Создание или удаление административных единиц
Внимание
Административные единицы ограниченного управления в настоящее время находятся в предварительной версии. Ознакомьтесь с условиями продукта для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Административные единицы позволяют вам разделить вашу организацию на любые нужные вам подразделения, а затем назначить в подразделение конкретных администраторов, которые могут управлять только членами этого подразделения. Например, административные единицы можно использовать для делегирования разрешений администраторам каждого факультета в большом университете, чтобы они могли управлять доступом и пользователями, а также устанавливать политики только для факультета проектирования.
В этой статье описывается, как создать или удалить административные единицы, чтобы ограничить область разрешений ролей в идентификаторе Microsoft Entra.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Роль Администратор istrator привилегированной роли
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
- Модуль Azure AD PowerShell при использовании PowerShell
- Модуль AzureADPreview при использовании PowerShell и административных единиц управления с ограниченным доступом
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Создание административной единицы
Вы можете создать новую административную единицу с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите Добавить.
В поле Имя введите имя административной единицы. При желании добавьте описание административной единицы.
Если вы не хотите, чтобы администраторы уровня клиента могли получить доступ к этой административной единице, установите для параметра "Ограниченное управление " значение "Да". Дополнительные сведения см. в разделе "Ограниченные административные единицы управления".
При необходимости на вкладке Назначение ролей выберите роль, а затем выберите пользователей, которым будет назначена роль с этой областью административной единицы.
На вкладке Проверка и создание проверьте настройки для административной единицы и назначения ролей.
Выберите кнопку Создать.
PowerShell
Используйте команду Подключение-MgGraph для входа в клиент и предоставления согласия на необходимые разрешения.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Используйте команду New-MgDirectory Администратор istrativeUnit для создания новой административной единицы.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Используйте команду New-MgBetaDirectory Администратор istrativeUnit, чтобы создать новую административную единицу управления с ограниченным доступом. Установите свойство IsMemberManagementRestricted
в значение $true
.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Используйте API Create administrativeUnit, чтобы создать новую административную единицу.
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Текст
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Используйте API Create administrativeUnit (beta) для создания новой административной единицы управления с ограниченным доступом. Установите свойство isMemberManagementRestricted
в значение true
.
Запрос
POST https://graph.microsoft.com/beta/administrativeUnits
Текст
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Удаление административной единицы
В идентификаторе Microsoft Entra можно удалить административное подразделение, которое больше не требуется в качестве единицы область для административных ролей. Перед удалением административной единицы следует удалить все назначения ролей с этой областью административной единицы.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, которую вы хотите удалить.
Выберите Роли и администраторы, а затем откройте роль, чтобы просмотреть назначения ролей.
Удалите все назначения ролей с областью административной единицы.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Установите флажок рядом с той административной единицей, которую требуется удалить.
Выберите команду Удалить.
Подтвердите удаление административной единицы, выбрав ответ Да.
PowerShell
Используйте команду Remove-MgDirectory Администратор istrativeUnit для удаления административной единицы.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
API Microsoft Graph
Используйте API Delete administrativeUnit, чтобы удалить административную единицу.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}