Tworzenie lub usuwanie jednostek administracyjnych
Ważne
Ograniczone jednostki administracyjne zarządzania są obecnie w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.
Jednostki administracyjne pozwalają podzielić organizację na dowolne jednostki podrzędne, a następnie przypisać określonych administratorów, którzy będą mogli zarządzać tylko członkami takiej jednostki. Można na przykład użyć jednostek administracyjnych, aby delegować uprawnienia do administratorów każdej szkoły na dużym uniwersytecie, aby mogli kontrolować dostęp, zarządzać użytkownikami i ustawiać zasady tylko w Szkole Inżynierii.
W tym artykule opisano sposób tworzenia lub usuwania jednostek administracyjnych w celu ograniczenia zakresu uprawnień roli w identyfikatorze Entra firmy Microsoft.
Wymagania wstępne
- Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
- Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
- Rola uprzywilejowana Administracja istrator
- Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
- Moduł programu PowerShell usługi Azure AD podczas korzystania z programu PowerShell
- Moduł AzureADPreview podczas korzystania z programu PowerShell i ograniczonych jednostek administracyjnych zarządzania
- Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Tworzenie jednostki administracyjnej
Nową jednostkę administracyjną można utworzyć przy użyciu centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub programu Microsoft Graph.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz Dodaj.
W polu Nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.
Jeśli nie chcesz, aby administratorzy na poziomie dzierżawy mogli uzyskać dostęp do tej jednostki administracyjnej, ustaw przełącznik Jednostka administracyjna z ograniczeniami na Wartość Tak. Aby uzyskać więcej informacji, zobacz Ograniczone jednostki administracyjne zarządzania.
Opcjonalnie na karcie Przypisywanie ról wybierz rolę, a następnie wybierz użytkowników, do których ma zostać przypisana rola z tym zakresem jednostki administracyjnej.
Na karcie Przeglądanie i tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.
Zaznacz przycisk Utwórz.
PowerShell
Użyj polecenia Połączenie-MgGraph, aby zalogować się do dzierżawy i wyrazić zgodę na wymagane uprawnienia.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Użyj polecenia New-MgDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Użyj polecenia New-MgBetaDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną zarządzania z ograniczeniami. Ustaw właściwość IsMemberManagementRestricted
na $true
.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Interfejsu API programu Microsoft Graph
Użyj interfejsu API Create administrativeUnit (Tworzenie interfejsu API administracyjnego), aby utworzyć nową jednostkę administracyjną.
Wniosek
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Treść
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Użyj interfejsu API Create administrativeUnit (beta), aby utworzyć nową jednostkę administracyjną zarządzania z ograniczeniami. Ustaw właściwość isMemberManagementRestricted
na true
.
Wniosek
POST https://graph.microsoft.com/beta/administrativeUnits
Treść
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Usuwanie jednostki administracyjnej
W usłudze Microsoft Entra ID możesz usunąć jednostkę administracyjną, której nie potrzebujesz już jako jednostki zakresu dla ról administracyjnych. Przed usunięciem jednostki administracyjnej należy usunąć wszystkie przypisania ról z tym zakresem jednostki administracyjnej.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną, którą chcesz usunąć.
Wybierz pozycję Role i administratorzy, a następnie otwórz rolę, aby wyświetlić przypisania ról.
Usuń wszystkie przypisania ról z zakresem jednostki administracyjnej.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Dodaj znacznik wyboru obok jednostki administracyjnej, którą chcesz usunąć.
Wybierz Usuń.
Aby potwierdzić, że chcesz usunąć jednostkę administracyjną, wybierz pozycję Tak.
PowerShell
Użyj polecenia Remove-MgDirectory Administracja istrativeUnit, aby usunąć jednostkę administracyjną.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Interfejsu API programu Microsoft Graph
Aby usunąć jednostkę administracyjną, użyj interfejsu API Delete administrativeUnit.Use the Delete administrativeUnit API (Usuwanie interfejsu API administracyjnego) w celu usunięcia jednostki administracyjnej.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}