Tworzenie lub usuwanie jednostek administracyjnych

Ważny

Jednostki administracyjne z ograniczeniami dotyczącymi zarządzania są obecnie w wersji testowej. Zobacz Postanowienia dotyczące produktu dla postanowień prawnych dotyczących funkcji platformy Azure, które są w wersji beta, zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione ogółowi.

Jednostki administracyjne umożliwiają podzielenie organizacji na dowolną jednostkę, a następnie przypisanie określonych administratorów, którzy mogą zarządzać tylko członkami tej jednostki. Można na przykład użyć jednostek administracyjnych, aby delegować uprawnienia do administratorów każdej szkoły na dużym uniwersytecie, aby mogli kontrolować dostęp, zarządzać użytkownikami i ustawiać zasady tylko w Szkole Inżynierii.

W tym artykule opisano sposób tworzenia lub usuwania jednostek administracyjnych w celu ograniczenia zakresu uprawnień roli w identyfikatorze Entra firmy Microsoft.

Warunki wstępne

• Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
• Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
• Rola administratora ról uprzywilejowanych
• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne do korzystania z PowerShell lub Graph Explorer.

Tworzenie jednostki administracyjnej

Nową jednostkę administracyjną można utworzyć przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Entra PowerShell lub programu Microsoft Graph.

Centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Ról Uprzywilejowanych.

2. Przejdź do Tożsamości>Ról & administratorów>Jednostki administracyjne.

   

3. Wybierz pozycję Dodaj.

4. W polu nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.

5. Jeśli nie chcesz, aby administratorzy na poziomie dzierżawcy mogli uzyskiwać dostęp do tej jednostki administracyjnej, ustaw przełącznik Jednostka administracyjna o ograniczonym zarządzaniu na Tak. Aby uzyskać więcej informacji, zobacz Jednostki administracyjne zarządzania o ograniczonym dostępie.

   

6. Opcjonalnie na karcie Przypisz role wybierz rolę, a następnie wybierz użytkowników, do których ma zostać przypisana rola z tym zakresem jednostki administracyjnej.

   

7. Na karcie Przeglądanie i tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.

8. Wybierz przycisk Utwórz.

PowerShell

Użyj polecenia Connect-MgGraph, aby zalogować się do dzierżawcy i udzielić zgody na wymagane uprawnienia.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Użyj polecenia New-MgDirectoryAdministrativeUnit, aby utworzyć nową jednostkę administracyjną.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Użyj polecenia New-MgBetaDirectoryAdministrativeUnit, aby utworzyć nową jednostkę administracyjną zarządzania z ograniczeniami. Ustaw właściwość IsMemberManagementRestricted na wartość $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph

Użyj interfejsu API Create administrativeUnit , aby utworzyć nową jednostkę administracyjną.

Żądanie

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Ciało

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Użyj interfejsu API Create administrativeUnit (beta), aby utworzyć nową ograniczoną jednostkę administracyjną. Ustaw właściwość isMemberManagementRestricted na wartość true.

Żądanie

POST https://graph.microsoft.com/beta/administrativeUnits

Ciało

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Usuwanie jednostki administracyjnej

W usłudze Microsoft Entra ID możesz usunąć jednostkę administracyjną, której nie potrzebujesz już jako jednostki zakresu dla ról administracyjnych. Przed usunięciem jednostki administracyjnej należy usunąć wszystkie przypisania ról z tym zakresem jednostki administracyjnej.

Centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Ról Uprzywilejowanych.

2. Przejdź do Tożsamości>Ról & administratorów>Jednostki administracyjne.

3. Wybierz jednostkę administracyjną, którą chcesz usunąć.

4. Wybierz pozycję Role i administratorzy, a następnie otwórz rolę, aby wyświetlić przypisania ról.

5. Usuń wszystkie przypisania ról dla zakresu jednostki administracyjnej.

6. Przejdź do Tożsamości>Ról & administratorów>Jednostki administracyjne.

7. Dodaj znacznik wyboru obok jednostki administracyjnej, którą chcesz usunąć.

8. Wybierz pozycję Usuń.

   

9. Aby potwierdzić, że chcesz usunąć jednostkę administracyjną, wybierz pozycję Tak.

PowerShell

Użyj polecenia Remove-MgDirectoryAdministrativeUnit, aby usunąć jednostkę administracyjną.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph

Użyj interfejsu API Delete administrativeUnit, aby usunąć jednostkę administracyjną.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Następne kroki

• Dodawanie użytkowników, grup lub urządzeń do jednostki administracyjnej
• Przypisywanie ról w Microsoft Entra z zakresem jednostki administracyjnej
• Jednostki administracyjne Microsoft Entra: Rozwiązywanie problemów i często zadawane pytania