Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica (anteprima)
Importante
Le regole di appartenenza dinamica per le unità amministrative sono attualmente in ANTEPRIMA. Vedere le Condizioni per i prodotti per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
È possibile aggiungere o rimuovere utenti o dispositivi per le unità amministrative manualmente. Con questa anteprima è possibile aggiungere o rimuovere utenti o dispositivi per le unità amministrative in modo dinamico usando le regole. Questo articolo descrive come creare unità amministrative con regole di appartenenza dinamica usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API Microsoft Graph.
Nota
È possibile creare regole di appartenenza dinamiche per le unità amministrative usando gli stessi attributi disponibili per i gruppi dinamici. Per altre informazioni sugli attributi specifici disponibili ed esempi su come usarli, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
Anche se le unità amministrative con membri assegnati supportano manualmente più tipi di oggetto, ad esempio utente, gruppo e dispositivi, non è attualmente possibile creare un'unità amministrativa con regole di appartenenza dinamica che includono più tipi di oggetto. Ad esempio, è possibile creare unità amministrative con regole di appartenenza dinamica per utenti o dispositivi, ma non entrambi. le unità Amministrazione istrative con regole di appartenenza dinamica per i gruppi non sono attualmente supportate.
Prerequisiti
- Licenza microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrative
- Licenza microsoft Entra ID P1 o P2 per ogni membro dell'unità amministrativa
- Amministratore ruolo con privilegi
- Microsoft Graph PowerShell SDK installato quando si usa PowerShell
- Amministrazione consenso quando si usa Graph Explorer per l'API Microsoft Graph
- Cloud di Azure globale (non disponibile in cloud specializzati, ad esempio Azure per enti pubblici o Microsoft Azure gestito da 21Vianet)
Nota
Le regole di appartenenza dinamica per le unità amministrative richiedono una licenza Microsoft Entra ID P1 per ogni utente univoco membro di una o più unità amministrative dinamiche. Non è necessario assegnare licenze agli utenti affinché siano membri di unità amministrative dinamiche, ma è necessario disporre del numero minimo di licenze nell'organizzazione Di Microsoft Entra per coprire tutti questi utenti. Ad esempio, se si dispone di un totale di 1.000 utenti univoci in tutte le unità amministrative dinamiche dell'organizzazione, sono necessarie almeno 1.000 licenze per Microsoft Entra ID P1 per soddisfare il requisito di licenza. Non è necessaria alcuna licenza per i dispositivi membri di un'unità amministrativa dinamica del dispositivo.
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Aggiungere regole di appartenenza dinamica
Seguire questa procedura per creare unità amministrative con regole di appartenenza dinamica per utenti o dispositivi.
Interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Selezionare l'unità amministrativa a cui si vogliono aggiungere utenti o dispositivi.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Utente dinamico o Dispositivo dinamico, a seconda del tipo di regola da aggiungere.
Selezionare Aggiungi query dinamica.
Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per altre informazioni, vedere Generatore regole nel portale di Azure.
Al termine, selezionare Salva per salvare la regola di appartenenza dinamica.
Nella pagina Proprietà selezionare Salva per salvare il tipo di appartenenza e la query.
Viene visualizzato il messaggio seguente:
Dopo aver modificato il tipo di unità amministrativa, l'appartenenza esistente potrebbe cambiare in base alla regola di appartenenza dinamica specificata.
Selezionare Sì per continuare.
Per informazioni su come modificare la regola, vedere la sezione Seguente Modifica regole di appartenenza dinamica.
PowerShell
Creare una regola di appartenenza dinamica. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
Usare il comando Connessione-MgGraph per connettersi all'ID di Microsoft Entra con un utente a cui è stato assegnato il ruolo ruolo con privilegi Amministrazione istrator.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Usare il comando New-MgDirectory Amministrazione istrativeUnit per creare una nuova unità amministrativa con una regola di appartenenza dinamica usando i parametri seguenti:
MembershipType
:Dynamic
oAssigned
MembershipRule
: regola di appartenenza dinamica creata in un passaggio precedenteMembershipRuleProcessingState
:On
oPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
API di Microsoft Graph
Creare una regola di appartenenza dinamica. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
Usare l'API Create administrativeUnit per creare una nuova unità amministrativa con una regola di appartenenza dinamica.
Di seguito viene illustrato un esempio di regola di appartenenza dinamica applicabile ai dispositivi Windows.
Richiesta
POST https://graph.microsoft.com/beta/administrativeUnits
Corpo
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
Modificare le regole di appartenenza dinamica
Quando un'unità amministrativa è stata configurata per l'appartenenza dinamica, i comandi consueti per aggiungere o rimuovere membri per l'unità amministrativa vengono disabilitati perché il motore di appartenenza dinamica mantiene la sola proprietà dell'aggiunta o della rimozione di membri. Per apportare modifiche all'appartenenza, è possibile modificare le regole di appartenenza dinamica.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Selezionare l'unità amministrativa con le regole di appartenenza dinamiche che si desidera modificare.
Selezionare Regole di appartenenza per modificare le regole di appartenenza dinamica usando il generatore di regole.
È anche possibile aprire il generatore di regole selezionando Regole di appartenenza dinamica nel riquadro di spostamento a sinistra.
Al termine, selezionare Salva per salvare le modifiche della regola di appartenenza dinamica.
PowerShell
Usare il comando Update-MgDirectory Amministrazione istrativeUnit per modificare la regola di appartenenza dinamica.
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API di Microsoft Graph
Usare l'API Update administrativeUnit per modificare la regola di appartenenza dinamica.
Richiesta
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipRule": "(user.country -eq "Germany")"
}
Modificare un'unità amministrativa dinamica in modo che sia assegnata
Seguire questa procedura per modificare un'unità amministrativa con regole di appartenenza dinamica in un'unità amministrativa in cui i membri vengono assegnati manualmente.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Selezionare l'unità amministrativa da modificare in assegnata.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Assegnato.
Selezionare Salva per salvare il tipo di appartenenza.
Viene visualizzato il messaggio seguente:
Dopo aver modificato il tipo di unità amministrativa, la regola dinamica non verrà più elaborata. I membri correnti dell'unità amministrativa rimarranno nell'unità amministrativa e all'unità amministrativa verrà assegnata l'appartenenza.
Selezionare Sì per continuare.
Quando l'impostazione del tipo di appartenenza viene modificata da dinamica a assegnata, i membri correnti rimangono intatti nell'unità amministrativa. Inoltre, la possibilità di aggiungere gruppi all'unità amministrativa è abilitata.
PowerShell
Usare il comando Update-MgDirectory Amministrazione istrativeUnit per modificare la regola di appartenenza dinamica.
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
API di Microsoft Graph
Usare l'API Update administrativeUnit per modificare l'impostazione del tipo di appartenenza.
Richiesta
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
Corpo
{
"membershipType": "Assigned"
}