Добавление пользователей, групп или устройств в административную единицу

В идентификаторе Microsoft Entra можно добавить пользователей, группы или устройства в административную единицу, чтобы ограничить область разрешений ролей. Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения о том, что могут сделать администраторы, см. в разделе "Административные единицы" в идентификаторе Microsoft Entra.

В этой статье описывается, как добавить пользователей, группы или устройства в административные единицы вручную. Сведения о том, как добавлять пользователей или устройства в административные единицы динамически с помощью правил, см. в разделе "Управление пользователями или устройствами" для административной единицы с правилами для динамических групп членства.

Предварительные условия

• Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
• Бесплатные лицензии microsoft Entra ID для членов административной единицы
• Чтобы добавить существующих пользователей, групп или устройств, выполните следующие действия.
  • Администратор привилегированных ролей
• Чтобы создать новые группы, выполните приведенные далее действия.
  • Администратор групп (в пределах административной единицы или всего каталога)
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании Graph Explorer для Microsoft Graph API.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или Graph Explorer.

Центр администрирования

Вы можете добавить пользователей, группы или устройства в административные единицы с помощью Центра администрирования Microsoft Entra. Вы также можете добавить пользователей в рамках групповой операции или создать новую группу в административной единице.

Добавление одного пользователя, одной группы или одного устройства в административные единицы

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве Администратора привилегированных ролей.

2. Перейдите к Идентификация.

3. Перейдите к одному из следующих разделов:

   • Пользователи>Все пользователи
   • Группы>"Все группы"
   • Устройства>Все устройства

4. Выберите пользователя, группу или устройство, которые требуется добавить в административные единицы.

5. Выберите Административные единицы.

6. Выберите пункт Назначить административной единице.

7. В области Выбор выберите административные единицы, а затем щелкните Выбрать.

   

Добавление пользователей, групп или устройств в одну административную единицу

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор привилегированных ролей.

2. Перейдите к Удостоверениям>Ролям и администраторам>Административным единицам.

3. Выберите административную единицу, к которой нужно добавить пользователей, группы или устройства.

4. Выберите один из следующих вариантов.

   • Пользователи
   • Группы
   • Устройства

5. Выберите Добавить участника, Добавитьили Добавить устройство.

6. В области Выбор, выберите пользователей, группы или устройства, которые нужно добавить в административную единицу, а затем нажмите кнопку Выбор.

   

Добавление пользователей в административную единицу при выполнении массовой операции

1. Войдите в административный центр Microsoft Entra как минимум в качестве администратора привилегированных ролей.

2. Перейдите к удостоверениям>рольям и администраторам>административным единицам.

3. Выберите административную единицу, к которой нужно добавить пользователей.

4. Выберите Пользователи>Массовые операции>Массовое добавление участников.

   

5. В области Массовое добавление участников скачайте шаблон значений с разделителями-запятыми (CSV).

6. Измените скачанный шаблон CSV, указав список пользователей, которых нужно добавить.

   Добавьте в каждую строку одно основное имя пользователя (UPN). Не удаляйте первые две строки шаблона.

7. Сохраните изменения и отправьте CSV-файл.

   

8. Выберите Отправить.

Создание новой группы в административной единице

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора групп.

2. Перейдите к Идентичность>Роли и администраторы>Административные подразделения.

3. Выберите административную единицу, в которой вы хотите создать новую группу.

4. Выберите Группы.

5. Щелкните Создать группу и выполните нужные действия, чтобы создать новую группу.

   

PowerShell

Используйте команду New-MgDirectoryAdministrativeUnitMemberByRef, чтобы добавить пользователя, группы или устройства в административную единицу или создать новую группу в административной единице.

Добавление пользователей в административную единицу

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Добавление групп в административную единицу

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Добавление устройств в административную единицу

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Создание новой группы в административной единице

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Graph API

Используйте API добавления члена для добавления пользователей, групп или устройств в административную единицу или создания новой группы в административной единице.

Добавление пользователей в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Основной текст

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Пример

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Добавление групп в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Основной текст

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Пример

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Добавление устройств в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Тело

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Создание новой группы в административной единице

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Основная часть

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Следующие шаги

• Административные единицы в идентификаторе Microsoft Entra
• Назначьте роли Microsoft Entra с областью действия административной единицы
• Управление пользователями или устройствами для административной единицы с помощью правил для динамических групп членства
• Удаление пользователей, групп или устройств из административной единицы