管理具有动态成员资格规则的管理单元的用户或设备(预览版)
重要
管理单元的动态成员资格规则当前提供预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅产品条款。
可以手动添加或删除管理单元的用户或设备。 使用此预览版,可以使用规则动态添加或删除管理单元的用户或设备。 本文介绍如何使用 Microsoft Entra 管理中心、PowerShell 或 Microsoft Graph API 创建具有动态成员资格规则的管理单元。
注意
可以使用可用于动态组的相同属性创建管理单元的动态成员身份规则。 有关可用特定属性的详细信息以及有关如何使用这些属性的示例,请参阅 Microsoft Entra ID 中组的动态成员身份规则。
虽然手动分配成员的管理单元支持多种对象类型(如用户、组和设备),但目前无法创建包含多个对象类型的具有动态成员资格规则的管理单元。 例如,可以创建具有动态用户或设备成员资格规则的管理单元,但不能同时具有两者。 当前不支持具有动态组成员资格规则的管理单元。
先决条件
- 每个管理单元管理员都具有 Microsoft Entra ID P1 或 P2 许可证
- 每个管理单元成员都有 Microsoft Entra ID P1 或 P2 许可证
- 特权角色管理员或全局管理员
- 使用 PowerShell 时需要 AzureADPreview 模块
- 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意
- 全球 Azure 云(不可用于专用云,例如 Azure 政府或由世纪互联运营的 Microsoft Azure)
注意
对于每一个作为一个或多个动态管理单元成员的唯一用户,管理单元的动态成员资格规则需要 Microsoft Entra ID P1 许可证。 无需将许可证分配给用户使其成为动态管理单元成员,但必须在 Microsoft Entra 组织中具有涵盖所有此类用户所需的最小许可证数。 例如:如果在组织的所有动态管理单元中总共拥有 1,000 个唯一用户,则需要至少具有 1,000 个 Microsoft Entra ID P1 版的许可证,才能满足许可证要求。 对于作为动态设备管理单元成员的设备,不需要许可证。
有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件。
添加动态成员资格规则
按照这些步骤来创建具有动态用户或设备成员资格规则的管理单元。
Microsoft Entra 管理中心
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
选择要向其中添加用户或设备的管理单元。
选择“属性”。
在“成员身份类型”列表中,选择“动态用户”或“动态设备”,具体取决于要添加的规则类型。
选择“添加动态查询”。
使用规则生成器指定动态成员资格规则。 有关详细信息,请参阅 Azure 门户中的规则生成器。
完成后,选择“保存”以保存动态成员资格规则。
在“属性”页上,选择“保存”以保存成员身份类型和查询。
将显示以下消息:
更改管理单元类型后,现有成员身份可能会根据所提供的动态成员资格规则进行更改。
选择“是”,以继续操作。
有关如何编辑规则的步骤,请参阅下面的编辑动态成员资格规则部分。
PowerShell
创建动态成员资格规则。 有关详细信息,请参阅 Microsoft Entra ID 中的动态组成员身份规则。
使用 Connect-AzureAD 命令与具有已分配特权角色管理员或全局管理员角色的用户的 Microsoft Entra ID 连接。
# Connect to Azure AD Connect-AzureAD使用 AzureADMSAdministrativeUnit 命令通过使用以下参数创建新的具有动态成员资格规则的管理单元:
MembershipType:Dynamic或AssignedMembershipRule:上一步中创建的动态成员资格规则MembershipRuleProcessingState:On或Paused
# Create an administrative unit for users in the United States $adminUnit = New-AzureADMSAdministrativeUnit -DisplayName "Example Admin Unit" -Description "Example Dynamic Membership Admin Unit" -MembershipType "Dynamic" -MembershipRuleProcessingState "On" -MembershipRule '(user.country -eq "United States")'
Microsoft Graph API
创建动态成员资格规则。 有关详细信息,请参阅 Microsoft Entra ID 中的动态组成员身份规则。
使用创建管理单元 API 创建新的具有动态成员资格规则的管理单元。
下面显示了适用于 Windows 设备的动态成员资格规则的示例。
请求
POST https://graph.microsoft.com/beta/administrativeUnits正文
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
编辑动态成员资格规则
为动态成员身份配置管理单元后,将禁用用于添加或删除管理单元成员的常用命令,因为动态成员身份引擎保留添加或删除成员的唯一所有权。 若要对成员身份进行更改,可以编辑动态成员资格规则。
Microsoft Entra 管理中心
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择具有要编辑的动态成员资格规则的管理单元。
选择“成员资格规则”以使用规则生成器编辑动态成员资格规则。
还可以通过在左侧导航中选择“动态成员资格规则”来打开规则生成器。
完成后,选择“保存”以保存动态成员资格规则更改。
PowerShell
使用 Set-AzureADMSAdministrativeUnit 命令编辑动态成员资格规则。
# Set a new dynamic membership rule for an administrative unit
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipRule '(user.country -eq "Germany")'
Microsoft Graph API
使用更新 administrativeUnit API 编辑动态成员资格规则。
请求
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
正文
{
"membershipRule": "(user.country -eq "Germany")"
}
将动态管理单元更改为已分配
按照这些步骤将具有动态成员资格规则的管理单元更改为手动分配成员的管理单元。
Microsoft Entra 管理中心
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择要更改分配的管理单元。
选择“属性”。
在“成员身份类型”列表中,选择“已分配”。
选择“保存”以保存成员身份类型。
将显示以下消息:
更改管理单元类型后,将不再处理动态规则。 当前管理单元成员将保留在管理单元中,并且管理单元将具有分配的成员身份。
选择“是”,以继续操作。
如果成员身份类型设置从动态更改为已分配,则当前成员将在管理单元中保持不变。 此外,还会启用将组添加到管理单元的功能。
PowerShell
使用 Set-AzureADMSAdministrativeUnit 命令更改成员身份类型设置。
# Change an administrative unit to assigned
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipType "Assigned" -MembershipRuleProcessingState "Paused"
Microsoft Graph API
使用更新 administrativeUnit API 更改成员身份类型设置。
请求
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
正文
{
"membershipType": "Assigned"
}