Поделиться через


Создание или удаление административных единиц

Внимание

Административные единицы ограниченного управления в настоящее время находятся в предварительной версии. Ознакомьтесь с условиями продукта для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Административные единицы позволяют вам разделить вашу организацию на любые нужные вам подразделения, а затем назначить в подразделение конкретных администраторов, которые могут управлять только членами этого подразделения. Например, административные единицы можно использовать для делегирования разрешений администраторам каждого факультета в большом университете, чтобы они могли управлять доступом и пользователями, а также устанавливать политики только для факультета проектирования.

В этой статье описывается, как создать или удалить административные единицы, чтобы ограничить область разрешений ролей в идентификаторе Microsoft Entra.

Необходимые компоненты

  • Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
  • Бесплатные лицензии microsoft Entra ID для членов административной единицы
  • Роль Администратор istrator привилегированной роли
  • Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
  • Модуль Azure AD PowerShell при использовании PowerShell
  • Модуль AzureADPreview при использовании PowerShell и административных единиц управления с ограниченным доступом
  • Согласие администратора при использовании песочницы Graph для Microsoft Graph API.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Создание административной единицы

Вы можете создать новую административную единицу с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

    Снимок экрана: страница Администратор istrative units.

  3. Выберите Добавить.

  4. В поле Имя введите имя административной единицы. При желании добавьте описание административной единицы.

  5. Если вы не хотите, чтобы администраторы уровня клиента могли получить доступ к этой административной единице, установите для параметра "Ограниченное управление " значение "Да". Дополнительные сведения см. в разделе "Ограниченные административные единицы управления".

    Снимок экрана: страница

  6. При необходимости на вкладке Назначение ролей выберите роль, а затем выберите пользователей, которым будет назначена роль с этой областью административной единицы.

    Снимок экрана: панель

  7. На вкладке Проверка и создание проверьте настройки для административной единицы и назначения ролей.

  8. Выберите кнопку Создать.

PowerShell

Используйте команду Подключение-MgGraph для входа в клиент и предоставления согласия на необходимые разрешения.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Используйте команду New-MgDirectory Администратор istrativeUnit для создания новой административной единицы.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Используйте команду New-MgBetaDirectory Администратор istrativeUnit, чтобы создать новую административную единицу управления с ограниченным доступом. Установите свойство IsMemberManagementRestricted в значение $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

API Microsoft Graph

Используйте API Create administrativeUnit, чтобы создать новую административную единицу.

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Текст

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Используйте API Create administrativeUnit (beta) для создания новой административной единицы управления с ограниченным доступом. Установите свойство isMemberManagementRestricted в значение true.

Запрос

POST https://graph.microsoft.com/beta/administrativeUnits

Текст

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Удаление административной единицы

В идентификаторе Microsoft Entra можно удалить административное подразделение, которое больше не требуется в качестве единицы область для административных ролей. Перед удалением административной единицы следует удалить все назначения ролей с этой областью административной единицы.

Центр администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

  3. Выберите административную единицу, которую вы хотите удалить.

  4. Выберите Роли и администраторы, а затем откройте роль, чтобы просмотреть назначения ролей.

  5. Удалите все назначения ролей с областью административной единицы.

  6. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

  7. Установите флажок рядом с той административной единицей, которую требуется удалить.

  8. Выберите команду Удалить.

    Снимок экрана: кнопка удаления административной единицы и окно подтверждения.

  9. Подтвердите удаление административной единицы, выбрав ответ Да.

PowerShell

Используйте команду Remove-MgDirectory Администратор istrativeUnit для удаления административной единицы.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

API Microsoft Graph

Используйте API Delete administrativeUnit, чтобы удалить административную единицу.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Следующие шаги