共用方式為

使用動態成員資格規則管理管理單位的使用者或裝置 (預覽)

  • 發行項

重要

管理單位的動態成員資格規則目前為預覽狀態。 請參閱產品條款,了解適用於 Azure 功能搶鮮版、預覽版,或尚未正式發行之版本的法律條款。

您可以手動新增或移除管理單位的使用者或裝置。 透過此預覽,您可以使用規則動態新增或移除管理單位的使用者或裝置。 本文說明如何使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph API,建立具有動態成員資格規則的管理單位。

注意

您可以使用動態群組可用的相同屬性,來建立管理單位的動態成員資格規則。 如需可用特定屬性的詳細資訊,以及如何使用這些屬性的範例,請參閱 Microsoft Entra ID 中群組的動態成員資格規則

雖然手動指派成員的管理單位支援多個物件類型,例如使用者、群組和裝置,但目前無法建立包含多個物件類型的動態成員資格規則的管理單位。 例如,您可以為使用者或裝置建立具有動態成員資格規則的管理單位,但不能同時建立這兩者。 目前不支援群組具有動態成員資格規則的管理單位。

必要條件

  • 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
  • 每個管理單位的成員需具備 Microsoft Entra ID P1 或 P2 授權
  • 特殊權限角色管理員
  • 使用 PowerShell 時安裝的 Microsoft Graph PowerShell SDK
  • 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
  • 全域 Azure 雲端 (不適用於特殊化雲端,例如 Azure Government 或由世紀互聯營運的 Microsoft Azure)

注意

管理單位的動態成員資格規則需要每個屬於一或多動態管理單位成員唯一使用者的 Microsoft Entra ID P1 授權。 您不需要為了讓使用者成為動態系統管理單位的成員,而指派授權給使用者,但在 Microsoft Entra 組織中,授權數至少必須足以涵蓋所有這類使用者。 例如,如果組織中的所有動態系統管理單位總計有 1,000 個唯一使用者,則至少需要 1,000 個 Microsoft Entra ID P1 授權,才符合授權需求。 屬於動態裝置管理單位的裝置不需要任何授權。

如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件

新增動態成員資格規則

請遵循下列步驟,為使用者或裝置建立具有動態成員資格規則的管理單位。

Microsoft Entra 系統管理中心

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 選取您要新增使用者或裝置的管理單位。

  3. 選取屬性

  4. 在 [成員資格類型] 清單中,根據您想要新增的規則類型,選取 [動態使用者] 或 [動態裝置]

    顯示管理單位屬性頁面顯示 [成員類型] 的螢幕擷取畫面。

  5. 選取 [新增動態查詢]

  6. 使用規則產生器來指定動態成員資格規則。 如需詳細資訊,請參閱 Azure 入口網站中的規則產生器

    動態成員資格規則頁面的螢幕擷取畫面,其中顯示具有屬性、運算子和值的規則建立器。

  7. 完成後,選取 [儲存] 以儲存動態成員資格規則。

  8. 在 [屬性] 頁面上,選取 [儲存] 以儲存成員資格類型和查詢。

    畫面顯示下列訊息:

    變更管理單位類型之後,現有的成員資格可能會依據您提供的動態成員資格規則而有所變更。

  9. 選取 以繼續。

如需編輯規則的步驟,請參閱後續編輯動態成員資格規則一節。

PowerShell

  1. 建立動態成員資格規則。 如需詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則

  2. 使用 Connect-MgGraph 命令,以已獲指派特殊權限角色管理員角色的使用者,與 Microsoft Entra ID 連線。

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. 使用 New-MgDirectoryAdministrativeUnit 命令,使用下列參數建立具有動態成員資格規則的新管理單位:

    • MembershipTypeDynamicAssigned
    • MembershipRule:您在上一個步驟中建立的動態成員資格規則
    • MembershipRuleProcessingStateOnPaused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

  1. 建立動態成員資格規則。 如需詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則

  2. 使用 Create administrativeUnit API 來建立具有動態成員資格規則的新管理單位。

    以下顯示適用於 Windows 裝置的動態成員資格規則範例。

    Request

    POST https://graph.microsoft.com/beta/administrativeUnits

    本文

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

編輯動態成員資格規則

當管理單位設定為動態成員資格時,管理單位新增或移除成員的一般命令會停用,因為動態成員資格引擎會保留新增或移除成員的唯一擁有權。 若要變更成員資格,您可以編輯動態成員資格規則。

Microsoft Entra 系統管理中心

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取具有您要編輯的動態成員資格規則的管理單位。

  4. 選取 [成員資格規則] 以使用規則產生器編輯動態成員資格規則。

    具有 [成員資格規則] 和 [動態成員資格規則] 選項的管理單位,以開啟規則產生器的螢幕快照。

    您也可以在左側導覽中選取 [動態成員資格規則] 來開啟規則產生器。

  5. 完成後,選取 [儲存] 以儲存動態成員資格規則變更。

PowerShell

使用 Update-MgDirectoryAdministrativeUnit 命令來編輯動態成員資格規則。

# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

使用 Update administrativeUnit API 來編輯動態成員資格規則。

Request

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

本文

{
  "membershipRule": "(user.country -eq "Germany")"
}

將動態管理單位變更為已指派

遵循下列步驟,將具有動態成員資格規則的管理單位變更為手動指派成員的管理單位。

Microsoft Entra 系統管理中心

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要變更指派的管理單位。

  4. 選取屬性

  5. 在 [成員資格類型] 清單中,選取 [已指派]

    顯示管理單位屬性頁面顯示 [成員類型] 並以選取指派的螢幕擷取畫面。

  6. 選取 [儲存] 以儲存成員資格類型。

    畫面顯示下列訊息:

    變更管理單位類型之後,將不會再處理動態規則。 目前的管理單位成員會保留在管理單位中,而且管理單位將獲派成員資格。

  7. 選取 以繼續。

    當成員資格類型設定從動態變更為已指派時,目前成員在管理單位中會保持不變。 此外,會啟用將群組新增至管理單位的功能。

PowerShell

使用 Update-MgDirectoryAdministrativeUnit 命令來編輯動態成員資格規則。

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

使用 Update administrativeUnit API 來變更成員資格類型設定。

Request

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

本文

{
  "membershipType": "Assigned"
}

下一步