Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa

In Microsoft Entra ID è possibile aggiungere utenti, gruppi o dispositivi a un'unità amministrativa per limitare l'ambito delle autorizzazioni del ruolo. L'aggiunta di un gruppo a un'unità amministrativa porta il gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non i membri del gruppo. Per altri dettagli sulle operazioni che gli amministratori con ambito possono eseguire, vedere Unità amministrative in Microsoft Entra ID.

Questo articolo descrive come aggiungere manualmente utenti, gruppi o dispositivi alle unità amministrative. Per informazioni su come aggiungere utenti o dispositivi alle unità amministrative in modo dinamico usando le regole, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole per i gruppi di appartenenza dinamica.

Prerequisiti

• Licenza Microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrativa
• Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
• Per aggiungere utenti, gruppi o dispositivi esistenti:
  • Amministratore ruolo con privilegi
• Per creare nuovi gruppi:
  • Amministratore gruppi (con ambito per l'unità amministrativa o l'intera directory)
• Microsoft Graph PowerShell
• Consenso dell'amministratore per l'uso di Graph Explorer per l'API di Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

È possibile aggiungere utenti, gruppi o dispositivi alle unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile aggiungere utenti in un'operazione in blocco o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere un singolo utente, gruppo o dispositivo alle unità amministrative

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità.

3. Andare su uno dei seguenti:

   • Utenti>Tutti gli utenti
   • Gruppi>Tutti i gruppi
   • Dispositivi>Tutti i dispositivi

4. Selezionare l'utente, il gruppo o il dispositivo da aggiungere alle unità amministrative.

5. Selezionare Unità amministrative.

6. Selezionare Assegna all'unità amministrativa.

7. Nel riquadro Seleziona selezionare l'account amministratore e quindi selezionare Seleziona.

   

Aggiungere utenti, gruppi o dispositivi a una singola unità amministrative.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

3. Selezionare l'unità amministrativa a cui si vogliono aggiungere utenti, gruppi o dispositivi.

4. Selezionare una delle opzioni seguenti:

   • Utenti
   • Gruppi
   • Dispositivi

5. Selezionare Aggiungi membro, Aggiungi o Aggiungi dispositivo.

6. Nel riquadro Seleziona selezionare gli utenti, i gruppi o i dispositivi da aggiungere all'unità amministrativa e quindi scegliere Seleziona.

   

Aggiungere utenti a un'unità amministrativa in un'operazione in blocco

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

3. Selezionare l'unità amministrativa alla quale aggiungere utenti.

4. Selezionare Utenti>Operazioni in blocco>Aggiungi membri in blocco.

   

5. Nel riquadro Aggiungi membri in blocco scaricare il modello con valori delimitati da virgole (CSV).

6. Modificare il modello CSV scaricato con l'elenco degli utenti da aggiungere.

   Aggiungere un nome dell'entità utente (UPN) in ogni riga. Non rimuovere le prime due righe del modello.

7. Salvare le modifiche e caricare il file CSV.

   

8. Selezionare Invia.

Creare un nuovo gruppo in un'unità amministrativa

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

3. Selezionare l'unità amministrativa in cui creare un nuovo gruppo.

4. Seleziona Gruppi.

5. Selezionare Nuovo gruppo e completare i passaggi per creare un nuovo gruppo.

   

PowerShell

Usare il comando New-MgDirectoryAdministrativeUnitMemberByRef per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere utenti a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Aggiungere gruppi a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Aggiungere dispositivi a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Creare un nuovo gruppo in un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

API di Microsoft Graph

Usare l'API Aggiungi un membro per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere utenti a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Esempio

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Aggiungere gruppi a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Esempio

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Aggiungere dispositivi a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Creare un nuovo gruppo in un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Testo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Passaggi successivi

• Unità amministrative in Microsoft Entra ID
• Assegnare ruoli di Microsoft Entra con ambito di unità amministrativa
• Gestire utenti o dispositivi per un'unità amministrativa con regole per i gruppi di appartenenza dinamica
• Rimuovere utenti, gruppi o dispositivi da un'unità amministrativa