Hantera användare eller enheter för en administrativ enhet med regler för dynamiskt medlemskap (förhandsversion)

Viktigt

Regler för dynamiskt medlemskap för administrativa enheter finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Du kan lägga till eller ta bort användare eller enheter för administrativa enheter manuellt. Med den här förhandsversionen kan du lägga till eller ta bort användare eller enheter för administrativa enheter dynamiskt med hjälp av regler. Den här artikeln beskriver hur du skapar administrativa enheter med regler för dynamiskt medlemskap med hjälp av Azure Portal, PowerShell eller Microsoft Graph API.

Anteckning

Regler för dynamiskt medlemskap för administrativa enheter kan skapas med samma attribut som är tillgängliga för dynamiska grupper. Mer information om de specifika attribut som är tillgängliga och exempel på hur du använder dem finns i Regler för dynamiskt medlemskap för grupper i Azure Active Directory.

Även om administrativa enheter med medlemmar som tilldelats manuellt stöder flera objekttyper, till exempel användare, grupper och enheter, är det för närvarande inte möjligt att skapa en administrativ enhet med regler för dynamiskt medlemskap som innehåller mer än en objekttyp. Du kan till exempel skapa administrativa enheter med regler för dynamiskt medlemskap för användare eller enheter, men inte båda. Administrativa enheter med regler för dynamiskt medlemskap för grupper stöds för närvarande inte.

Förutsättningar

  • Azure AD Premium P1- eller P2-licens för varje administratörsenhetsadministratör
  • Azure AD Premium P1- eller P2-licens för varje administrativ enhetsmedlem
  • Privilegierad rolladministratör eller global administratör
  • AzureADPreview-modul när du använder PowerShell
  • Admin medgivande när du använder Graph Explorer för Microsoft Graph API
  • Globalt Azure-moln (inte tillgängligt i specialiserade moln, till exempel Azure Government eller Azure Kina)

Anteckning

Regler för dynamiskt medlemskap för administrativa enheter kräver en Azure AD Premium P1 licens för varje unik användare som är medlem i en eller flera dynamiska administrativa enheter. Du behöver inte tilldela licenser till användare för att de ska vara medlemmar i dynamiska administrativa enheter, men du måste ha det minsta antalet licenser i Azure AD organisation för att täcka alla sådana användare. Om du till exempel hade totalt 1 000 unika användare i alla dynamiska administrativa enheter i din organisation skulle du behöva minst 1 000 licenser för Azure AD Premium P1 för att uppfylla licenskravet. Ingen licens krävs för enheter som är medlemmar i en dynamisk enhet.

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Lägga till regler för dynamiskt medlemskap

Följ de här stegen för att skapa administrativa enheter med regler för dynamiskt medlemskap för användare eller enheter.

Azure Portal

  1. Logga in på administrationscentret för Azure Portal eller Azure AD.

  2. Välj Azure Active Directory.

  3. Välj Administrativa enheter och välj sedan den administrativa enhet som du vill lägga till användare eller enheter i.

  4. Välj Egenskaper.

  5. I listan Medlemskapstyp väljer du Dynamisk användare eller Dynamisk enhet, beroende på vilken typ av regel du vill lägga till.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  6. Välj Lägg till dynamisk fråga.

  7. Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure Portal.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  8. När du är klar väljer du Spara för att spara regeln för dynamiskt medlemskap.

  9. På sidan Egenskaper väljer du Spara för att spara medlemskapstypen och frågan.

    Följande meddelande visas:

    När du har ändrat typ av administrativ enhet kan det befintliga medlemskapet ändras baserat på den regel för dynamiskt medlemskap som du anger.

  10. Fortsätt genom att välja Ja.

Anvisningar om hur du redigerar regeln finns i avsnittet Redigera regler för dynamiskt medlemskap .

PowerShell

  1. Skapa en regel för dynamiskt medlemskap. Mer information finns i Regler för dynamiskt medlemskap för grupper i Azure Active Directory.

  2. Använd kommandot Anslut-AzureAD för att ansluta till Azure Active Directory med en användare som har tilldelats rollen Privilegierad rolladministratör eller Global administratör.

    # Connect to Azure AD
    Connect-AzureAD
    
  3. Använd kommandot New-AzureADMSAdministrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiskt medlemskap med hjälp av följande parametrar:

    • MembershipType: Dynamic eller Assigned
    • MembershipRule: Regeln för dynamiskt medlemskap som du skapade i ett tidigare steg
    • MembershipRuleProcessingState: On eller Paused
    # Create an administrative unit for users in the United States
    $adminUnit = New-AzureADMSAdministrativeUnit -DisplayName "Example Admin Unit" -Description "Example Dynamic Membership Admin Unit" -MembershipType "Dynamic" -MembershipRuleProcessingState "On" -MembershipRule '(user.country -eq "United States")' 
    

Microsoft Graph API

  1. Skapa en regel för dynamiskt medlemskap. Mer information finns i Regler för dynamiskt medlemskap för grupper i Azure Active Directory.

  2. Använd API:et Create administrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiskt medlemskap.

    Följande visar ett exempel på en regel för dynamiskt medlemskap som gäller för Windows enheter.

    Förfrågan

    POST https://graph.microsoft.com/beta/administrativeUnits
    

    Brödtext

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(device.deviceOSType -eq \"Windows\")",
      "membershipRuleProcessingState": "On"
    }
    

Redigera regler för dynamiskt medlemskap

När en administrativ enhet har konfigurerats för dynamiskt medlemskap inaktiveras de vanliga kommandona för att lägga till eller ta bort medlemmar för den administrativa enheten eftersom motorn för dynamiskt medlemskap behåller det enda ägarskapet för att lägga till eller ta bort medlemmar. Om du vill göra ändringar i medlemskapet kan du redigera reglerna för dynamiskt medlemskap.

Azure Portal

  1. Logga in på administrationscentret för Azure Portal eller Azure AD.

  2. Välj Azure Active Directory.

  3. Välj Administrativa enheter och välj sedan den administrativa enhet som har de regler för dynamiskt medlemskap som du vill redigera.

  4. Välj Medlemskapsregler för att redigera reglerna för dynamiskt medlemskap med hjälp av regelverktyget.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Du kan också öppna regelverktyget genom att välja Regler för dynamiskt medlemskap i det vänstra navigeringsfältet.

  5. När du är klar väljer du Spara för att spara ändringarna i regeln för dynamiskt medlemskap.

PowerShell

Använd kommandot Set-AzureADMSAdministrativeUnit för att redigera regeln för dynamiskt medlemskap.

# Set a new dynamic membership rule for an administrative unit
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipRule '(user.country -eq "Germany")'

Microsoft Graph API

Använd API:et Update administrativeUnit för att redigera regeln för dynamiskt medlemskap.

Förfrågan

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Brödtext

{
  "membershipRule": "(user.country -eq "Germany")"
}

Ändra en dynamisk administrativ enhet till tilldelad

Följ de här stegen för att ändra en administrativ enhet med regler för dynamiskt medlemskap till en administrativ enhet där medlemmar tilldelas manuellt.

Azure Portal

  1. Logga in på administrationscentret för Azure Portal eller Azure AD.

  2. Välj Azure Active Directory.

  3. Välj Administrativa enheter och välj sedan den administrativa enhet som du vill ändra till tilldelad.

  4. Välj Egenskaper.

  5. I listan Medlemskapstyp väljer du Tilldelad.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Välj Spara för att spara medlemskapstypen.

    Följande meddelande visas:

    När du har ändrat den administrativa enhetstypen bearbetas inte längre den dynamiska regeln. Nuvarande medlemmar i den administrativa enheten kommer att finnas kvar i den administrativa enheten och den administrativa enheten kommer att ha tilldelats medlemskap.

  7. Fortsätt genom att välja Ja.

    När inställningen för medlemskapstyp ändras från dynamisk till tilldelad förblir de aktuella medlemmarna intakta i den administrativa enheten. Dessutom är möjligheten att lägga till grupper i den administrativa enheten aktiverad.

PowerShell

Använd kommandot Set-AzureADMSAdministrativeUnit för att ändra inställningen för medlemskapstyp.

# Change an administrative unit to assigned
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipType "Assigned" -MembershipRuleProcessingState "Paused"

Microsoft Graph API

Använd API:et Update administrativeUnit för att ändra inställningen för medlemskapstyp.

Förfrågan

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Brödtext

{
  "membershipType": "Assigned"
}

Nästa steg