Mengelola pengguna atau perangkat untuk unit administratif dengan aturan keanggotaan dinamis (Pratinjau)

  • Artikel
  • 5 menit untuk membaca

Penting

Aturan keanggotaan dinamis untuk unit administratif saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara manual. Dengan pratinjau ini, Anda dapat menambahkan atau menghapus pengguna maupun perangkat untuk unit administratif secara dinamis menggunakan aturan. Artikel ini menjelaskan cara membuat unit administratif dengan aturan keanggotaan dinamis menggunakan portal Microsoft Azure, PowerShell, atau API Microsoft Graph.

Catatan

Aturan keanggotaan dinamis untuk unit administratif dapat dibuat menggunakan atribut yang sama yang tersedia untuk grup dinamis. Untuk informasi selengkapnya tentang atribut tertentu yang tersedia dan contoh tentang cara menggunakannya, lihat Aturan keanggotaan dinamis untuk grup di Azure Active Directory.

Meskipun unit administratif dengan anggota yang ditetapkan secara manual mendukung beberapa tipe objek, seperti pengguna, grup, dan perangkat, saat ini tidak mungkin membuat unit administratif dengan aturan keanggotaan dinamis yang menyertakan lebih dari satu tipe objek. Misalnya, Anda dapat membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat, tetapi tidak sekaligus untuk keduanya. Unit administratif dengan aturan keanggotaan dinamis untuk grup saat ini tidak didukung.

Prasyarat

  • Lisensi Azure AD Premium P1 atau P2 untuk setiap administrator unit administratif
  • Lisensi Azure AD Premium P1 atau P2 untuk setiap anggota unit administratif
  • Administrator Peran Istimewa atau Administrator Global
  • Modul AzureADPreview saat menggunakan PowerShell
  • Persetujuan admin saat menggunakan penjelajah Graph untuk Microsoft Graph API
  • Cloud Azure global (tidak tersedia di cloud khusus, seperti Azure Government atau Azure Tiongkok)

Catatan

Aturan keanggotaan dinamis untuk unit administratif memerlukan lisensi Azure AD Premium P1 untuk setiap pengguna unik yang merupakan anggota dari satu atau beberapa unit administratif dinamis. Anda tidak harus menetapkan lisensi kepada pengguna agar mereka menjadi anggota unit administratif dinamis, tetapi Anda harus memiliki jumlah minimum lisensi di organisasi Microsoft Azure AD untuk mencakup semua pengguna tersebut. Misalnya, jika Anda memiliki total 1.000 pengguna unik pada semua unit administratif dinamis di organisasi Anda, Anda memerlukan setidaknya 1.000 lisensi untuk Azure AD Premium P1 untuk memenuhi persyaratan lisensi. Tidak diperlukan lisensi untuk perangkat yang menjadi anggota unit administratif perangkat dinamis.

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Penjelajah Graph.

Menambahkan aturan keanggotaan dinamis

Ikuti langkah-langkah ini untuk membuat unit administratif dengan aturan keanggotaan dinamis untuk pengguna atau perangkat.

Portal Azure

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure AD.

  2. Pilih Azure Active Directory.

  3. Pilih Unit administratif, lalu pilih unit administratif yang ingin Anda tambahi pengguna atau perangkat.

  4. Pilih Properti.

  5. Dalam daftar Jenis keanggotaan, pilih Pengguna Dinamis atau Perangkat Dinamis, bergantung pada jenis aturan yang ingin Anda tambahkan.

    Screenshot of an administrative unit Properties page with Membership type list displayed.

  6. Pilih Tambahkan kueri dinamis.

  7. Gunakan penyusun aturan untuk menentukan aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat penyusun aturan di portal Microsoft Azure.

    Screenshot of Dynamic membership rules page showing rule builder with property, operator, and value.

  8. Setelah selesai, pilih Simpan untuk menyimpan aturan keanggotaan dinamis.

  9. Pada halaman Properti, pilih Simpan untuk menyimpan jenis dan kueri keanggotaan.

    Pesan berikut ditampilkan:

    Setelah mengubah jenis unit administratif, keanggotaan yang ada dapat berubah berdasarkan aturan keanggotaan dinamis yang Anda berikan.

  10. Pilih Ya untuk melanjutkan.

Untuk langkah-langkah tentang cara mengedit aturan Anda, lihat bagian Mengedit aturan keanggotaan dinamis berikut.

PowerShell

  1. Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di Azure Active Directory.

  2. Gunakan perintah Connect-AzureAD untuk terhubung dengan Azure Active Directory bersama pengguna yang telah diberi peran Administrator Peran Istimewa atau Administrator Global.

    # Connect to Azure AD
Connect-AzureAD

  3. Gunakan perintah New-AzureADMSAdministrativeUnit untuk membuat unit administratif baru dengan aturan keanggotaan dinamis menggunakan parameter berikut:

    • MembershipType: Dynamic atau Assigned
    • MembershipRule: Aturan keanggotaan dinamis yang Anda buat di langkah sebelumnya
    • MembershipRuleProcessingState: On atau Paused
    # Create an administrative unit for users in the United States
$adminUnit = New-AzureADMSAdministrativeUnit -DisplayName "Example Admin Unit" -Description "Example Dynamic Membership Admin Unit" -MembershipType "Dynamic" -MembershipRuleProcessingState "On" -MembershipRule '(user.country -eq "United States")'

Microsoft Graph API

  1. Buat aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat Aturan keanggotaan dinamis untuk grup di Azure Active Directory.

  2. Gunakan API Buat Unit administratif untuk membuat unit administratif baru dengan aturan keanggotaan dinamis.

    Berikut adalah contoh aturan keanggotaan dinamis yang berlaku untuk perangkat Windows.

    Minta

    POST https://graph.microsoft.com/beta/administrativeUnits

    Isi

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(device.deviceOSType -eq \"Windows\")",
  "membershipRuleProcessingState": "On"
}

Edit aturan keanggotaan dinamis

Ketika unit administratif telah dikonfigurasi untuk keanggotaan dinamis, perintah biasa untuk menambah atau menghapus anggota unit administratif dinonaktifkan karena mesin keanggotaan dinamis mempertahankan kepemilikan tunggal untuk menambah atau menghapus anggota. Untuk melakukan perubahan pada keanggotaan, Anda dapat mengedit aturan keanggotaan dinamis.

Portal Azure

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure AD.

  2. Pilih Azure Active Directory.

  3. Pilih Unit administratif lalu pilih unit administratif yang memiliki aturan keanggotaan dinamis yang ingin Anda edit.

  4. Pilih Aturan keanggotaan untuk mengedit aturan keanggotaan dinamis menggunakan penyusun aturan.

    Screenshot of an administrative unit with Membership rules and Dynamic membership rules options to open rule builder.

    Anda juga dapat membuka penyusun aturan dengan memilih Aturan keanggotaan dinamis di navigasi kiri.

  5. Setelah selesai, pilih Simpan untuk menyimpan perubahan aturan keanggotaan dinamis.

PowerShell

Gunakan perintah Set-AzureADMSAdministrativeUnit untuk mengedit aturan keanggotaan dinamis.

# Set a new dynamic membership rule for an administrative unit
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipRule '(user.country -eq "Germany")'

Microsoft Graph API

Gunakan API Perbarui Unit administratif untuk mengedit aturan keanggotaan dinamis.

Minta

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Isi

{
  "membershipRule": "(user.country -eq "Germany")"
}

Mengubah unit administratif dinamis menjadi ditetapkan

Ikuti langkah-langkah ini untuk mengubah unit administratif dengan aturan keanggotaan dinamis ke unit administratif tempat anggota ditetapkan secara manual.

Portal Azure

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure AD.

  2. Pilih Azure Active Directory.

  3. Pilih Unit administratif, lalu pilih unit administratif yang ingin Anda ubah untuk ditetapkan.

  4. Pilih Properti.

  5. Dalam daftar Jenis keanggotaan, pilih Ditetapkan.

    Screenshot of an administrative unit Properties page with Membership type list displayed and Assigned selected.

  6. Pilih Simpan untuk menyimpan jenis keanggotaan.

    Pesan berikut ditampilkan:

    Setelah mengubah jenis unit administratif, aturan dinamis tidak akan diproses lagi. Anggota unit administrasi saat ini akan tetap berada di unit administrasi dan unit administrasi akan memiliki keanggotaan yang ditetapkan.

  7. Pilih Ya untuk melanjutkan.

    Saat pengaturan jenis keanggotaan diubah dari dinamis menjadi ditetapkan, anggota saat ini tetap utuh di unit administratif. Selain itu, kemampuan untuk menambahkan grup ke unit administratif diaktifkan.

PowerShell

Gunakan perintah Set-AzureADMSAdministrativeUnit untuk mengubah pengaturan jenis keanggotaan.

# Change an administrative unit to assigned
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipType "Assigned" -MembershipRuleProcessingState "Paused"

Microsoft Graph API

Gunakan API Perbarui Unit administratif untuk mengubah pengaturan jenis keanggotaan.

Minta

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

Isi

{
  "membershipType": "Assigned"
}

Langkah berikutnya