Erstellen oder Löschen administrativer Einheiten

Wichtig

Verwaltungseinheiten mit eingeschränkter Verwaltung befinden sich derzeit in der VORSCHAU. Lesen Sie die Produktbedingungen für rechtliche Bestimmungen, die für Azure-Features gelten, die sich in Der Betaversion, Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Mithilfe administrativer Einheiten können Sie Ihre Organisation in jede gewünschte Einheit unterteilen und dann bestimmte Administratoren zuweisen, die nur die Mitglieder dieser Einheit verwalten können. Sie können beispielsweise administrative Einheiten verwenden, um Berechtigungen an Administratoren jeder Schule an einer großen Universität zu delegieren, sodass sie den Zugriff steuern, Benutzer verwalten und Richtlinien nur in der School of Engineering festlegen können.

In diesem Artikel wird beschrieben, wie Sie administrative Einheiten erstellen oder löschen, um den Umfang der Rollenberechtigungen in der Microsoft Entra-ID einzuschränken.

Voraussetzungen

• Microsoft Entra ID P1- oder P2-Lizenz für jeden Administrator der Administrativen Einheit
• Kostenlose Microsoft Entra ID-Lizenzen für Administrative Unit-Mitglieder
• Rolle "Privilegierter Rollenadministrator"
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell- oder Graph-Explorer-.

Erstellen einer administrativen Einheit

Sie können eine neue Verwaltungseinheit erstellen, indem Sie entweder das Microsoft Entra Admin Center, Microsoft Entra PowerShell oder Microsoft Graph verwenden.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Privilegierter Rollenadministrator an.

2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

   

3. Wählen Sie und fügen Siehinzu.

4. Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.

5. Wenn Sie nicht möchten, dass Administratoren auf Mandantenebene auf diese Verwaltungseinheit zugreifen können, legen Sie die Eingeschränkte Verwaltungseinheit Umschaltfläche auf Jaein. Weitere Informationen finden Sie unter Verwaltungseinheiten mit eingeschränkter Verwaltung.

   

6. Optional können Sie auf der Registerkarte Rollen zuweisen eine Rolle auswählen und dann die Benutzer bestimmen, denen die Rolle im Rahmen dieser Verwaltungseinheit zugewiesen werden soll.

   

7. Überprüfen Sie auf der Registerkarte Überprüfen + Erstellen die Verwaltungseinheit und alle Rollenzuweisungen.

8. Wählen Sie die Schaltfläche Erstellen.

PowerShell

Verwenden Sie den Befehl Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden und den erforderlichen Berechtigungen zuzustimmen.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnit, um eine neue Verwaltungseinheit zu erstellen.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Verwenden Sie den Befehl New-MgBetaDirectoryAdministrativeUnit, um eine neue verwaltungsbeschränkte Verwaltungseinheit zu erstellen. Legen Sie die IsMemberManagementRestricted-Eigenschaft auf $true fest.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph-API

Verwenden Sie die Create administrativeUnit-API, um eine neue administrative Einheit zu erstellen.

Anfrage

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Körper

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Verwenden Sie die Create administrativeUnit (Beta)-API, um eine neue verwaltungsbeschränkte Verwaltungseinheit zu erstellen. Legen Sie die isMemberManagementRestricted-Eigenschaft auf true fest.

Anfrage

POST https://graph.microsoft.com/beta/administrativeUnits

Körper

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Löschen einer administrativen Einheit

In Microsoft Entra ID können Sie eine administrative Einheit löschen, die Sie nicht mehr als eine Einheit für den Geltungsbereich für administrative Rollen benötigen. Bevor Sie die Verwaltungseinheit löschen, sollten Sie alle Rollenzuweisungen mit diesem Verwaltungseinheitsbereich entfernen.

Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Privilegierter Rollenadministrator an.

2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

3. Wählen Sie die administrative Einheit aus, die Sie löschen möchten.

4. Wählen Sie Rollen und Administratoren aus, und öffnen Sie dann eine Rolle, um die Rollenzuweisungen anzuzeigen.

5. Entfernen Sie alle Rollenzuweisungen mit dem Bereich der Verwaltungseinheit.

6. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

7. Fügen Sie ein Häkchen neben der verwaltungstechnischen Einheit hinzu, die Sie löschen möchten.

8. Wählen Sie aus, umzu löschen.

   

9. Um zu bestätigen, dass Sie die Administrative Einheit löschen möchten, wählen Sie Jaaus.

PowerShell

Verwenden Sie den Befehl Remove-MgDirectoryAdministrativeUnit, um eine administrative Einheit zu löschen.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph-API

Verwenden Sie die Delete administrativeUnit-API, um eine administrative Einheit zu löschen.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Nächste Schritte

• Hinzufügen von Benutzern, Gruppen oder Geräten zu einer administrativen Einheit
• Zuweisen von Microsoft Entra-Rollen, die für Verwaltungseinheiten gelten
• Administrative Einheiten von Microsoft Entra: Problembehandlung und häufig gestellte Fragen