Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági szabályokkal (előzetes verzió)
Fontos
A felügyeleti egységek dinamikus tagsági szabályai jelenleg előzetes verzióban érhetők el. A bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-szolgáltatásokra vonatkozó jogi feltételekért tekintse meg a termékfeltételeket.
A felügyeleti egységek felhasználóit vagy eszközeit manuálisan is hozzáadhatja vagy eltávolíthatja. Ezzel az előzetes verzióval dinamikusan adhat hozzá vagy távolíthat el felhasználókat vagy eszközöket a felügyeleti egységekhez szabályok használatával. Ez a cikk azt ismerteti, hogyan hozhat létre dinamikus tagsági szabályokkal rendelkező felügyeleti egységeket a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph API használatával.
Feljegyzés
A felügyeleti egységek dinamikus tagsági szabályait a dinamikus csoportok esetében is használ attribútumokkal lehet létrehozni. A rendelkezésre álló konkrét attribútumokról és a használatukra vonatkozó példákról a Microsoft Entra ID-ban lévő csoportok dinamikus tagsági szabályai című témakörben talál további információt.
Bár a manuálisan hozzárendelt tagokkal rendelkező felügyeleti egységek több objektumtípust támogatnak, például a felhasználót, a csoportot és az eszközt, jelenleg nem hozható létre olyan dinamikus tagsági szabályokkal rendelkező felügyeleti egység, amely egynél több objektumtípust tartalmaz. Létrehozhat például dinamikus tagsági szabályokkal rendelkező felügyeleti egységeket a felhasználók vagy eszközök számára, de mindkettőt nem. Rendszergazda csoportok dinamikus tagsági szabályaival rendelkező egységek jelenleg nem támogatottak.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység taghoz
- Kiemelt szerepkörű rendszergazda vagy globális rendszergazda
- A PowerShell használatakor telepített Microsoft Graph PowerShell SDK
- Rendszergazda hozzájárulás a Graph Explorer microsoft graph API-hoz való használatakor
- Globális Azure-felhő (nem érhető el speciális felhőkben, például az Azure Governmentben vagy a 21Vianet által üzemeltetett Microsoft Azure-ban)
Feljegyzés
A felügyeleti egységek dinamikus tagsági szabályaihoz microsoft Entra id P1 licenc szükséges minden olyan egyedi felhasználóhoz, amely egy vagy több dinamikus felügyeleti egység tagja. Nem kell licenceket hozzárendelnie a felhasználókhoz ahhoz, hogy dinamikus felügyeleti egységek tagjai legyenek, de a Microsoft Entra szervezetében a minimális számú licenccel kell rendelkeznie ahhoz, hogy az összes ilyen felhasználót lefedje. Ha például összesen 1000 egyedi felhasználóval rendelkezik a szervezet összes dinamikus felügyeleti egységében, a licenckövetelmény teljesítéséhez legalább 1000 licencre lenne szüksége a P1 Microsoft Entra-azonosítóhoz. Nem szükséges licenc az olyan eszközökhöz, amelyek egy dinamikus eszközfelügyeleti egység tagjai.
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Dinamikus tagsági szabályok hozzáadása
Az alábbi lépéseket követve dinamikus tagsági szabályokkal rendelkező felügyeleti egységeket hozhat létre a felhasználók vagy eszközök számára.
Microsoft Entra felügyeleti központ
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Válassza ki azt a felügyeleti egységet, amelyhez felhasználókat vagy eszközöket szeretne hozzáadni.
Válassza ki a tulajdonságokat.
A Tagság típusa listában válassza a Dinamikus felhasználó vagy a Dinamikus eszköz lehetőséget a hozzáadni kívánt szabály típusától függően.
Válassza a Dinamikus lekérdezés hozzáadása lehetőséget.
A dinamikus tagsági szabály megadásához használja a szabályszerkesztőt. További információ: Szabályszerkesztő az Azure Portalon.
Ha végzett, a Dinamikus tagsági szabály mentéséhez válassza a Mentés lehetőséget.
A Tulajdonságok lapon válassza a Mentés lehetőséget a tagság típusának és lekérdezésének mentéséhez.
Az alábbi üzenet jelenik meg:
A felügyeleti egység típusának módosítása után a meglévő tagság a megadott dinamikus tagsági szabály alapján változhat.
Válassza az Igen lehetőséget a folytatáshoz.
A szabály szerkesztésének lépéseit a következő Dinamikus tagsági szabályok szerkesztése szakaszban találja.
PowerShell
Dinamikus tagsági szabály létrehozása. További információ: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban.
A Csatlakozás-MgGraph paranccsal csatlakozhat a Microsoft Entra-azonosítóhoz egy olyan felhasználóval, aki a Privileged Role Rendszergazda istrator vagy Global Rendszergazda istrator szerepkörrel rendelkezik.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
A New-MgDirectory Rendszergazda istrativeUnit paranccsal hozzon létre egy új felügyeleti egységet dinamikus tagsági szabvánnyal a következő paraméterekkel:
MembershipType
:Dynamic
vagyAssigned
MembershipRule
: Az előző lépésben létrehozott dinamikus tagsági szabályMembershipRuleProcessingState
:On
vagyPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Dinamikus tagsági szabály létrehozása. További információ: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban.
A Create administrativeUnit API használatával hozzon létre egy új felügyeleti egységet dinamikus tagsági szabálysal.
Az alábbiakban egy windowsos eszközökre vonatkozó dinamikus tagsági szabályt mutatunk be.
Kérés
POST https://graph.microsoft.com/beta/administrativeUnits
Törzs
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Dinamikus tagsági szabályok szerkesztése
Ha egy felügyeleti egység dinamikus tagságra lett konfigurálva, a felügyeleti egység tagjainak hozzáadására vagy eltávolítására vonatkozó szokásos parancsok le lesznek tiltva, mivel a dinamikus tagsági motor megtartja a tagok hozzáadásának vagy eltávolításának kizárólagos tulajdonjogát. A tagság módosításához szerkesztheti a dinamikus tagsági szabályokat.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza ki azt a felügyeleti egységet, amely a szerkeszteni kívánt dinamikus tagsági szabályokkal rendelkezik.
Válassza ki a tagsági szabályokat a dinamikus tagsági szabályok szerkesztéséhez a szabályszerkesztővel.
A szabályszerkesztőt a dinamikus tagsági szabályok bal oldali navigációs sávon való kiválasztásával is megnyithatja.
Ha végzett, a Dinamikus tagsági szabály módosításainak mentéséhez válassza a Mentés lehetőséget.
PowerShell
A dinamikus tagsági szabály szerkesztéséhez használja az Update-MgDirectory Rendszergazda istrativeUnit parancsot.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
A dinamikus tagsági szabály szerkesztéséhez használja az Update administrativeUnit API-t .
Kérés
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Törzs
{
"membershipRule": "(user.country -eq "Germany")"
}
Dinamikus felügyeleti egység módosítása hozzárendelve
Az alábbi lépéseket követve dinamikus tagsági szabályokkal rendelkező felügyeleti egységet módosíthat egy olyan felügyeleti egységre, amelyben a tagok manuálisan vannak hozzárendelve.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza ki a hozzárendelni kívánt felügyeleti egységet.
Válassza ki a tulajdonságokat.
A Tagság típusa listában válassza a Hozzárendelt lehetőséget.
A tagságtípus mentéséhez válassza a Mentés lehetőséget.
Az alábbi üzenet jelenik meg:
A felügyeleti egység típusának módosítása után a dinamikus szabály a továbbiakban nem lesz feldolgozva. A felügyeleti egység jelenlegi tagjai továbbra is a felügyeleti egységben maradnak, és a felügyeleti egységhez hozzárendelt tagság lesz.
Válassza az Igen lehetőséget a folytatáshoz.
Ha a tagságtípus beállítása dinamikusról hozzárendeltre változik, az aktuális tagok érintetlenek maradnak a felügyeleti egységben. Emellett engedélyezve van a csoportok hozzáadása a felügyeleti egységhez.
PowerShell
A dinamikus tagsági szabály szerkesztéséhez használja az Update-MgDirectory Rendszergazda istrativeUnit parancsot.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
A tagságtípus-beállítás módosításához használja az Update administrativeUnit API-t .
Kérés
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Törzs
{
"membershipType": "Assigned"
}