Condividi tramite


Gestire utenti o dispositivi per un'unità amministrativa con regole per i gruppi di appartenenza dinamica

È possibile aggiungere o rimuovere manualmente utenti o dispositivi per le unità amministrative. Con i gruppi di appartenenze dinamici, è possibile aggiungere o rimuovere utenti o dispositivi per le unità amministrative in modo dinamico usando le regole. Questo articolo illustra come creare unità amministrative con regole per gruppi di appartenenza dinamica usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o API di Microsoft Graph.

Nota

Le regole di appartenenza dinamica per le unità amministrative possono essere create usando gli stessi attributi disponibili per i gruppi di appartenenza dinamica. Per ulteriori informazioni sugli attributi specifici disponibili ed esempi su come usarli, consultare Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.

Sebbene le unità amministrative con membri assegnati manualmente supportino più tipi di oggetti, come utenti, gruppi e dispositivi, attualmente non è possibile creare un'unità amministrativa con regole per gruppi di appartenenza dinamica che includa più di un tipo di oggetto. Ad esempio, è possibile creare unità amministrative con regole per gruppi di appartenenza dinamica per utenti o dispositivi, ma non per entrambi. Le unità amministrative che usano regole per l'appartenenza dinamica per i gruppi non sono attualmente supportate.

Prerequisiti

  • Licenza Microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrativa
  • Licenza Microsoft Entra ID P1 o P2 per ogni membro dell'unità amministrativa
  • Amministratore ruolo con privilegi
  • Microsoft Graph PowerShell SDK installato quando si usa PowerShell
  • Consenso dell'amministratore per l'uso di Graph Explorer per l'API di Microsoft Graph
  • Cloud di Azure globale (non disponibile nei cloud specializzati, come Azure per enti pubblici o Microsoft Azure gestito da 21Vianet)

Nota

Le regole di appartenenza dinamica per le unità amministrative richiedono una licenza Microsoft Entra ID P1 per ogni utente unico membro di una o più unità amministrative dinamiche. Non è richiesta l'assegnazione di licenze agli utenti per renderli membri di unità amministrative dinamiche; tuttavia, è necessario che l'organizzazione Microsoft Entra disponga del numero minimo di licenze per coprire tutti gli utenti. Ad esempio, se il totale degli utenti unici all'interno di tutte le unità amministrative dinamiche dell'organizzazione è di 1.000, sono necessarie almeno 1.000 licenze per Microsoft Entra ID P1 al fine di rispettare i requisiti di licenza. Non è necessaria alcuna licenza per i dispositivi che sono membri di un'unità amministrativa in un gruppo di appartenenza dinamica per dispositivi.

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Aggiungere regole per i gruppi di appartenenza dinamica

Seguire questi passaggi per creare unità amministrative con regole per gruppi di appartenenza dinamica per utenti o dispositivi.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Selezionare l'unità amministrativa a cui si desidera aggiungere utenti o dispositivi.

  3. Selezionare Proprietà.

  4. Nell'elenco Tipo di appartenenza, selezionare Utente dinamico o Dispositivo dinamico, a seconda del tipo di regola che si desidera aggiungere.

    Screenshot della pagina delle proprietà di un'unità amministrativa con l'elenco dei tipi di membri visualizzato.

  5. Selezionare Aggiungi query dinamica.

  6. Usare il generatore di regole per specificare la regola per i gruppi di appartenenza dinamica. Per ulteriori informazioni, consultare Generatore di regole nel portale di Azure.

    Screenshot della pagina Regole di appartenenza dinamica che mostra il generatore di regole contenente proprietà, operatore e valore.

  7. Al termine, selezionare Salva per salvare la regola per i gruppi di appartenenza dinamica.

  8. Nella pagina Proprietà, selezionare Salva per salvare il tipo di appartenenza e la query.

    Viene visualizzato il messaggio seguente:

    Dopo aver modificato il tipo di unità amministrativa, l'appartenenza esistente potrebbe variare in base alla regola per i gruppi di appartenenza dinamica fornita dall'utente.

  9. Selezionare per continuare.

Per informazioni su come modificare la regola, consultare la seguente sezione Modificare le regole per i gruppi di appartenenza dinamica.

PowerShell

  1. Creare una regola per i gruppi di appartenenza dinamica. Per ulteriori informazioni, consultare Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.

  2. Usare il comando Connect-MgGraph per connettersi a Microsoft Entra ID con un utente a cui è stato assegnato il ruolo Amministratore dei ruoli con privilegi.

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. Usare il comando New-MgDirectoryAdministrativeUnit per creare una nuova unità amministrativa con una regola per i gruppi di appartenenza dinamica usando i seguenti parametri:

    • MembershipTypeDynamic o Assigned
    • MembershipRule: regola di appartenenza dinamica creata nel passaggio precedente
    • MembershipRuleProcessingStateOn o Paused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

API di Microsoft Graph

  1. Creare una regola per i gruppi di appartenenza dinamica. Per ulteriori informazioni, consultare Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.

  2. Usare l'API Create administrativeUnit per creare una nuova unità amministrativa con una regola per i gruppi di appartenenza dinamica.

    Di seguito viene illustrato un esempio di regola per i gruppi di appartenenza dinamica che si applica ai dispositivi Windows.

    Richiesta

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
    

    Testo

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

Modificare le regole per i gruppi di appartenenza dinamica

Quando un'unità amministrativa è configurata per gruppi di appartenenza dinamica, i comandi standard per l'aggiunta o la rimozione di membri nell'unità amministrativa sono disabilitati, poiché tale gestione è esclusivamente affidata al motore dei gruppi di appartenenza dinamici. Per apportare modifiche all'appartenenza, è possibile modificare le regole per i gruppi di appartenenza dinamica.

Interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

  3. Selezionare l'unità amministrativa in cui sono presenti le regole per i gruppi di appartenenza dinamica che si desidera modificare.

  4. Selezionare Regole di appartenenza per modificare le regole per i gruppi di appartenenza dinamica usando il generatore di regole.

    Screenshot di un'unità amministrativa con le opzioni Regole di appartenenza e Regole di appartenenza dinamica per aprire il generatore di regole.

    È possibile aprire il generatore di regole anche selezionando Regole di appartenenza dinamica nella barra di spostamento a sinistra.

  5. Al termine, selezionare Salva per salvare le modifiche alla regola dei gruppi di appartenenza dinamica.

PowerShell

Usare il comando Update-MgDirectoryAdministrativeUnit per modificare la regola dei gruppi di appartenenza dinamica.

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API di Microsoft Graph

Usare l'API Update administrativeUnit per modificare la regola per i gruppi di appartenenza dinamica.

Richiesta

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Testo

{
  "membershipRule": "(user.country -eq "Germany")"
}

Modificare lo stato di un'unità amministrativa dinamica in "Assegnato"

Seguire questi passaggi per modificare un'unità amministrativa con regole per i gruppi di appartenenza dinamica in un'unità amministrativa in cui i membri vengono assegnati manualmente.

Interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

  3. Selezionare l'unità amministrativa da modificare nello stato "Assegnato".

  4. Selezionare Proprietà.

  5. Nell'elenco Tipo di appartenenza, selezionare Assegnato.

    Screenshot di una pagina Proprietà di un'unità amministrativa, in cui viene visualizzato l'elenco Tipi di appartenenza con l'opzione

  6. Selezionare Salva per salvare il tipo di appartenenza.

    Viene visualizzato il messaggio seguente:

    Dopo aver modificato il tipo di unità amministrativa, la regola dinamica non verrà più elaborata. Gli attuali membri dell'unità amministrativa rimarranno nell'unità amministrativa e l'unità amministrativa avrà un'appartenenza assegnata.

  7. Selezionare per continuare.

    Quando viene modificata l'impostazione del tipo di appartenenza da dinamica ad assegnata, i membri attuali rimangono intatti nell'unità amministrativa. Inoltre, verrà abilitata la possibilità di aggiungere gruppi all'unità amministrativa.

PowerShell

Usare il comando Update-MgDirectoryAdministrativeUnit per modificare la regola per i gruppi di appartenenza dinamica.

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

API di Microsoft Graph

Usare l'API Update administrativeUnit per modificare l'impostazione del tipo di appartenenza.

Richiesta

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

Testo

{
  "membershipType": "Assigned"
}

Passaggi successivi