Condividi tramite


Creare o eliminare unità amministrative

Importante

Le unità amministrative di gestione con restrizioni sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per i prodotti per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Le unità amministrative consentono di suddividere l'organizzazione in qualsiasi unità desiderata e quindi assegnare amministratori specifici che possono gestire solo i membri di tale unità. Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori di ogni istituto di istruzione in un'università di grandi dimensioni, in modo da poter controllare l'accesso, gestire gli utenti e impostare i criteri solo nella School of Engineering.

Questo articolo descrive come creare o eliminare unità amministrative per limitare l'ambito delle autorizzazioni per i ruoli in Microsoft Entra ID.

Prerequisiti

  • Licenza microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrative
  • Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
  • Ruolo con privilegi Amministrazione istrator
  • Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
  • Modulo di Azure AD PowerShell quando si usa PowerShell
  • Modulo AzureADPreview quando si usano PowerShell e le unità amministrative di gestione con restrizioni
  • Amministrazione consenso quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Creare un'unità amministrativa

È possibile creare una nuova unità amministrativa usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli identità>e amministratori> Amministrazione unità.

    Screenshot della pagina delle unità Amministrazione istrative.

  3. Selezionare Aggiungi.

  4. Nella casella Nome immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.

  5. Se non si vuole che gli amministratori a livello di tenant possano accedere a questa unità amministrativa, impostare l'unità amministrativa gestione con restrizioni su Sì. Per altre informazioni, vedere Unità amministrative di gestione con restrizioni.

    Screenshot che mostra la pagina Aggiungi unità amministrativa e la casella Nome per immettere il nome dell'unità amministrativa.

  6. Facoltativamente, nella scheda Assegna ruoli selezionare un ruolo e quindi selezionare gli utenti a cui assegnare il ruolo con questo ambito di unità amministrativa.

    Screenshot che mostra il riquadro Aggiungi assegnazioni per aggiungere assegnazioni di ruolo con questo ambito di unità amministrativa.

  7. Nella scheda Rivedi e crea esaminare l'unità amministrativa e le assegnazioni di ruolo.

  8. Selezionare il pulsante Crea.

PowerShell

Usare il comando Connessione-MgGraph per accedere al tenant e fornire il consenso alle autorizzazioni necessarie.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Usare il comando New-MgDirectory Amministrazione istrativeUnit per creare una nuova unità amministrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Usare il comando New-MgBetaDirectory Amministrazione istrativeUnit per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà IsMemberManagementRestricted su $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

API di Microsoft Graph

Usare l'API Create administrativeUnit per creare una nuova unità amministrativa.

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Corpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Usare l'API Create administrativeUnit (beta) per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà isMemberManagementRestricted su true.

Richiesta

POST https://graph.microsoft.com/beta/administrativeUnits

Corpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Eliminare un'unità amministrativa

In Microsoft Entra ID è possibile eliminare un'unità amministrativa che non è più necessaria come unità di ambito per i ruoli amministrativi. Prima di eliminare l'unità amministrativa, è necessario rimuovere eventuali assegnazioni di ruolo con tale ambito di unità amministrativa.

Interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli identità>e amministratori> Amministrazione unità.

  3. Selezionare l'unità amministrativa da eliminare.

  4. Selezionare Ruoli e amministratori e quindi aprire un ruolo per visualizzare le assegnazioni di ruolo.

  5. Rimuovere tutte le assegnazioni di ruolo con l'ambito dell'unità amministrativa.

  6. Passare a Ruoli identità>e amministratori> Amministrazione unità.

  7. Aggiungere un segno di spunta accanto all'unità amministrativa da eliminare.

  8. Selezionare Elimina.

    Screenshot del pulsante Elimina dell'unità amministrativa e della finestra di conferma.

  9. Per confermare che si vuole eliminare l'unità amministrativa, selezionare .

PowerShell

Usare il comando Remove-MgDirectory Amministrazione istrativeUnit per eliminare un'unità amministrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

API di Microsoft Graph

Usare l'API Delete administrativeUnit per eliminare un'unità amministrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Passaggi successivi