Delen via


Microsoft Entra-rollen toewijzen met beheereenheidbereik

In Microsoft Entra ID kunt u voor gedetailleerdere beheertaken een Microsoft Entra-rol toewijzen met een bereik dat is beperkt tot een of meer beheereenheden. Wanneer een Microsoft Entra-rol wordt toegewezen aan het bereik van een beheereenheid, zijn rolmachtigingen alleen van toepassing wanneer leden van de beheereenheid zelf worden beheerd en niet van toepassing zijn op instellingen of configuraties voor de hele tenant.

Een beheerder aan wie bijvoorbeeld de rol Groepsbeheerder is toegewezen binnen het bereik van een beheereenheid, kan groepen beheren die lid zijn van de beheereenheid, maar ze kunnen geen andere groepen in de tenant beheren. Ze kunnen ook geen instellingen op tenantniveau beheren die betrekking hebben op groepen, zoals verloop- of groepsnaambeleid.

In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst met het bereik van beheereenheden.

Vereisten

  • Microsoft Entra ID P1- of P2-licentie voor elke beheerder van beheereenheden
  • Gratis licenties voor Microsoft Entra ID's voor leden van de beheereenheid
  • Beheerder voor bevoorrechte rollen
  • Microsoft Graph PowerShell-module bij het gebruik van PowerShell
  • Beheerderstoestemming bij het gebruik van Graph Explorer voor Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Rollen die kunnen worden toegewezen met het bereik van beheereenheden

De volgende Microsoft Entra-rollen kunnen worden toegewezen met het bereik van beheereenheden. Daarnaast kan elke aangepaste rol worden toegewezen met het bereik van een beheereenheid, zolang de aangepaste rol ten minste één machtiging heeft die relevant is voor gebruikers, groepen of apparaten.

Rol Beschrijving
Verificatiebeheerder Kan alleen in de toegewezen beheereenheid informatie over de verificatiemethoden weergeven, instellen en opnieuw instellen voor gebruikers die geen beheerder zijn.
Cloudapparaatbeheerder Beperkte toegang voor het beheren van apparaten in Microsoft Entra ID.
Groepsbeheerder Kan alleen alle aspecten van groepen beheren in de toegewezen beheereenheid.
Helpdeskbeheerder Kan alleen in de toegewezen beheereenheid wachtwoorden opnieuw instellen voor niet-beheerders.
Licentiebeheerder Kan alleen licentietoewijzingen binnen de beheereenheid toewijzen, verwijderen en bijwerken.
Wachtwoordbeheerder Kan alleen binnen de toegewezen beheereenheid wachtwoorden opnieuw instellen voor niet-beheerders.
Printerbeheerder Kan printers en printerconnectors beheren. Zie Beheer van printers delegeren in Universal Print voor meer informatie.
Beheerder van bevoegde verificatie Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker (beheerder of niet-beheerder).
SharePoint-beheerder Kan Microsoft 365-groepen alleen beheren in de toegewezen beheereenheid. Voor SharePoint-sites die zijn gekoppeld aan Microsoft 365-groepen in een beheereenheid, kunnen ook site-eigenschappen (sitenaam, URL en beleid voor extern delen) worden bijgewerkt met behulp van de Microsoft 365-beheercentrum. Kan het SharePoint-beheercentrum of de SharePoint-API's niet gebruiken om sites te beheren.
Teams-beheerder Kan Microsoft 365-groepen alleen beheren in de toegewezen beheereenheid. Kan alleen teamleden in het Microsoft 365-beheercentrum beheren voor teams die zijn gekoppeld aan groepen in de toegewezen beheereenheid. Kan het Teams-beheercentrum niet gebruiken.
Teams-apparaatbeheerder Kan beheertaken uitvoeren op voor Teams gecertificeerde apparaten.
Gebruikersbeheerder Kan alleen binnen de toegewezen beheereenheid alle aspecten van gebruikers en groepen beheren, waaronder het opnieuw instellen van wachtwoorden voor beperkte beheerders. De profielfoto's van gebruikers kunnen momenteel niet worden beheerd.
<Aangepaste rol> Kan acties uitvoeren die van toepassing zijn op gebruikers, groepen of apparaten, volgens de definitie van de aangepaste rol.

Bepaalde rolmachtigingen zijn alleen van toepassing op gebruikers die geen beheerders zijn wanneer ze zijn toegewezen met het bereik van een beheereenheid. Met andere woorden: helpdeskbeheerders binnen het bereik van de beheereenheid kunnen wachtwoorden voor gebruikers in de beheereenheid alleen opnieuw instellen als deze gebruikers geen beheerdersrollen hebben. De volgende lijst met machtigingen wordt beperkt wanneer het doel van een actie een andere beheerder is:

  • Gebruikersverificatiemethoden lezen en wijzigen of gebruikerswachtwoorden opnieuw instellen
  • Gevoelige gebruikerseigenschappen, zoals telefoonnummers, alternatieve e-mailadressen of OAuth-geheime sleutels (Open Authorization) wijzigen
  • Gebruikersaccounts verwijderen of herstellen

Beveiligingsprincipals die kunnen worden toegewezen met het bereik van beheereenheden

De volgende beveiligingsprincipals kunnen worden toegewezen aan een rol met het bereik van een beheereenheid:

  • Gebruikers
  • Microsoft Entra-groepen die kunnen worden toegewezen aan rollen
  • Service-principals

Service-principals en gastgebruikers

Service-principals en gastgebruikers kunnen geen roltoewijzing gebruiken die is toegewezen aan een beheereenheid, tenzij ze ook bijbehorende machtigingen hebben om de objecten te lezen. Dit komt doordat service-principals en gastgebruikers standaard geen leesmachtigingen voor mappen ontvangen, die nodig zijn om beheeracties uit te voeren. Als u een service-principal of gastgebruiker de mogelijkheid wilt bieden om een roltoewijzing te gebruiken die is beperkt tot een beheereenheid, moet u de rol Adreslijstlezers (of een andere rol met leesmachtigingen) toewijzen aan een tenantbereik.

Het is momenteel niet mogelijk om leesmachtigingen voor mappen toe te wijzen die zijn gericht op een beheereenheid. Zie Standaardmachtigingen voor gebruikers voor meer informatie over standaardmachtigingen voor gebruikers.

Een rol toewijzen met het bereik van een beheereenheid

U kunt een Microsoft Entra-rol toewijzen met een beheereenheidbereik met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph.

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar beheereenheden voor identiteitsrollen>en beheerders>.

  3. Selecteer de beheereenheid waaraan u een gebruikersrolbereik wilt toewijzen.

  4. Selecteer in het linkerdeelvenster Rollen en beheerders om alle beschikbare rollen weer te geven.

    Schermopname van het deelvenster Rollen en beheerders voor het selecteren van een beheereenheid waarvan u het rolbereik wilt toewijzen.

  5. Selecteer de rol die u wilt toewijzen en selecteer vervolgens Toewijzingen toevoegen.

  6. Selecteer in het deelvenster Toewijzingen toevoegen een of meer gebruikers die aan de rol moeten worden toegewezen.

    Selecteer de rol voor het bereik en selecteer vervolgens Toewijzingen toevoegen

Notitie

Als u een rol wilt toewijzen aan een beheereenheid met behulp van Microsoft Entra Privileged Identity Management (PIM), raadpleegt u Microsoft Entra-rollen toewijzen in PIM.

Powershell

Gebruik de opdracht New-MgRoleManagementDirectoryRoleAssignment en de DirectoryScopeId parameter om een rol toe te wijzen met het bereik van een beheereenheid.

$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Gebruik de API ScopedRoleMember toevoegen om een rol toe te wijzen met het bereik van een beheereenheid.

Aanvragen

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Hoofdtekst

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Roltoewijzingen weergeven met het bereik van een beheereenheid

U kunt een lijst met Microsoft Entra-roltoewijzingen weergeven met het bereik van beheereenheden met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph.

Microsoft Entra-beheercentrum

U kunt alle roltoewijzingen weergeven die zijn gemaakt met een beheereenheidbereik in de sectie Beheereenheden van het Microsoft Entra-beheercentrum.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar beheereenheden voor identiteitsrollen>en beheerders>.

  3. Selecteer de beheereenheid voor de lijst met roltoewijzingen die u wilt weergeven.

  4. Selecteer Rollen en beheerders en open vervolgens een rol om de toewijzingen in de beheereenheid te bekijken.

Powershell

Gebruik de opdracht Get-MgDirectoryAdministrativeUnitScopedRoleMember om roltoewijzingen weer te geven met het bereik van een beheereenheid.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Microsoft Graph API

Gebruik de API List scopedRoleMembers om een lijst met roltoewijzingen weer te geven met het bereik van een beheereenheid.

Aanvragen

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Hoofdtekst

{}

Volgende stappen