Управление пользователями или устройствами для административной единицы с помощью правил динамического членства (предварительная версия)
Внимание
Правила динамического членства для административных единиц сейчас доступны в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Ознакомьтесь с условиями продукта для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Вы можете добавлять или удалять пользователей или устройства для административных единиц вручную. В этой предварительной версии вы можете динамически добавлять или удалять пользователей или устройства для административных единиц с помощью правил. В этой статье описывается создание административных единиц с правилами динамического членства с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.
Примечание.
Правила динамического членства для административных единиц можно создать с помощью тех же атрибутов, которые доступны для динамических групп. Дополнительные сведения о доступных атрибутах и примерах их использования см. в разделе "Правила динамического членства" для групп в идентификаторе Microsoft Entra.
Хотя административные единицы с членами, назначенными вручную, поддерживают несколько типов объектов, таких как пользователи, группы и устройства, сейчас невозможно создать административную единицу с динамическими правилами членства, включающими более одного типа объектов. Например, вы можете создавать административные единицы с динамическими правилами членства для пользователей или устройств, но не для пользователей и устройств одновременно. Административные единицы с динамическими правилами членства для групп сейчас не поддерживаются.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Лицензия Microsoft Entra ID P1 или P2 для каждого члена административной единицы
- Администратор привилегированных ролей
- Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
- Глобальное облако Azure (недоступно в специализированных облаках, таких как Azure для государственных организаций или Microsoft Azure, управляемые 21Vianet)
Примечание.
Правила динамического членства для административных единиц требуют лицензии Microsoft Entra ID P1 для каждого уникального пользователя, являющегося членом одной или нескольких динамических административных единиц. Вам не нужно назначать лицензии пользователям, чтобы они были членами динамических административных единиц, но у вас должно быть минимальное количество лицензий в организации Microsoft Entra, чтобы охватывать всех таких пользователей. Например, если в организации было всего 1000 уникальных пользователей во всех динамических административных единицах, вам потребуется не менее 1000 лицензий для Microsoft Entra ID P1 для удовлетворения требования лицензии. Лицензия не требуется для устройств, являющихся членами динамической административной единицы устройства.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Добавление правила динамического членства
Выполните следующие действия, чтобы создать административные единицы с правилами динамического членства для пользователей или устройств.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Выберите административную единицу, к которой нужно добавить пользователей или устройства.
Выберите Свойства.
В списке Тип членства выберите Динамический пользователь или Динамическое устройство в зависимости от типа добавляемого правила.
Выберите Добавить динамический запрос.
Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.
По завершении выберите Сохранить, чтобы сохранить правило динамического членства.
На странице Свойства выберите Сохранить, чтобы сохранить тип членства и запрос.
Отобразится следующее сообщение:
После изменения типа административной единицы существующее членство может измениться на основе предоставленного правила динамического членства.
Выберите Да для продолжения.
Инструкции по изменению правила см. в разделе Изменение правил динамического членства.
PowerShell
Создайте правило динамического членства. Дополнительные сведения см. в разделе "Правила динамического членства" для групп в идентификаторе Microsoft Entra.
Используйте команду Подключение-MgGraph для подключения к идентификатору Microsoft Entra с пользователем, которому назначена роль Администратор istrator привилегированной роли.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Используйте команду New-MgDirectory Администратор istrativeUnit, чтобы создать новую административную единицу с правилом динамического членства с помощью следующих параметров:
MembershipType:DynamicилиAssigned.MembershipRule: правило динамического членства, созданное на предыдущем шаге.MembershipRuleProcessingState:OnилиPaused.
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Создайте правило динамического членства. Дополнительные сведения см. в разделе "Правила динамического членства" для групп в идентификаторе Microsoft Entra.
Используйте API Create administrativeUnit, чтобы создать новую административную единицу с правилом динамического членства.
Ниже приведен пример правила динамического членства, которое применяется к устройствам Windows.
Запрос
POST https://graph.microsoft.com/beta/administrativeUnitsТекст
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Изменение правил динамического членства
После настройки административной единицы для динамического членства обычные команды для добавления или удаления членов для административной единицы отключаются, так как механизм динамического членства сохраняет монопольное право на добавление и удаление членов. Чтобы внести изменения в членство, можно изменить правила динамического членства.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу с правилами динамического членства, которые вы хотите изменить.
Выберите Правила членства, чтобы изменить правила динамического членства с помощью построителя правил.
Вы также можете открыть конструктор правил, выбрав Динамические правила членства в области навигации слева.
По завершении выберите Сохранить, чтобы сохранить правило динамического членства.
PowerShell
Используйте команду Update-MgDirectory Администратор istrativeUnit, чтобы изменить правило динамического членства.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Используйте API Update administratorUnit, чтобы изменить правило динамического членства.
Запрос
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Текст
{
"membershipRule": "(user.country -eq "Germany")"
}
Изменить динамическую административную единицу на назначенную
Выполните следующие действия, чтобы изменить административную единицу с динамическими правилами членства на административную единицу, члены которой назначаются вручную.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, которую необходимо изменить на назначенную.
Выберите Свойства.
В списке Тип членства выберите Назначено.
Выберите Сохранить, чтобы сохранить тип членства.
Отобразится следующее сообщение:
После изменения типа административной единицы динамическое правило больше не будет обрабатываться. Текущие члены административной единицы останутся в административной единице, а самой административной единице будет назначено членство.
Выберите Да для продолжения.
Когда параметр типа членства меняется с динамического на назначенный, текущие члены в административной единице остаются незатронутыми. Дополнительно включена возможность добавления групп в административную единицу.
PowerShell
Используйте команду Update-MgDirectory Администратор istrativeUnit, чтобы изменить правило динамического членства.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Используйте API Update administratorUnit, чтобы изменить параметр типа членства.
Запрос
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Текст
{
"membershipType": "Assigned"
}
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по