Hantera användare eller enheter för en administrativ enhet med regler för dynamiskt medlemskap (förhandsversion)
Viktigt!
Regler för dynamiskt medlemskap för administrativa enheter finns för närvarande i FÖRHANDSVERSION. Se produktvillkoren för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Du kan lägga till eller ta bort användare eller enheter för administrativa enheter manuellt. Med den här förhandsversionen kan du lägga till eller ta bort användare eller enheter för administrativa enheter dynamiskt med hjälp av regler. Den här artikeln beskriver hur du skapar administrativa enheter med regler för dynamiskt medlemskap med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.
Kommentar
Regler för dynamiskt medlemskap för administrativa enheter kan skapas med samma attribut som är tillgängliga för dynamiska grupper. Mer information om de specifika attribut som är tillgängliga och exempel på hur du använder dem finns i Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID.
Även om administrativa enheter med medlemmar tilldelade manuellt stöder flera objekttyper, till exempel användare, grupper och enheter, går det för närvarande inte att skapa en administrativ enhet med regler för dynamiskt medlemskap som innehåller mer än en objekttyp. Du kan till exempel skapa administrativa enheter med regler för dynamiskt medlemskap för användare eller enheter, men inte båda. Administrativa enheter med regler för dynamiskt medlemskap för grupper stöds för närvarande inte.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
- Microsoft Entra ID P1- eller P2-licens för varje administrativ enhetsmedlem
- Privilegierad rolladministratör eller global administratör
- Microsoft Graph PowerShell SDK installerat när du använder PowerShell
- Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API
- Globalt Azure-moln (inte tillgängligt i specialiserade moln, till exempel Azure Government eller Microsoft Azure som drivs av 21Vianet)
Kommentar
Regler för dynamiskt medlemskap för administrativa enheter kräver en Microsoft Entra ID P1-licens för varje unik användare som är medlem i en eller flera dynamiska administrativa enheter. Du behöver inte tilldela licenser till användare för att de ska vara medlemmar i dynamiska administrativa enheter, men du måste ha det minsta antalet licenser i Microsoft Entra-organisationen för att täcka alla sådana användare. Om du till exempel hade totalt 1 000 unika användare i alla dynamiska administrativa enheter i din organisation skulle du behöva minst 1 000 licenser för Microsoft Entra ID P1 för att uppfylla licenskravet. Ingen licens krävs för enheter som är medlemmar i en dynamisk enhets administrativa enhet.
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Lägga till regler för dynamiskt medlemskap
Följ de här stegen för att skapa administrativa enheter med regler för dynamiskt medlemskap för användare eller enheter.
Microsoft Entra administrationscenter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Välj den administrativa enhet som du vill lägga till användare eller enheter i.
Välj Egenskaper.
I listan Medlemskapstyp väljer du Dynamisk användare eller Dynamisk enhet, beroende på vilken typ av regel du vill lägga till.
Välj Lägg till dynamisk fråga.
Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure-portalen.
När du är klar väljer du Spara för att spara regeln för dynamiskt medlemskap.
På sidan Egenskaper väljer du Spara för att spara medlemskapstypen och frågan.
Följande meddelande visas:
När du har ändrat den administrativa enhetstypen kan det befintliga medlemskapet ändras baserat på den regel för dynamiskt medlemskap som du anger.
Klicka på Ja när du vill fortsätta.
Anvisningar om hur du redigerar regeln finns i avsnittet Redigera regler för dynamiskt medlemskap.
PowerShell
Skapa en regel för dynamiskt medlemskap. Mer information finns i Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID.
Använd kommandot Anslut-MgGraph för att ansluta till Microsoft Entra-ID med en användare som har tilldelats rollen Privilegierad rolladministratör eller global administratör.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"Använd kommandot New-MgDirectoryAdministrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiskt medlemskap med hjälp av följande parametrar:
MembershipType:DynamicellerAssignedMembershipRule: Regeln för dynamiskt medlemskap som du skapade i ett tidigare stegMembershipRuleProcessingState:OnellerPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Skapa en regel för dynamiskt medlemskap. Mer information finns i Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID.
Använd API:et Create administrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiskt medlemskap.
Följande visar ett exempel på en regel för dynamiskt medlemskap som gäller för Windows-enheter.
Begäran
POST https://graph.microsoft.com/beta/administrativeUnitsBrödtext
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Redigera regler för dynamiskt medlemskap
När en administrativ enhet har konfigurerats för dynamiskt medlemskap inaktiveras de vanliga kommandona för att lägga till eller ta bort medlemmar för den administrativa enheten eftersom motorn för dynamiskt medlemskap behåller det enda ägarskapet för att lägga till eller ta bort medlemmar. Om du vill göra ändringar i medlemskapet kan du redigera reglerna för dynamiskt medlemskap.
Microsoft Entra administrationscenter
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Välj den administrativa enhet som har de regler för dynamiskt medlemskap som du vill redigera.
Välj Medlemskapsregler för att redigera reglerna för dynamiskt medlemskap med hjälp av regelverktyget.
Du kan också öppna regelverktyget genom att välja Regler för dynamiskt medlemskap i det vänstra navigeringsfältet.
När du är klar väljer du Spara för att spara ändringarna i regeln för dynamiskt medlemskap.
PowerShell
Använd kommandot Update-MgDirectoryAdministrativeUnit för att redigera regeln för dynamiskt medlemskap.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Använd API:et Update administrativeUnit för att redigera regeln för dynamiskt medlemskap.
Begäran
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Brödtext
{
"membershipRule": "(user.country -eq "Germany")"
}
Ändra en dynamisk administrativ enhet till tilldelad
Följ de här stegen för att ändra en administrativ enhet med regler för dynamiskt medlemskap till en administrativ enhet där medlemmar tilldelas manuellt.
Microsoft Entra administrationscenter
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Välj den administrativa enhet som du vill ändra till tilldelad.
Välj Egenskaper.
I listan Medlemskapstyp väljer du Tilldelad.
Välj Spara för att spara medlemskapstypen.
Följande meddelande visas:
När du har ändrat den administrativa enhetstypen bearbetas inte längre den dynamiska regeln. Nuvarande medlemmar i den administrativa enheten kommer att finnas kvar i den administrativa enheten och den administrativa enheten kommer att ha tilldelats medlemskap.
Klicka på Ja när du vill fortsätta.
När inställningen för medlemskapstyp ändras från dynamisk till tilldelad förblir de aktuella medlemmarna intakta i den administrativa enheten. Dessutom är möjligheten att lägga till grupper i den administrativa enheten aktiverad.
PowerShell
Använd kommandot Update-MgDirectoryAdministrativeUnit för att redigera regeln för dynamiskt medlemskap.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
Använd API:et Update administrativeUnit för att ändra inställningen för medlemskapstyp.
Begäran
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Brödtext
{
"membershipType": "Assigned"
}