Aracılığıyla paylaş

Dinamik üyelik gruplarına yönelik kurallarla bir yönetim birimi için kullanıcıları veya cihazları yönetme

  • Makale

Yönetim birimleri için kullanıcı veya cihazları el ile ekleyebilir veya kaldırabilirsiniz. Dinamik üyelik gruplarıyla, kuralları kullanarak yönetim birimleri için kullanıcıları veya cihazları dinamik olarak ekleyebilir veya kaldırabilirsiniz. Bu makalede, Microsoft Entra yönetim merkezi, PowerShell veya Microsoft Graph API'sini kullanarak dinamik üyelik grupları için kurallarla yönetim birimlerinin nasıl oluşturulacağı açıklanır.

Not

Yönetim birimleri için dinamik üyelik kuralları, dinamik üyelik grupları için kullanılabilen öznitelikler kullanılarak oluşturulabilir. Kullanılabilir belirli öznitelikler hakkında daha fazla bilgi ve bunların nasıl kullanılacağına ilişkin örnekler için bkz . Microsoft Entra Id'de dinamik üyelik grupları için kuralları yönetme.

Üyelerin el ile atandığı yönetim birimleri kullanıcı, grup ve cihazlar gibi birden çok nesne türünü desteklese de, şu anda birden fazla nesne türü içeren dinamik üyelik grupları için kurallar içeren bir yönetim birimi oluşturmak mümkün değildir. Örneğin, kullanıcılar veya cihazlar için dinamik üyelik gruplarına yönelik kurallarla yönetim birimleri oluşturabilirsiniz, ancak ikisini birden oluşturamayın. Gruplar için dinamik üyelik gruplarına yönelik kuralları olan yönetim birimleri şu anda desteklenmiyor.

Önkoşullar

  • Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
  • Her yönetim birimi üyesi için Microsoft Entra Id P1 veya P2 lisansı
  • Ayrıcalıklı Rol Yöneticisi
  • PowerShell kullanılırken Microsoft Graph PowerShell SDK'sı yüklendi
  • Microsoft Graph API için Graph Gezgini'ni kullanırken yönetici onayı
  • Genel Azure bulutu (Azure Kamu veya 21Vianet tarafından sağlanan Microsoft Azure gibi özel bulutlarda kullanılamaz)

Not

Yönetim birimleri için dinamik üyelik kuralları, bir veya daha fazla dinamik yönetim biriminin üyesi olan her benzersiz kullanıcı için bir Microsoft Entra ID P1 lisansı gerektirir. Dinamik yönetim birimlerinin üyesi olmaları için kullanıcılara lisans atamanız gerekmez, ancak bu tür tüm kullanıcıları kapsayacak şekilde Microsoft Entra kuruluşunda en az sayıda lisansa sahip olmanız gerekir. Örneğin, kuruluşunuzdaki tüm dinamik yönetim birimlerinde toplam 1.000 benzersiz kullanıcınız varsa, lisans gereksinimini karşılamak için Microsoft Entra ID P1 için en az 1.000 lisans gerekir. Cihazlar için dinamik üyelik grubu için bir yönetim biriminin üyesi olan cihazlar için lisans gerekmez.

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Dinamik üyelik grupları için kurallar ekleme

Kullanıcılar veya cihazlar için dinamik üyelik gruplarına yönelik kurallarla yönetim birimleri oluşturmak için bu adımları izleyin.

Microsoft Entra yönetim merkezi

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kullanıcı veya cihaz eklemek istediğiniz yönetim birimini seçin.

  3. Özellikleri'i seçin.

  4. Üyelik türü listesinde, eklemek istediğiniz kuralın türüne bağlı olarak Dinamik Kullanıcı veya Dinamik Cihaz'ı seçin.

    Üyelik türü listesinin görüntülendiği yönetim birimi Özellikler sayfasının ekran görüntüsü.

  5. Dinamik sorgu ekle’yi seçin.

  6. Dinamik üyelik gruplarının kuralını belirtmek için kural oluşturucusunu kullanın. Daha fazla bilgi için bkz . Azure portalında kural oluşturucu.

    Özellik, işleç ve değer içeren kural oluşturucuyu gösteren Dinamik üyelik kuralları sayfasının ekran görüntüsü.

  7. İşiniz bittiğinde Kaydet'i seçerek kuralı dinamik üyelik gruplarına kaydedin.

  8. Üyelik türünü ve sorguyu kaydetmek için Özellikler sayfasında Kaydet'i seçin.

    Aşağıdaki ileti görüntülenir:

    Yönetim birimi türünü değiştirdikten sonra, mevcut üyelik, sağladığınız dinamik üyelik gruplarının kuralına göre değişebilir.

  9. Devam etmek için Eve'i seçin.

Kuralınızı düzenleme adımları için aşağıdaki Dinamik üyelik grupları için kuralları düzenleme bölümüne bakın.

PowerShell

  1. Dinamik üyelik grupları kuralı oluşturun. Daha fazla bilgi için bkz . Microsoft Entra Id'de dinamik üyelik grupları için kuralları yönetme.

  2. Ayrıcalıklı Rol Yöneticisi rolü atanmış bir kullanıcıyla Microsoft Entra Id ile bağlanmak için Connect-MgGraph komutunu kullanın.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Aşağıdaki parametreleri kullanarak dinamik üyelik gruplarına yönelik bir kurala sahip yeni bir yönetim birimi oluşturmak için New-MgDirectoryAdministrativeUnit komutunu kullanın:

    • MembershipType: Dynamic veya Assigned
    • MembershipRule: Önceki adımda oluşturduğunuz dinamik üyelik kuralı
    • MembershipRuleProcessingState: On veya Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

  1. Dinamik üyelik grupları için bir kural oluşturun. Daha fazla bilgi için bkz . Microsoft Entra Id'deki gruplar için dinamik üyelik kuralları.

  2. Dinamik üyelik gruplarına yönelik bir kurala sahip yeni bir yönetim birimi oluşturmak için Create administrativeUnit API'sini kullanın.

    Aşağıda, Windows cihazları için geçerli olan dinamik üyelik gruplarına yönelik bir kural örneği gösterilmektedir.

    İstek

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

    Gövde

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Dinamik üyelik grupları için kuralları düzenleme

Dinamik üyelik grupları için bir yönetim birimi yapılandırıldığında, dinamik üyelik grupları altyapısı üyeleri ekleme veya kaldırmanın tek sahipliğini koruduğundan, yönetim birimine üye ekleme veya kaldırmaya yönelik olağan komutlar devre dışı bırakılır. Üyelikte değişiklik yapmak için dinamik üyelik gruplarının kurallarını düzenleyebilirsiniz.

Microsoft Entra yönetim merkezi

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Yönetici birimleri'ne göz atın.

  3. Düzenlemek istediğiniz dinamik üyelik gruplarına yönelik kuralların yer aldığı yönetim birimini seçin.

  4. Kural oluşturucusunu kullanarak dinamik üyelik gruplarının kurallarını düzenlemek için Üyelik kuralları'nı seçin.

    Kural oluşturucuyu açmak için Üyelik kuralları ve Dinamik üyelik kuralları seçeneklerini içeren bir yönetim biriminin ekran görüntüsü.

    Sol gezinti bölmesinde Dinamik üyelik kuralları'nı seçerek de kural oluşturucusunu açabilirsiniz.

  5. İşiniz bittiğinde Kaydet'i seçerek dinamik üyelik grupları kural değişikliklerini kaydedin.

PowerShell

Dinamik üyelik grupları kuralını düzenlemek için Update-MgDirectoryAdministrativeUnit komutunu kullanın.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Dinamik üyelik gruplarının kuralını düzenlemek için Update administrativeUnit API'sini kullanın.

İstek

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Gövde

{
  "membershipRule": "(user.country -eq "Germany")"
}

Dinamik yönetim birimini atanmış olarak değiştirme

Dinamik üyelik gruplarına yönelik kuralları olan bir yönetim birimini üyelerin el ile atandığı bir yönetim birimine değiştirmek için bu adımları izleyin.

Microsoft Entra yönetim merkezi

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Yönetici birimleri'ne göz atın.

  3. Atanacak şekilde değiştirmek istediğiniz yönetim birimini seçin.

  4. Özellikleri'i seçin.

  5. Üyelik türü listesinde Atanan'ı seçin.

    Üyelik türü listesinin görüntülendiği ve Atanan'ın seçili olduğu bir yönetim birimi Özellikler sayfasının ekran görüntüsü.

  6. Üyelik türünü kaydetmek için Kaydet'i seçin.

    Aşağıdaki ileti görüntülenir:

    Yönetim birimi türünü değiştirdikten sonra dinamik kural artık işlenmez. Geçerli yönetim birimi üyeleri yönetim biriminde kalır ve yönetim birimine üyelik atanmış olur.

  7. Devam etmek için Eve'i seçin.

    Üyelik türü ayarı dinamikten atanana değiştirildiğinde, geçerli üyeler yönetim biriminde olduğu gibi kalır. Ayrıca, yönetim birimine grup ekleme özelliği etkinleştirilir.

PowerShell

Dinamik üyelik gruplarının kuralını düzenlemek için Update-MgDirectoryAdministrativeUnit komutunu kullanın.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Üyelik türü ayarını değiştirmek için Update administrativeUnit API'sini kullanın.

İstek

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Gövde

{
  "membershipType": "Assigned"
}

Sonraki adımlar