In Microsoft Entra ID per un controllo amministrativo più granulare è possibile assegnare agli utenti un ruolo di Microsoft Entra con un ambito limitato a una o più unità amministrative. Per gli script di PowerShell di esempio per le attività comuni, vedere Usare le unità amministrative.
Generali
Perché non è possibile creare un'unità amministrativa?
Per creare un'unità amministrativa in Microsoft Entra ID, è necessario avere almeno il Ruolo di amministratore con privilegi. Verificare che all'utente che sta tentando di creare l'unità amministrativa sia assegnato il ruolo di amministratore con privilegi.
È stato aggiunto un gruppo a un'unità amministrativa. Perché i membri del gruppo non vengono ancora visualizzati?
Quando si aggiunge un gruppo a un'unità amministrativa, questo non comporta l'aggiunta di tutti i membri del gruppo. Gli utenti devono essere assegnati direttamente all'unità amministrativa.
È stato appena aggiunto (o rimosso) un membro dell'unità amministrativa. Perché il membro non viene visualizzato (o ancora visualizzato) nell'interfaccia utente?
In alcuni casi, l'aggiunta o la rimozione di uno o più membri di un'unità amministrativa potrebbero richiedere alcuni minuti per riflettersi nel riquadro Unità amministrative. In alternativa, è possibile passare direttamente alle proprietà della risorsa associata e verificare se l'azione è stata completata. Per altre informazioni sui membri nelle unità amministrative, vedere Elencare utenti, gruppi o dispositivi in un'unità amministrativa.
L'utente è un amministratore di password delegato in un'unità amministrativa. Perché non è possibile reimpostare la password di un utente specifico?
In qualità di amministratore di un'unità amministrativa, è possibile reimpostare le password solo per gli utenti assegnati alla propria unità amministrativa. Assicurarsi che l'utente di cui la reimpostazione della password abbia esito negativo appartenga alla propria unità amministrativa assegnata. Se l'utente appartiene alla stessa unità amministrativa, ma non è comunque possibile reimpostare la password dell'utente, controllare i ruoli assegnati all'utente.
Per impedire l'elevazione dei privilegi, un amministratore con ambito unità amministrativa non può reimpostare la password di un utente assegnato a un ruolo con ambito aziendale.
Perché sono necessarie le unità amministrative? Non è possibile usare i gruppi di sicurezza come metodo per definire un ambito?
I gruppi di sicurezza hanno uno scopo esistente e un modello di autorizzazione. Un Amministratore utenti, ad esempio, può gestire l'appartenenza a tutti i gruppi di sicurezza nell'organizzazione Microsoft Entra. Il ruolo può usare i gruppi per gestire l'accesso alle applicazioni, ad esempio Salesforce. Un Amministratore utenti non deve essere in grado di gestire il modello di delega, che sarebbe il risultato se i gruppi di sicurezza fossero estesi per supportare scenari di "raggruppamento di risorse".
Le unità amministrative, ad esempio le unità organizzative in Windows Server Active Directory, sono destinate a offrire un modo per definire l'ambito dell'amministrazione di un ampio intervallo di oggetti directory. I gruppi di sicurezza stessi possono essere membri degli ambiti delle risorse. L'uso dei gruppi di sicurezza per definire il set di gruppi di sicurezza che un amministratore può gestire potrebbe generare confusione.
Cosa significa aggiungere un gruppo a un'unità amministrativa?
L'aggiunta di un gruppo a un'unità amministrativa porta il gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non i membri del gruppo. Per altre informazioni, vedere Unità amministrative in Microsoft Entra ID.
Una risorsa (utente, gruppo o dispositivo) può essere membro di più unità amministrative?
Sì, una risorsa può essere membro di più unità amministrative. La risorsa può essere gestita da tutti gli amministratori con ambito unità amministrativa e a livello di organizzazione che dispongono delle autorizzazioni per la risorsa.
Le unità amministrative sono disponibili nelle organizzazioni B2C?
No, le unità amministrative non sono disponibili per le organizzazioni B2C.
Le unità amministrative annidate sono supportate?
No, le unità amministrative annidate non sono supportate.
Le unità amministrative sono supportate in PowerShell e nell'API di Microsoft Graph?
Sì. Il supporto per le unità amministrative è disponibile nella documentazione dei cmdlet di PowerShell e negli script di esempio.
Trovare il supporto per il tipo di risorsa administrativeUnit in Microsoft Graph.
Unità amministrative dinamiche
È stata salvata una regola per i gruppi di appartenenza dinamica per un'unità amministrativa, ma non vengono ancora visualizzati utenti popolati.
L'aggiornamento iniziale di un'unità amministrativa può richiedere alcuni minuti a seconda delle dimensioni del tenant e del carico corrente di Microsoft Entra ID.
Dopo aver creato una regola per i gruppi di appartenenza dinamica nell'interfaccia di amministrazione di Microsoft Entra usando il generatore di regole e tentando di salvare, viene visualizzato l'errore "Impossibile aggiornare le proprietà dell'unità amministrativa".
Questo significa in genere che si è verificato un problema con i valori delle proprietà forniti. Verificare che i valori delle proprietà forniti abbiano un tipo di valore appropriato (booleano, stringa o raccolta di tipi stringa). Per altre informazioni, vedere i valori consentiti per ogni operatore per utenti o dispositivi.
Questo errore può anche verificarsi se una persona senza una licenza Microsoft Entra ID P1 tenta di salvare un aggiornamento nell'unità amministrativa.
Come è possibile aggiungere un singolo membro a un'unità amministrativa oltre alla regola corrente per i gruppi di appartenenza dinamica?
Per aggiungere un singolo utente, aggiungere un'espressione appropriata con l'operatore query OR alla regola per i gruppi di appartenenza dinamica.
Si è un amministratore ruolo con privilegi, ma non è possibile aggiungere o rimuovere membri per un'unità amministrativa.
Quando un'unità amministrativa è stata configurata per i gruppi di appartenenza dinamica, è necessario modificare le regole per i gruppi di appartenenza dinamici per modificare l'appartenenza.
Quante unità amministrative con regole per i gruppi di appartenenza dinamica è possibile creare in un tenant?
Il numero totale di gruppi di appartenenza dinamici e unità amministrative dinamiche combinate non può superare 15.000.
Esiste un limite al numero di caratteri in una regola per i gruppi di appartenenza dinamica?
Sì. 3.072 caratteri
È possibile creare unità amministrative con regole per i gruppi di appartenenza dinamica nell'interfaccia di amministrazione di Microsoft 365?
No.
Unità amministrative di gestione con restrizioni (anteprima)
Sono il proprietario di un gruppo membro di un'unità amministrativa di gestione con restrizioni. In che modo sono interessate le mie autorizzazioni?
In qualità di proprietario di un gruppo protetto, non sarà possibile gestirlo solo in base alla proprietà. La gestione delle risorse protette richiede attualmente l'assegnazione di un ruolo nell'ambito dell'unità amministrativa di gestione con restrizioni della risorsa protetta.
In che modo le risorse di Microsoft 365 sono interessate dall'uso di unità amministrative di gestione con restrizioni?
Attualmente, è supportata la protezione delle risorse di Microsoft Entra nelle unità amministrative di gestione con restrizioni. Le risorse gestite all'esterno di Microsoft Entra ID non sono supportate.
Non è possibile modificare un membro di un'unità amministrativa di gestione con restrizioni.
L'utente, il gruppo o il dispositivo è membro dell'unità amministrativa di gestione con restrizioni. I diritti di gestione sono limitati agli amministratori che hanno come ambito tale unità amministrativa.