Vytvoření nebo odstranění jednotek pro správu

Důležitý

Jednotky pro správu s omezeným přístupem jsou aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, zkušební verzi, nebo jinak ještě nejsou vydané ve volné dostupnosti.

Jednotky pro správu umožňují rozdělit organizaci do libovolné jednotky a pak přiřadit konkrétní správce, kteří mohou spravovat pouze členy této jednotky. Pomocí jednotek pro správu můžete například delegovat oprávnění správcům každé školy ve velké univerzitě, aby mohli řídit přístup, spravovat uživatele a nastavovat zásady jenom ve škole technického oddělení.

Tento článek popisuje, jak vytvořit nebo odstranit jednotky pro správu, které omezují rozsah oprávnění role v Microsoft Entra ID.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2 pro každého správce administrativní jednotky
• Bezplatné licence Microsoft Entra ID pro členy jednotek pro správu
• Role Správce privilegovaných rolí
• Microsoft Graph modulu PowerShell při použití PowerShellu
• Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API

Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.

Vytvoření jednotky pro správu

Novou jednotku pro správu můžete vytvořit pomocí Centra pro správu Microsoft Entra, Microsoft Entra PowerShellu nebo Microsoft Graphu.

Centrum pro správu

Spropitné

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce role s privilegovaným přístupem.

2. Přejděte na Identity>Role & správci>jednotky pro správu.

   

3. Vyberte Přidat.

4. Do pole Název zadejte název jednotky pro správu. Volitelně můžete přidat popis jednotky pro správu.

5. Pokud nechcete, aby správci na úrovni tenanta měli přístup k této jednotce pro správu, nastavte přepínač Omezená jednotka pro správu na Ano. Další informace najdete v tématu jednotky správy s omezeným přístupem.

   

6. Volitelně můžete na kartě Přiřadit role vybrat roli a poté vybrat uživatele, kterým chcete přiřadit roli s touto oblastí působnosti správní jednotky.

   

7. Na záložce Zkontrolovat a vytvořit si projděte správní jednotku a přiřazení rolí.

8. Vyberte tlačítko Vytvořit.

PowerShell

Pomocí příkazu Connect-MgGraph se přihlaste ke svému tenantovi a odsouhlaste požadovaná oprávnění.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Pomocí příkazu New-MgDirectoryAdministrativeUnit vytvořte novou jednotku pro správu.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Pomocí příkazu New-MgBetaDirectoryAdministrativeUnit vytvořte novou jednotku pro správu s omezeným přístupem. Nastavte vlastnost IsMemberManagementRestricted na $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

rozhraní Graph API

Pomocí rozhraní Create administrativeUnit API vytvořte novou jednotku pro správu.

Prosba

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Tělo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Pomocí rozhraní API Create administrativeUnit (beta) vytvořte novou jednotku pro správu s omezeným přístupem. Nastavte vlastnost isMemberManagementRestricted na true.

Prosba

POST https://graph.microsoft.com/beta/administrativeUnits

Tělo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Odstranění jednotky pro správu

V Microsoft Entra ID můžete odstranit jednotku pro správu, kterou už nepotřebujete jako rozsahovou jednotku pro administrativní role. Před odstraněním jednotky pro správu byste měli odebrat všechna přiřazení rolí s tímto oborem jednotek pro správu.

Centrum pro správu

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce role s privilegovaným přístupem.

2. Přejděte na Identity>Role & správci>jednotky pro správu.

3. Vyberte jednotku pro správu, kterou chcete odstranit.

4. Vyberte Role a správcia potom otevřete roli, abyste zobrazili přiřazení rolí.

5. Odeberte všechna přiřazení rolí v rozsahu administrativních jednotek.

6. Přejděte na Identity>Role & správci>jednotky pro správu.

7. Přidejte značku zaškrtnutí vedle jednotky pro správu, kterou chcete odstranit.

8. Vyberte Odstranit.

   

9. Chcete-li potvrdit, že chcete odstranit jednotku pro správu, vyberte Ano.

PowerShell

Pomocí příkazu Remove-MgDirectoryAdministrativeUnit odstraňte jednotku pro správu.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

rozhraní Graph API

Pomocí rozhraní Delete administrativeUnit API odstraňte jednotku pro správu.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Další kroky

• Přidání uživatelů, skupin nebo zařízení do administrativní jednotky
• Přiřazení rolí Microsoft Entra v rozsahu jednotky pro správu
• Administrativní jednotky Microsoft Entra: Řešení potíží a nejčastější dotazy