Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel pro dynamické skupiny členství

  • Článek

Uživatele nebo zařízení pro jednotky pro správu můžete přidat nebo odebrat ručně. Pomocí dynamických skupin členství můžete dynamicky přidávat nebo odebírat uživatele nebo zařízení pro jednotky pro správu pomocí pravidel. Tento článek popisuje, jak vytvořit jednotky pro správu s pravidly pro dynamické skupiny členství pomocí Centra pro správu Microsoft Entra, PowerShellu nebo rozhraní Microsoft Graph API.

Poznámka:

Pravidla dynamického členství pro jednotky pro správu je možné vytvořit pomocí stejných atributů, které jsou k dispozici pro dynamické skupiny členství. Další informace o konkrétních dostupných atributech a příkladech jejich použití najdete v tématu Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID.

Přestože jednotky pro správu s členy přiřazenými ručně podporují více typů objektů, jako je uživatel, skupina a zařízení, není v současné době možné vytvořit jednotku pro správu s pravidly pro dynamické skupiny členství, které obsahují více než jeden typ objektu. Můžete například vytvořit jednotky pro správu s pravidly pro dynamické skupiny členství pro uživatele nebo zařízení, ale ne obojí. Jednotky pro správu s pravidly pro dynamické skupiny členství pro skupiny se v současné době nepodporují.

Požadavky

  • Licence Microsoft Entra ID P1 nebo P2 pro každého správce jednotek pro správu
  • Licence Microsoft Entra ID P1 nebo P2 pro každého člena jednotky pro správu
  • Správce privilegovaných rolí
  • Sada Microsoft Graph PowerShell SDK nainstalovaná při použití PowerShellu
  • Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API
  • Globální cloud Azure (není k dispozici ve specializovaných cloudech, jako je Azure Government nebo Microsoft Azure provozovaný společností 21Vianet)

Poznámka:

Pravidla dynamického členství pro jednotky pro správu vyžadují licenci Microsoft Entra ID P1 pro každého jedinečného uživatele, který je členem jedné nebo více dynamických jednotek pro správu. Licence uživatelům nemusíte přiřazovat, aby byly členy dynamických jednotek pro správu, ale musíte mít minimální počet licencí v organizaci Microsoft Entra, abyste mohli pokrýt všechny tyto uživatele. Pokud byste například měli celkem 1 000 jedinečných uživatelů ve všech dynamických jednotkách pro správu ve vaší organizaci, potřebujete alespoň 1 000 licencí pro Microsoft Entra ID P1, abyste splnili licenční požadavek. Pro zařízení, která jsou členy jednotky pro správu pro dynamickou skupinu členství pro zařízení, se nevyžaduje žádná licence.

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Přidání pravidel pro dynamické skupiny členství

Podle těchto kroků vytvořte jednotky pro správu s pravidly pro dynamické skupiny členství pro uživatele nebo zařízení.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Vyberte jednotku pro správu, do které chcete přidat uživatele nebo zařízení.

  3. Vyberte Vlastnosti.

  4. V seznamu typů členství vyberte dynamického uživatele nebo dynamické zařízení v závislosti na typu pravidla, které chcete přidat.

    Snímek obrazovky se stránkou Vlastnosti jednotky pro správu se zobrazeným seznamem typů členství

  5. Vyberte Přidat dynamický dotaz.

  6. Pomocí tvůrce pravidel určete pravidlo pro dynamické skupiny členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.

    Snímek obrazovky se stránkou pravidel dynamického členství zobrazující tvůrce pravidel s vlastností, operátorem a hodnotou

  7. Až budete hotovi, vyberte Uložit a uložte pravidlo pro dynamické skupiny členství.

  8. Na stránce Vlastnosti vyberte Uložit a uložte typ členství a dotaz.

    Zobrazí se následující zpráva:

    Po změně typu jednotky pro správu se stávající členství může změnit na základě pravidla pro skupiny dynamického členství, které zadáte.

  9. Pokračujte výběrem tlačítka Ano.

Postup úprav pravidla najdete v následujícím oddílu Upravit pravidla pro dynamické skupiny členství.

PowerShell

  1. Vytvořte pravidlo dynamických skupin členství. Další informace naleznete v tématu Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID.

  2. Pomocí příkazu Connect-MgGraph se připojte k Microsoft Entra ID s uživatelem, který má přiřazenou roli Správce privilegovaných rolí.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

  3. Pomocí příkazu New-MgDirectoryAdministrativeUnit vytvořte novou jednotku pro správu s pravidlem pro dynamické skupiny členství pomocí následujících parametrů:

    • MembershipType: Dynamic nebo Assigned
    • MembershipRule: Pravidlo dynamického členství, které jste vytvořili v předchozím kroku
    • MembershipRuleProcessingState: On nebo Paused
    # Create an administrative unit for users in the United States
$params = @{
   displayName = "Example Admin Unit"
   description = "Example Dynamic Membership Admin Unit"
   membershipType = "Dynamic"
   membershipRule = "(user.country -eq 'United States')"
   membershipRuleProcessingState = "On"
}

New-MgDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

  1. Vytvořte pravidlo pro dynamické skupiny členství. Další informace naleznete v tématu Pravidla dynamického členství pro skupiny v Microsoft Entra ID.

  2. K vytvoření nové jednotky pro správu s pravidlem pro dynamické skupiny členství použijte rozhraní API pro vytvoření nové jednotky pro správu.

    Následuje příklad pravidla pro dynamické skupiny členství, které platí pro zařízení s Windows.

    Žádost

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

    Text

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(deviceOSType -eq 'Windows')",
  "membershipRuleProcessingState": "On"
}

Úprava pravidel pro dynamické skupiny členství

Pokud je pro dynamické skupiny členství nakonfigurovaná jednotka pro správu, jsou obvyklé příkazy pro přidání nebo odebrání členů pro jednotku pro správu zakázány, protože modul dynamických skupin členství zachovává výhradní vlastnictví přidávání nebo odebírání členů. Pokud chcete členství změnit, můžete upravit pravidla pro dynamické skupiny členství.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do části Role identit>a jednotky pro správu.>

  3. Vyberte jednotku pro správu, která obsahuje pravidla pro dynamické skupiny členství, které chcete upravit.

  4. Vyberte pravidla členství a upravte pravidla pro dynamické skupiny členství pomocí tvůrce pravidel.

    Snímek obrazovky jednotky pro správu s pravidly členství a možnostmi dynamických pravidel členství pro otevření tvůrce pravidel

    Tvůrce pravidel můžete otevřít také tak , že v levém navigačním panelu vyberete pravidla dynamického členství.

  5. Po dokončení vyberte Uložit a uložte změny pravidla dynamických skupin členství.

PowerShell

K úpravě pravidla dynamických skupin členství použijte příkaz Update-MgDirectoryAdministrativeUnit.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

K úpravě pravidla pro dynamické skupiny členství použijte rozhraní API pro správu aktualizací.

Žádost

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Text

{
  "membershipRule": "(user.country -eq "Germany")"
}

Změna dynamické jednotky pro správu na přiřazenou

Podle těchto kroků můžete změnit jednotku správy s pravidly pro dynamické skupiny členství na jednotku pro správu, kde jsou členové přiřazeni ručně.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do části Role identit>a jednotky pro správu.>

  3. Vyberte jednotku pro správu, kterou chcete změnit na přiřazenou.

  4. Vyberte Vlastnosti.

  5. V seznamu Typ členství vyberte Přiřazeno.

    Snímek obrazovky se stránkou Vlastnosti jednotky pro správu se zobrazeným seznamem typů členství a vybranou možností Přiřazeno

  6. Vyberte Uložit a uložte typ členství.

    Zobrazí se následující zpráva:

    Po změně typu jednotky pro správu už dynamické pravidlo nebude zpracováno. Aktuální členové správní jednotky zůstanou v jednotce pro správu a členové správní jednotky budou mít přiřazené členství.

  7. Pokračujte výběrem tlačítka Ano.

    Když se nastavení typu členství změní z dynamické na přiřazené, zůstanou aktuální členové v jednotce pro správu nedotčeni. Kromě toho je povolená možnost přidávat skupiny do jednotky pro správu.

PowerShell

Pomocí příkazu Update-MgDirectoryAdministrativeUnit upravte pravidlo pro dynamické skupiny členství.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

Ke změně nastavení typu členství použijte rozhraní API pro správu aktualizací.

Žádost

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Text

{
  "membershipType": "Assigned"
}

Další kroky