais informações, consulte Gerenciar regras para grupos de associação dinâmica no Microsoft Entra ID.
Use o comando Connect-MgGraph para se conectar com o Microsoft Entra ID com um usuário ao qual tenha sido atribuída a função de Administrador de Função Privilegiada.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Use o comando New-MgDirectoryAdministrativeUnit para criar uma nova unidade administrativa com uma regra para grupos dinâmicos de associação usando os seguintes parâmetros:
MembershipType
:Dynamic
ouAssigned
MembershipRule
: Regra de associação dinâmica que você criou em uma etapa anteriorMembershipRuleProcessingState
:On
ouPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Crie uma regra para grupos dinâmicos de membros. Para obter mais informações, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.
Use a API Create administrativeUnit para criar uma nova unidade administrativa com uma regra para grupos dinâmicos de associação.
A seguir mostra um exemplo de uma regra para grupos de associação dinâmica que se aplica a dispositivos Windows.
Pedir
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corpo
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Editar regras para grupos dinâmicos de membros
Quando uma unidade administrativa foi configurada para grupos de associação dinâmica, os comandos usuais para adicionar ou remover membros para a unidade administrativa são desativados, pois o mecanismo de grupos de associação dinâmica mantém a propriedade exclusiva de adicionar ou remover membros. Para fazer alterações na associação, você pode editar as regras para grupos dinâmicos de associação.
Centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa que tem as regras para grupos dinâmicos de associação que você deseja editar.
Selecione Regras de associação para editar as regras para grupos dinâmicos de associação usando o construtor de regras.
Você também pode abrir o construtor de regras selecionando Regras de associação dinâmicas na navegação à esquerda.
Quando terminar, selecione Salvar para salvar as alterações de regra de grupos dinâmicos de associação.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra de grupos de associação dinâmica.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use a API Update administrativeUnit para editar a regra para grupos dinâmicos de associação.
Pedir
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Corpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Alterar uma unidade administrativa dinâmica para atribuída
Siga estas etapas para alterar uma unidade administrativa com regras para grupos dinâmicos de associação para uma unidade administrativa onde os membros são atribuídos manualmente.
Centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Funções de identidade>e unidades de administração de>administradores.
Selecione a unidade administrativa que você deseja alterar para atribuída.
Selecione Propriedades.
Na lista Tipo de associação , selecione Atribuído.
Selecione Salvar para salvar o tipo de associação.
É apresentada a seguinte mensagem:
Depois de alterar o tipo de unidade administrativa, a regra dinâmica não será mais processada. Os atuais membros da unidade administrativa permanecerão na unidade administrativa e a unidade administrativa terá membros atribuídos.
Selecione Sim para continuar.
Quando a configuração do tipo de associação é alterada de dinâmica para atribuída, os membros atuais permanecem intactos na unidade administrativa. Além disso, a capacidade de adicionar grupos à unidade administrativa está habilitada.
PowerShell
Use o comando Update-MgDirectoryAdministrativeUnit para editar a regra para grupos dinâmicos de associação.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Use a API Update administrativeUnit para alterar a configuração do tipo de associação.
Pedir
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Corpo
{
"membershipType": "Assigned"
}