Aby uzyskać bardziej szczegółową kontrolę administracyjną w usłudze Microsoft Entra ID, możesz przypisać użytkowników do roli Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostki administracyjnej. Aby uzyskać przykładowe skrypty programu PowerShell dla typowych zadań, zobacz Praca z jednostkami administracyjnymi.
Ogólne
Dlaczego nie mogę utworzyć jednostki administracyjnej?
Aby utworzyć jednostkę administracyjną w usłudze Microsoft Entra ID, musisz mieć przypisaną co najmniej rolę Administrator ról uprzywilejowanych. Upewnij się, że użytkownik, który próbuje utworzyć jednostkę administracyjną, ma przypisaną rolę Administrator ról uprzywilejowanych.
Dodano grupę do jednostki administracyjnej. Dlaczego członkowie grupy nadal nie są tam widoczni?
Po dodaniu grupy do jednostki administracyjnej nie spowoduje to dodania do niej wszystkich członków grupy. Użytkownicy muszą być bezpośrednio przypisani do jednostki administracyjnej.
Właśnie dodałem (lub usunąłem) członka jednostki administracyjnej. Dlaczego element członkowski nie jest wyświetlany (lub nadal jest wyświetlany) w interfejsie użytkownika?
Czasami dodanie lub usunięcie co najmniej jednego członka jednostki administracyjnej może potrwać kilka minut, aby odzwierciedlić się w okienku Jednostki administracyjne. Alternatywnie możesz przejść bezpośrednio do właściwości skojarzonego zasobu i sprawdzić, czy akcja została ukończona. Aby uzyskać więcej informacji na temat członków w jednostkach administracyjnych, zobacz Wyświetlanie listy użytkowników, grup lub urządzeń w jednostce administracyjnej.
Jestem delegowanym administratorem haseł w jednostce administracyjnej. Dlaczego nie mogę zresetować hasła określonego użytkownika?
Jako administrator jednostki administracyjnej możesz zresetować hasła tylko dla użytkowników przypisanych do jednostki administracyjnej. Upewnij się, że użytkownik, którego resetowanie hasła kończy się niepowodzeniem, należy do jednostki administracyjnej, do której przypisano cię. Jeśli użytkownik należy do tej samej jednostki administracyjnej, ale nadal nie możesz zresetować hasła użytkownika, sprawdź role przypisane do użytkownika.
Aby zapobiec podwyższeniu uprawnień, administrator o zakresie jednostki administracyjnej nie może zresetować hasła użytkownika przypisanego do roli z zakresem całej organizacji.
Dlaczego niezbędne są jednostki administracyjne? Czy nie można użyć grup zabezpieczeń jako sposobu definiowania zakresu?
Grupy zabezpieczeń mają istniejący model przeznaczenia i autoryzacji. Administrator użytkowników może na przykład zarządzać członkostwem wszystkich grup zabezpieczeń w organizacji Microsoft Entra. Rola może używać grup do zarządzania dostępem do aplikacji, takich jak Salesforce. Administrator użytkowników nie powinien mieć możliwości zarządzania samym modelem delegowania, co byłoby wynikiem rozszerzenia grup zabezpieczeń w celu obsługi scenariuszy "grupowania zasobów".
Jednostki administracyjne, takie jak jednostki organizacyjne w usłudze Active Directory systemu Windows Server, mają na celu zapewnienie sposobu administrowania szeroką gamą obiektów katalogu. Same grupy zabezpieczeń mogą być członkami zakresów zasobów. Definiowanie zestawu grup zabezpieczeń, którymi administrator może zarządzać, może stać się mylące przy użyciu grup zabezpieczeń.
Co to znaczy dodać grupę do jednostki administracyjnej?
Dodanie grupy do jednostki administracyjnej powoduje przejście grupy do zakresu zarządzania jednostki administracyjnej, ale nie do członków grupy. Aby uzyskać więcej informacji, zobacz Jednostki administracyjne w usłudze Microsoft Entra ID.
Czy zasób (użytkownik, grupa lub urządzenie) może być członkiem więcej niż jednej jednostki administracyjnej?
Tak, zasób może być członkiem więcej niż jednej jednostki administracyjnej. Zasób może być zarządzany przez wszystkich administratorów obejmujących całą organizację i jednostkę administracyjną, którzy mają uprawnienia do zasobu.
Czy jednostki administracyjne są dostępne w organizacjach B2C?
Nie, jednostki administracyjne nie są dostępne dla organizacji B2C.
Czy są obsługiwane zagnieżdżone jednostki administracyjne?
Nie, zagnieżdżone jednostki administracyjne nie są obsługiwane.
Czy jednostki administracyjne są obsługiwane w programie PowerShell i interfejsie API programu Microsoft Graph?
Tak. Obsługa jednostek administracyjnych znajduje się w dokumentacji poleceń cmdlet programu PowerShell i przykładowych skryptach.
Znajdź obsługę typu zasobu administrativeUnit w programie Microsoft Graph.
Dynamiczne jednostki administracyjne
Właśnie zapisano regułę dla dynamicznych grup członkostwa dla jednostki administracyjnej, ale nie widzę jeszcze żadnych użytkowników wypełnionych.
Początkowa aktualizacja jednostki administracyjnej może potrwać kilka minut w zależności od rozmiaru dzierżawy i bieżącego obciążenia identyfikatora Entra firmy Microsoft.
Po utworzeniu reguły dla dynamicznych grup członkostwa w centrum administracyjnym firmy Microsoft Entra przy użyciu konstruktora reguł i próbie zapisania otrzymuję błąd "Nie można zaktualizować właściwości jednostki administracyjnej".
Zwykle oznacza to, że występuje problem z podanymi wartościami właściwości. Upewnij się, że podane wartości właściwości mają prawidłowy typ wartości (wartość logiczna, ciąg lub kolekcja ciągów). Aby uzyskać więcej informacji, zobacz dozwolone wartości dla każdego operatora dla użytkowników lub urządzeń.
Ten błąd może również spowodować, że osoba bez licencji Microsoft Entra ID P1 próbuje zapisać aktualizację w jednostce administracyjnej.
Jak dodać jednego członka do jednostki administracyjnej oprócz bieżącej reguły dla dynamicznych grup członkostwa?
Aby dodać jednego użytkownika, dodaj odpowiednie wyrażenie z operatorem OR
zapytania do reguły dla dynamicznych grup członkostwa.
Jestem administratorem ról uprzywilejowanych, ale nie mogę dodawać ani usuwać członków dla jednostki administracyjnej.
Po skonfigurowaniu jednostki administracyjnej dla dynamicznych grup członkostwa należy edytować reguły dla dynamicznych grup członkostwa, aby zmienić członkostwo.
Ile jednostek administracyjnych z regułami dla dynamicznych grup członkostwa można utworzyć w dzierżawie?
Łączna liczba dynamicznych grup członkostwa i dynamicznych jednostek administracyjnych łącznie nie może przekroczyć 15 000.
Czy istnieje limit liczby znaków w regule dla dynamicznych grup członkostwa?
Tak. 3072 znaki.
Czy mogę utworzyć jednostki administracyjne z regułami dla dynamicznych grup członkostwa w Centrum administracyjne platformy Microsoft 365?
L.p.
Jednostki administracyjne zarządzania z ograniczeniami (wersja zapoznawcza)
Jestem właścicielem grupy, która jest członkiem ograniczonej jednostki administracyjnej zarządzania. Jak mają wpływ moje uprawnienia?
Jako właściciel grupy chronionej nie będzie można zarządzać nią tylko na podstawie własności. Zarządzanie chronionymi zasobami wymaga obecnie przypisania roli w ograniczonym zakresie jednostki administracyjnej zarządzania chronionego zasobu.
Jak mają wpływ na moje zasoby platformy Microsoft 365 przy użyciu ograniczonych jednostek administracyjnych zarządzania?
Obecnie jest obsługiwane zabezpieczanie zasobów firmy Microsoft Entra w ograniczonych jednostkach administracyjnych zarządzania. Zasoby zarządzane poza identyfikatorem Entra firmy Microsoft nie są obsługiwane.
Nie mogę zmodyfikować członka jednostki administracyjnej zarządzania z ograniczeniami.
Użytkownik, grupa lub urządzenie jest członkiem jednostki administracyjnej zarządzania z ograniczeniami. Prawa do zarządzania są ograniczone do administratorów w zakresie tej jednostki administracyjnej.