Beheereenheden maken of verwijderen

Belangrijk

Beheereenheden met beperkte beheerrechten bevinden zich momenteel in PREVIEW. Zie de productvoorwaarden voor juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Met beheereenheden kunt u uw organisatie onderverdelen in een gewenste eenheid en vervolgens specifieke beheerders toewijzen die alleen de leden van die eenheid kunnen beheren. U kunt bijvoorbeeld beheereenheden gebruiken om machtigingen te delegeren aan beheerders van elke school aan een grote universiteit, zodat ze de toegang kunnen beheren, gebruikers kunnen beheren en alleen beleidsregels kunnen instellen in de School of Engineering.

In dit artikel wordt beschreven hoe u beheereenheden maakt of verwijdert om het bereik van rolmachtigingen in Microsoft Entra-id te beperken.

Voorwaarden

• Microsoft Entra ID P1- of P2-licentie voor elke beheerder van beheereenheden
• Gratis licenties voor Microsoft Entra ID's voor leden van de beheereenheid
• Rolbeheerder met bevoorrechte rol
• Microsoft Graph PowerShell-module bij het gebruik van PowerShell
• Beheerderstoestemming bij het gebruik van Graph Explorer voor Microsoft Graph API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorervoor meer informatie.

Een beheereenheid maken

U kunt een nieuwe beheereenheid maken met behulp van het Microsoft Entra-beheercentrum, Microsoft Entra PowerShell of Microsoft Graph.

beheercentrum

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beheerder van bevoorrechte rol.

2. Blader naar identiteits->rollen & beheerders>beheereenheden.

   

3. Selecteer toevoegen.

4. Voer in het vak Naam de naam van de beheereenheid in. Voeg eventueel een beschrijving van de beheereenheid toe.

5. Als u niet wilt dat beheerders op tenantniveau toegang hebben tot deze beheereenheid, stelt u de wisselknop Beperkt beheer beheereenheid in op Ja. Zie beheereenheden met beperkte beheerrechtenvoor meer informatie.

   

6. U kunt desgewenst op het tabblad Rollen toewijzen een rol selecteren en vervolgens de gebruikers selecteren waaraan de rol moet worden toegewezen met dit bereik voor beheereenheden.

   

7. Op het tabblad Controleren + Maken, controleer de beheereenheid en eventuele roltoewijzingen.

8. Selecteer de knop maken.

PowerShell-

Gebruik de opdracht Connect-MgGraph om u aan te melden bij uw tenant en toestemming te geven voor de vereiste machtigingen.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Gebruik de opdracht New-MgDirectoryAdministrativeUnit om een nieuwe beheereenheid te maken.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Gebruik de opdracht New-MgBetaDirectoryAdministrativeUnit om een nieuwe beheereenheid met beperkte toegang te maken. Stel de eigenschap IsMemberManagementRestricted in op $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API-

Gebruik de Create administrativeUnit API om een nieuwe beheereenheid te maken.

Verzoek

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Lichaam

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Gebruik de Create administrativeUnit (beta)-API om een nieuwe beheereenheid met beperkte toegang te maken. Stel de eigenschap isMemberManagementRestricted in op true.

Verzoek

POST https://graph.microsoft.com/beta/administrativeUnits

Lichaam

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Een beheereenheid verwijderen

In Microsoft Entra-id kunt u een beheereenheid verwijderen die u niet meer nodig hebt als een bereikeenheid voor beheerdersrollen. Voordat u de beheereenheid verwijdert, moet u eventuele roltoewijzingen met dat beheereenheidbereik verwijderen.

beheercentrum

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beheerder van bevoorrechte rol.

2. Blader naar identiteits->rollen & beheerders>beheereenheden.

3. Selecteer de beheereenheid die u wilt verwijderen.

4. Selecteer rollen en beheerdersen open vervolgens een rol om de roltoewijzingen weer te geven.

5. Verwijder alle roltoewijzingen binnen de beheereenheid.

6. Blader naar identiteits->rollen & beheerders>beheereenheden.

7. Voeg een vinkje toe naast de beheereenheid die u wilt verwijderen.

8. Selecteer verwijderen.

   

9. Selecteer Jaom te bevestigen dat u de beheereenheid wilt verwijderen.

PowerShell-

Gebruik de opdracht Remove-MgDirectoryAdministrativeUnit om een beheereenheid te verwijderen.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API-

Gebruik de Delete administrativeUnit API om een beheereenheid te verwijderen.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Volgende stappen

• gebruikers, groepen of apparaten toevoegen aan een beheereenheid
• Microsoft Entra-rollen toewijzen met het bereik van een administratieve eenheid
• Microsoft Entra-beheereenheden: probleemoplossing en veelgestelde vragen