Назначение ролей Microsoft Entra с областью администрирования
В идентификаторе Microsoft Entra для более детального административного управления можно назначить роль Microsoft Entra с областью, ограниченной одной или несколькими административными единицами. Если роль Microsoft Entra назначена в области административной единицы, разрешения роли применяются только при управлении членами самой административной единицы и не применяются к параметрам или конфигурациям на уровне клиента.
Например, администратор, которому назначена роль администратора групп в области администрирования, может управлять группами, которые являются членами административной единицы, но не могут управлять другими группами в клиенте. Они также не могут управлять параметрами уровня клиента, связанными с группами, такими как срок действия или политики именования групп.
В этой статье описывается назначение ролей Microsoft Entra с областью администрирования.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Администратор привилегированных ролей
- Модуль Microsoft Graph PowerShell при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Роли, которые могут быть назначены с областью административной единицы
Следующие роли Microsoft Entra можно назначать с областью администрирования. Кроме того, любую настраиваемую роль можно назначить с областью административной единицы, если разрешения настраиваемой роли включают по крайней мере одно разрешение, соответствующее пользователям, группам или устройствам.
| Роль | Description |
|---|---|
| Администратор проверки подлинности | Имеет доступ для просмотра, настройки и сброса сведений о способах проверки подлинности для любого пользователя без прав администратора только в назначенной административной единице. |
| Администратор облачных устройств | Ограниченный доступ к управлению устройствами в идентификаторе Microsoft Entra. |
| Администратор групп | Может управлять всеми аспектами групп только в назначенной административной единице. |
| Администратор службы технической поддержки | Может сбрасывать пароли пользователей без прав администратора только в назначенной административной единице. |
| Администратор лицензий | Может назначать, удалять и обновлять назначения лицензий только в пределах административной единицы. |
| Администратор паролей | Может сбрасывать пароли пользователей без прав администратора только в назначенной административной единице. |
| Администратор принтеров | Может управлять принтерами и соединителями принтера. Дополнительные сведения см. в разделе "Делегирование администрирования принтеров" в универсальной печати. |
| Привилегированный администратор проверки подлинности | Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любых пользователей (включая администраторов). |
| Администратор SharePoint | Может управлять группами Microsoft 365 только в назначенной административной единице. С помощью Центра администрирования Microsoft 365 может также обновлять свойства сайтов SharePoint (имя сайта, URL-адрес и политика внешнего доступа), связанных с группами Microsoft 365 в административной единице. Не может использовать Центр администрирования SharePoint или API-интерфейсы SharePoint для управления сайтами. |
| Администратор Teams | Может управлять группами Microsoft 365 только в назначенной административной единице. Может управлять членами команды в Центре администрирования Microsoft 365 для команд, связанных с группами в назначенной административной единице. Не может использовать Центр администрирования Teams. |
| Администратор устройств Teams | Может выполнять задачи по управлению на сертифицированных устройствах Teams. |
| Администратор пользователей | Может управлять всеми аспектами пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами, только в назначенной административной единице. В настоящее время невозможно управлять фото профиля графами пользователей. |
| <Настраиваемая роль> | Может выполнять действия, которые применяются к пользователям, группам или устройствам в соответствии с определением настраиваемой роли. |
При назначении с областью административной единицы определенные разрешения роли применяются только к пользователям без прав администратора. Другими словами, администраторы службы технической поддержки могут сбрасывать пароли для пользователей в административной единице только в том случае, если у этих пользователей нет ролей администратора. Если целью действия является другой администратор, к следующим разрешениям применяются ограничения:
- чтение и изменение методов проверки подлинности пользователя или сброс паролей пользователей;
- Изменение конфиденциальных свойств пользователей, таких как телефонные номера, альтернативные адреса электронной почты или секретные ключи Open Authorization (OAuth)
- удаление или восстановление учетных записей пользователей.
Субъекты безопасности, которые могут быть назначены с областью административной единицы
Ниже приведены субъекты безопасности, которым могут быть назначены роли с областью действия в административной единице:
- Пользователи
- Группы, назначаемые ролью Microsoft Entra
- Субъекты-службы
Субъекты-службы и гостевые пользователи
Субъекты-службы и гостевые пользователи не смогут использовать назначение ролей в административной единице, если им также не назначены соответствующие разрешения для чтения объектов. Это связано с тем, что субъекты-службы и гостевые пользователи по умолчанию не получают разрешения на чтение каталога, необходимые для выполнения административных действий. Чтобы субъект-служба или гостевой пользователь могли использовать назначение ролей в административной единице, необходимо назначить роль читателя каталогов (или другую роль, включающую разрешения на чтение) на уровне арендатора.
В настоящее время невозможно назначить разрешения на чтение каталога в административной единице. Дополнительные сведения о разрешениях по умолчанию для пользователей см. в этом разделе.
Назначение роли с областью административной единицы
Роль Microsoft Entra можно назначить с областью администрирования с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу, в области которой вы хотите назначить пользователю роль.
На панели слева выберите Роли и администраторы, чтобы получить список всех доступных ролей.
Выберите роль, которую необходимо назначить, затем выберите Добавление назначений.
На панели Добавление назначений выберите одного или несколько пользователей, которым будет назначена роль.
Примечание.
Чтобы назначить роль в административной единице с помощью Microsoft Entra управление привилегированными пользователями (PIM), см. статью "Назначение ролей Microsoft Entra в PIM".
PowerShell
Используйте команду New-MgRoleManagementDirectoryRoleAssignment и DirectoryScopeId параметр, чтобы назначить роль с областью административной единицы.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API Microsoft Graph
Используйте API Add a scopedRoleMember, чтобы назначить роль с областью административной единицы.
Запрос
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Текст
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Вывод назначений ролей с областью административной единицы
Список назначений ролей Microsoft Entra с областью администрирования можно просмотреть с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.
Центр администрирования Microsoft Entra
Все назначения ролей, созданные с помощью области администрирования, можно просмотреть в разделе "Единицы администрирования" Центра администрирования Microsoft Entra.
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу для списка назначений ролей, которые вы хотите просмотреть.
Выберите Роли и администраторы, а затем откройте роль, чтобы просмотреть назначения в административной единице.
PowerShell
Используйте команду Get-MgDirectoryAdministrativeUnitScopedRoleMember для перечисления назначений ролей с областью административной единицы.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
API Microsoft Graph
Используйте API List scopedRoleMembers для перечисления назначений ролей с областью административной единицы.
Запрос
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Текст
{}