Создание или удаление административных единиц

Важный

Административные единицы с ограниченными возможностями управления в настоящее время находятся в режиме предварительного просмотра. См. условия продукта для получения юридической информации, применимой к функциям Azure, которые находятся в бета-версии, предварительной версии или иным образом пока не выпущены для всеобщего использования.

Административные единицы позволяют разделить организацию на любую нужную единицу, а затем назначить определенных администраторов, которые могут управлять только членами этого подразделения. Например, административные подразделения можно использовать для делегирования разрешений администраторам каждой школы в большом университете, чтобы они могли управлять доступом, управлять пользователями и устанавливать политики только в школе инженеров.

В этой статье описывается, как создать или удалить административные единицы, чтобы ограничить область разрешений ролей в идентификаторе Microsoft Entra.

Необходимые условия

• Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
• Бесплатные лицензии microsoft Entra ID для членов административной единицы
• Роль администратора привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

Создание административной единицы

Вы можете создать новую административную единицу с помощью Центра администрирования Microsoft Entra, Microsoft Entra PowerShell или Microsoft Graph.

Центр администрирования

Совет

Шаги, описанные в этой статье, могут немного отличаться в зависимости от портала, с которого вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора привилегированных ролей.

2. Перейдите к роли>администраторов &>административные единицы.

   

3. Выберите Добавить.

4. В поле Имя введите название административной единицы. При необходимости добавьте описание административной единицы.

5. Если вы не хотите, чтобы администраторы уровня клиента могли получить доступ к этой административной единице, установите переключатель Ограниченного управления административного подразделения в положение Да. Для получения дополнительной информации см. ограниченные административные единицы управления.

   

6. При необходимости на вкладке Назначение ролей выберите роль, а затем выберите пользователей, которым нужно назначить роль с этой областью административной единицы.

   

7. На вкладке Просмотр и создание просмотрите административную единицу и все назначения ролей.

8. Нажмите кнопку Создать.

PowerShell

Используйте команду Connect-MgGraph для входа в арендатора и предоставления согласия на необходимые разрешения.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Используйте команду New-MgDirectoryAdministrativeUnit, чтобы создать новую административную единицу.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Используйте команду New-MgBetaDirectoryAdministrativeUnit для создания новой административной единицы управления с ограниченным доступом. Задайте для свойства IsMemberManagementRestricted значение $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API

Используйте API Create administrativeUnit для создания новой административной единицы.

Просьба

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Тело

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Используйте Create administrativeUnit (beta) API для создания новой административной единицы управления с ограниченным доступом. Задайте для свойства isMemberManagementRestricted значение true.

Просьба

POST https://graph.microsoft.com/beta/administrativeUnits

Тело

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Удаление административной единицы

В Microsoft Entra ID можно удалить административное подразделение, которое больше не нужно использовать как единицу области видимости для административных ролей. Перед удалением административной единицы необходимо удалить все назначения ролей с этой областью административной единицы.

Административный центр

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к Идентичность>Роли & администраторы>Единицы администрирования.

3. Выберите административную единицу, которую вы хотите удалить.

4. Выберите роли и администраторы, а затем откройте роль для просмотра назначений ролей.

5. Удалите все назначения ролей с областью действия административного подразделения.

6. Перейдите к Идентификация>Роли & администраторов>единицы администрирования.

7. Добавьте флажок рядом с административной единицой, которую вы хотите удалить.

8. Выберите Удалить.

   

9. Чтобы подтвердить удаление административной единицы, выберите Да.

PowerShell

Чтобы удалить административную единицу, используйте команду remove-MgDirectoryAdministrativeUnit.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API

Используйте API Delete administrativeUnit для удаления административной единицы.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Дальнейшие действия

• Добавление пользователей, групп или устройств в административное подразделение
• Назначение ролей Microsoft Entra в пределах административной единицы
• Административные единицы Microsoft Entra: руководство по устранению неполадок и ответы на часто задаваемые вопросы