Dela via


Hantera användare eller enheter för en administrativ enhet med regler för dynamiska medlemskapsgrupper

Du kan lägga till eller ta bort användare eller enheter för administrativa enheter manuellt. Med dynamiska medlemskapsgrupper kan du lägga till eller ta bort användare eller enheter för administrativa enheter dynamiskt med hjälp av regler. Den här artikeln beskriver hur du skapar administrativa enheter med regler för dynamiska medlemskapsgrupper med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.

Kommentar

Regler för dynamiskt medlemskap för administrativa enheter kan skapas med samma attribut som är tillgängliga för dynamiska medlemskapsgrupper. Mer information om de specifika attribut som är tillgängliga och exempel på hur du använder dem finns i Hantera regler för dynamiska medlemskapsgrupper i Microsoft Entra-ID.

Även om administrativa enheter med medlemmar tilldelade manuellt stöder flera objekttyper, till exempel användare, grupper och enheter, är det för närvarande inte möjligt att skapa en administrativ enhet med regler för dynamiska medlemskapsgrupper som innehåller mer än en objekttyp. Du kan till exempel skapa administrativa enheter med regler för dynamiska medlemskapsgrupper för användare eller enheter, men inte båda. Administrativa enheter med regler för dynamiska medlemskapsgrupper för grupper stöds för närvarande inte.

Förutsättningar

  • Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
  • Microsoft Entra ID P1- eller P2-licens för varje administrativ enhetsmedlem
  • Administratör för privilegierad roll
  • Microsoft Graph PowerShell SDK installerat när du använder PowerShell
  • Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API
  • Globalt Azure-moln (inte tillgängligt i specialiserade moln, till exempel Azure Government eller Microsoft Azure som drivs av 21Vianet)

Kommentar

Regler för dynamiskt medlemskap för administrativa enheter kräver en Microsoft Entra ID P1-licens för varje unik användare som är medlem i en eller flera dynamiska administrativa enheter. Du behöver inte tilldela licenser till användare för att de ska vara medlemmar i dynamiska administrativa enheter, men du måste ha det minsta antalet licenser i Microsoft Entra-organisationen för att täcka alla sådana användare. Om du till exempel hade totalt 1 000 unika användare i alla dynamiska administrativa enheter i din organisation skulle du behöva minst 1 000 licenser för Microsoft Entra ID P1 för att uppfylla licenskravet. Ingen licens krävs för enheter som är medlemmar i en administrativ enhet för en dynamisk medlemskapsgrupp för enheter.

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Lägga till regler för dynamiska medlemskapsgrupper

Följ de här stegen för att skapa administrativa enheter med regler för dynamiska medlemskapsgrupper för användare eller enheter.

Microsoft Entra administrationscenter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Välj den administrativa enhet som du vill lägga till användare eller enheter i.

  3. Välj Egenskaper.

  4. I listan Medlemskapstyp väljer du Dynamisk användare eller Dynamisk enhet, beroende på vilken typ av regel du vill lägga till.

    Skärmbild av sidan Egenskaper för administrativ enhet med listan Medlemskapstyp visas.

  5. Välj Lägg till dynamisk fråga.

  6. Använd regelverktyget för att ange regeln för dynamiska medlemskapsgrupper. Mer information finns i Regelbyggare i Azure Portal.

    Skärmbild av sidan Regler för dynamiskt medlemskap som visar regelbyggare med egenskap, operator och värde.

  7. När du är klar väljer du Spara för att spara regeln för dynamiska medlemskapsgrupper.

  8. På sidan Egenskaper väljer du Spara för att spara medlemskapstypen och frågan.

    Följande meddelande visas:

    När du har ändrat typ av administrativ enhet kan det befintliga medlemskapet ändras baserat på regeln för dynamiska medlemskapsgrupper som du anger.

  9. Klicka på Ja när du vill fortsätta.

Anvisningar om hur du redigerar regeln finns i avsnittet Redigera regler för dynamiska medlemskapsgrupper .

PowerShell

  1. Skapa en regel för dynamiska medlemskapsgrupper. Mer information finns i Hantera regler för dynamiska medlemskapsgrupper i Microsoft Entra-ID.

  2. Använd kommandot Connect-MgGraph för att ansluta med Microsoft Entra-ID med en användare som har tilldelats rollen Privilegierad rolladministratör.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. Använd kommandot New-MgDirectoryAdministrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiska medlemskapsgrupper med hjälp av följande parametrar:

    • MembershipType: Dynamic eller Assigned
    • MembershipRule: Regeln för dynamiskt medlemskap som du skapade i ett tidigare steg
    • MembershipRuleProcessingState: On eller Paused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

Microsoft Graph API

  1. Skapa en regel för dynamiska medlemskapsgrupper. Mer information finns i Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID.

  2. Använd API:et Create administrativeUnit för att skapa en ny administrativ enhet med en regel för dynamiska medlemskapsgrupper.

    Följande visar ett exempel på en regel för dynamiska medlemskapsgrupper som gäller för Windows-enheter.

    Begäran

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
    

    Brödtext

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

Redigera regler för dynamiska medlemskapsgrupper

När en administrativ enhet har konfigurerats för dynamiska medlemskapsgrupper inaktiveras de vanliga kommandona för att lägga till eller ta bort medlemmar för den administrativa enheten eftersom motorn för dynamiska medlemskapsgrupper behåller det enda ägarskapet för att lägga till eller ta bort medlemmar. Om du vill göra ändringar i medlemskapet kan du redigera reglerna för dynamiska medlemskapsgrupper.

Microsoft Entra administrationscenter

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).

  3. Välj den administrativa enhet som har regler för dynamiska medlemskapsgrupper som du vill redigera.

  4. Välj Medlemskapsregler för att redigera reglerna för dynamiska medlemskapsgrupper med hjälp av regelverktyget.

    Skärmbild av en administrativ enhet med alternativ för medlemskapsregler och regler för dynamiskt medlemskap för att öppna regelverktyget.

    Du kan också öppna regelverktyget genom att välja Regler för dynamiskt medlemskap i det vänstra navigeringsfältet.

  5. När du är klar väljer du Spara för att spara regeländringarna för dynamiska medlemskapsgrupper.

PowerShell

Använd kommandot Update-MgDirectoryAdministrativeUnit för att redigera regeln för dynamiska medlemskapsgrupper.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Använd API:et Update administrativeUnit för att redigera regeln för dynamiska medlemskapsgrupper.

Begäran

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Brödtext

{
  "membershipRule": "(user.country -eq "Germany")"
}

Ändra en dynamisk administrativ enhet till tilldelad

Följ dessa steg för att ändra en administrativ enhet med regler för dynamiska medlemskapsgrupper till en administrativ enhet där medlemmar tilldelas manuellt.

Microsoft Entra administrationscenter

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).

  3. Välj den administrativa enhet som du vill ändra till tilldelad.

  4. Välj Egenskaper.

  5. I listan Medlemskapstyp väljer du Tilldelad.

    Skärmbild av sidan Egenskaper för administrativ enhet med listan Medlemskapstyp som visas och Tilldelad markerad.

  6. Välj Spara för att spara medlemskapstypen.

    Följande meddelande visas:

    När du har ändrat den administrativa enhetstypen bearbetas inte längre den dynamiska regeln. Nuvarande medlemmar i den administrativa enheten kommer att finnas kvar i den administrativa enheten och den administrativa enheten kommer att ha tilldelats medlemskap.

  7. Klicka på Ja när du vill fortsätta.

    När inställningen för medlemskapstyp ändras från dynamisk till tilldelad förblir de aktuella medlemmarna intakta i den administrativa enheten. Dessutom är möjligheten att lägga till grupper i den administrativa enheten aktiverad.

PowerShell

Använd kommandot Update-MgDirectoryAdministrativeUnit för att redigera regeln för dynamiska medlemskapsgrupper.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Använd API:et Update administrativeUnit för att ändra inställningen för medlemskapstyp.

Begäran

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Brödtext

{
  "membershipType": "Assigned"
}

Nästa steg