Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenance dynamique
Vous pouvez ajouter ou supprimer manuellement des utilisateurs ou des appareils pour les unités administratives. Avec des groupes d’appartenance dynamiques, vous pouvez ajouter ou supprimer des utilisateurs ou des appareils pour des unités administratives dynamiquement à l’aide de règles. Cet article explique comment créer des unités administratives avec des règles pour les groupes d’appartenance dynamique à l’aide du centre d’administration Microsoft Entra, PowerShell ou de l’API Microsoft Graph.
Remarque
Les règles d’appartenance dynamique pour les unités administratives peuvent être créées à l’aide des mêmes attributs que ceux disponibles pour les groupes d’appartenance dynamique. Pour plus d’informations sur les attributs spécifiques disponibles et obtenir des exemples d’utilisation, consultez Gérer les règles pour les groupes d’appartenance dynamique dans Microsoft Entra ID.
Bien que les unités administratives avec des membres affectés manuellement prennent en charge plusieurs types d’objets, comme les utilisateurs, les groupes et les appareils, il n’est actuellement pas possible de créer une unité administrative avec des règles pour les groupes d’appartenance dynamique qui incluent plusieurs types d’objets. Par exemple, vous pouvez créer des unités administratives avec des règles pour les groupes d’appartenance dynamique pour des utilisateurs ou des appareils, mais pas les deux. Les unités administratives avec des règles pour les groupes d’appartenance dynamique pour les groupes ne sont actuellement pas prises en charge.
Prérequis
- Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
- Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
- Administrateur de rôle privilégié
- Microsoft Graph PowerShell SDK installé lors de l'utilisation de PowerShell
- Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour l’API Microsoft Graph
- Le cloud Azure global (non disponible dans les clouds spécialisés, comme Azure Government ou Microsoft Azure géré par 21Vianet)
Remarque
Les règles d’appartenance dynamiques pour les unités administratives nécessitent une licence Microsoft Entra Premium P1 pour chaque utilisateur unique membre d’une ou de plusieurs unités administratives dynamiques. Vous n’avez pas à attribuer des licences aux utilisateurs pour qu’ils soient membres d’unités administratives dynamiques. Toutefois, vous devez disposer du nombre minimal de licences dans l’organisation Microsoft Entra pour couvrir tous les utilisateurs de ce type. Par exemple, si vous avez un total de 1 000 utilisateurs uniques dans toutes les unités administratives dynamiques de votre organisation, vous devez disposer d’au moins 1 000 licences Microsoft Entra Premium P1 pour répondre aux exigences de licence. Aucune licence n’est requise pour les appareils qui sont membres d’une unité administrative pour un groupe d’appartenance dynamique pour les appareils.
Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.
Ajouter des règles pour les groupes d’appartenance dynamique
Procédez comme suit pour créer des unités administratives avec des règles pour les groupes d’appartenance dynamique pour les utilisateurs ou les appareils.
Centre d’administration Microsoft Entra
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des appareils.
Sélectionner Propriétés.
Dans la liste Type d’appartenance, sélectionnez Utilisateur dynamique ou Appareil dynamique, selon le type de règle que vous souhaitez ajouter.
Sélectionnez Ajouter une requête dynamique.
Utilisez le générateur de règles afin de spécifier la règle pour les groupes d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.
Lorsque vous avez terminé, sélectionnez Enregistrer afin d’enregistrer la règle pour les groupes d’appartenance dynamique.
Sur la page Propriétés, sélectionnez Enregistrer pour enregistrer le type d’appartenance et la requête.
Le message suivant s’affiche :
Après la modification du type d’unité administrative, l’appartenance existante peut changer en fonction de la règle pour les groupes d’appartenance dynamique que vous fournissez.
Cliquez sur Oui pour continuer.
Pour connaître les étapes de modification de votre règle, consultez la section Modifier des règles pour les groupes d’appartenance dynamique suivante.
PowerShell
Créez une règle pour les groupes d’appartenance dynamique. Pour plus d’informations, consultez Gérer les règles pour les groupes d’appartenance dynamique dans Microsoft Entra ID.
Utilisez la commande Connect-MgGraph pour vous connecter à Microsoft Entra ID avec un utilisateur auquel a été attribué le rôle Administrateur de rôle privilégié.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Utilisez la commande New-MgDirectoryAdministrativeUnit pour créer une nouvelle unité administrative avec une règle pour les groupes d’appartenance dynamique à l’aide des paramètres suivants :
MembershipType
:Dynamic
ouAssigned
MembershipRule
: règle d’appartenance dynamique que vous avez créée à l’étape précédenteMembershipRuleProcessingState
:On
ouPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Créez une règle pour les groupes d’appartenance dynamique. Pour plus d’informations, consultez Règles d’appartenance de groupe dynamique dans Microsoft Entra ID.
Utilisez l’API Create administrativeUnit pour créer une nouvelle unité administrative avec une règle pour les groupes d’appartenance dynamique.
L’exemple suivant illustre une règle pour les groupes d’appartenance dynamique qui s’applique aux appareils Windows.
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corps
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Modifier des règles pour les groupes d’appartenance dynamique
Lorsqu’une unité administrative a été configurée pour les groupes d’appartenance dynamique, les commandes habituelles pour ajouter ou supprimer des membres pour l’unité administrative sont désactivées, car le moteur des groupes d’appartenance dynamique conserve la propriété exclusive de l’ajout ou de la suppression de membres. Pour apporter des modifications à l’appartenance, vous pouvez modifier les règles pour les groupes d’appartenance dynamique.
Centre d’administration Microsoft Entra
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative dont vous souhaitez modifier les règles pour les groupes d’appartenance dynamique.
Sélectionnez Règles d’appartenance pour modifier les règles pour les groupes d’appartenance dynamique à l’aide du générateur de règles.
Vous pouvez également ouvrir le générateur de règles en sélectionnant Règles d’appartenance dynamique dans le volet de navigation de gauche.
Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer les changements de règle pour les groupes d’appartenance dynamique.
PowerShell
Utilisez la commande Update-MgDirectoryAdministrativeUnit pour modifier la règle pour les groupes d’appartenance dynamique.
# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Utilisez l’API Update administrativeUnit pour modifier la règle pour les groupes d’appartenance dynamique.
Requête
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Corps
{
"membershipRule": "(user.country -eq "Germany")"
}
Remplacer une unité administrative dynamique par une avec affectation
Procédez comme suit pour modifier une unité administrative avec des règles pour les groupes d’appartenance dynamique en unité administrative à laquelle les membres sont affectés manuellement.
Centre d’administration Microsoft Entra
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative que vous souhaitez modifier à attribuée.
Sélectionner Propriétés.
Dans la liste Type d’appartenance, sélectionnez Affectée.
Sélectionnez Enregistrer pour enregistrer le type d’appartenance.
Le message suivant s’affiche :
Une fois le type d’unité administrative modifié, la règle dynamique n’est plus traitée. Les membres de l’unité administrative actuelle resteront dans l’unité administrative et l’appartenance de l’unité administrative sera de type affectation.
Cliquez sur Oui pour continuer.
Lorsque le paramètre de type d’appartenance passe de dynamique à affectation, les membres actuels restent intacts dans l’unité administrative. En outre, la possibilité d’ajouter des groupes à l’unité administrative est activée.
PowerShell
Utilisez la commande Update-MgDirectoryAdministrativeUnit afin de modifier la règle pour les groupes d’appartenance dynamique.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API Microsoft Graph
Utilisez l’API Update administrativeUnit pour modifier le paramètre de type d’appartenance.
Requête
PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}
Corps
{
"membershipType": "Assigned"
}