Om du vill ha mer detaljerad administrativ kontroll i Microsoft Entra-ID kan du tilldela användare till en Microsoft Entra-roll med ett omfång som är begränsat till en eller flera administrativa enheter. Exempel på PowerShell-skript för vanliga uppgifter finns i Arbeta med administrativa enheter.
Allmänt
Varför kan jag inte skapa en administrativ enhet?
Du måste tilldelas rollen Privilegierad rolladministratör för att skapa en administrativ enhet i Microsoft Entra-ID. Kontrollera att den användare som försöker skapa den administrativa enheten tilldelas rollen Privilegierad rolladministratör .
Jag har lagt till en grupp i en administrativ enhet. Varför dyker gruppmedlemmarna fortfarande inte upp där?
När du lägger till en grupp i en administrativ enhet resulterar det inte i att alla gruppens medlemmar läggs till i den. Användarna måste tilldelas direkt till den administrativa enheten.
Jag har precis lagt till (eller tagit bort) en medlem av den administrativa enheten. Varför visas inte medlemmen (eller visas fortfarande) i användargränssnittet?
Ibland kan det ta några minuter att lägga till eller ta bort en eller flera medlemmar i en administrativ enhet i fönstret Administrativa enheter . Du kan också gå direkt till den associerade resursens egenskaper och se om åtgärden har slutförts. Mer information om medlemmar i administrativa enheter finns i Lista användare, grupper eller enheter i en administrativ enhet.
Jag är delegerad lösenordsadministratör på en administrativ enhet. Varför kan jag inte återställa en viss användares lösenord?
Som administratör för en administrativ enhet kan du bara återställa lösenord för användare som har tilldelats till din administrativa enhet. Kontrollera att den användare vars lösenordsåterställning misslyckas tillhör den administrativa enhet som du har tilldelats till. Om användaren tillhör samma administrativa enhet men du fortfarande inte kan återställa användarens lösenord kontrollerar du de roller som har tilldelats användaren.
För att förhindra utökade privilegier kan en administratör med enhetsomfattning inte återställa lösenordet för en användare som har tilldelats till en roll med ett organisationsomfattande omfång.
Varför är administrativa enheter nödvändiga? Kunde vi inte ha använt säkerhetsgrupper som sätt att definiera ett omfång?
Säkerhetsgrupper har en befintlig syftes- och auktoriseringsmodell. En användaradministratör kan till exempel hantera medlemskap i alla säkerhetsgrupper i Microsoft Entra-organisationen. Rollen kan använda grupper för att hantera åtkomst till program som Salesforce. En användaradministratör bör inte kunna hantera själva delegeringsmodellen, vilket skulle vara resultatet om säkerhetsgrupper utökades för att stödja scenarier med "resursgruppering".
Administrativa enheter, till exempel organisationsenheter i Windows Server Active Directory, är avsedda att ge ett sätt att begränsa administrationen av en mängd olika katalogobjekt. Själva säkerhetsgrupperna kan vara medlemmar i resursomfattningar. Att använda säkerhetsgrupper för att definiera den uppsättning säkerhetsgrupper som en administratör kan hantera kan bli förvirrande.
Vad innebär det att lägga till en grupp i en administrativ enhet?
Genom att lägga till en grupp i en administrativ enhet hamnar själva gruppen i hanteringsomfånget för den administrativa enheten, men inte medlemmarna i gruppen. Mer information finns i Administrativa enheter i Microsoft Entra-ID.
Kan en resurs (användare, grupp eller enhet) vara medlem i mer än en administrativ enhet?
Ja, en resurs kan vara medlem i mer än en administrativ enhet. Resursen kan hanteras av alla organisationsomfattande och administrativa enhetsomfattande administratörer som har behörighet för resursen.
Är administrativa enheter tillgängliga i B2C-organisationer?
Nej, administrativa enheter är inte tillgängliga för B2C-organisationer.
Stöds kapslade administrativa enheter?
Nej, kapslade administrativa enheter stöds inte.
Stöds administrativa enheter i PowerShell och Microsoft Graph API?
Ja. Du hittar stöd för administrativa enheter i PowerShell-cmdletdokumentation och exempelskript.
Hitta stöd för resurstypen administrativeUnit i Microsoft Graph.
Dynamiska administrativa enheter
Jag har precis sparat en regel för dynamiska medlemskapsgrupper för en administrativ enhet, men jag ser inga användare ifyllda ännu.
Den första uppdateringen av en administrativ enhet kan ta några minuter beroende på klientorganisationens storlek och den aktuella Microsoft Entra-ID-belastningen.
När jag har skapat en regel för dynamiska medlemskapsgrupper i administrationscentret för Microsoft Entra med hjälp av regelverktyget och försöker spara får jag felet "Det gick inte att uppdatera egenskaper för administrativa enheter".
Det innebär vanligtvis att det finns ett problem med de angivna egenskapsvärdena. Bekräfta att de egenskapsvärden som du har angett har en korrekt värdetyp (boolesk, sträng eller strängsamling). Mer information finns i de tillåtna värdena för varje operator för användare eller enheter.
Det här felet kan också uppstå om en person utan en Microsoft Entra ID P1-licens försöker spara en uppdatering i den administrativa enheten.
Hur lägger jag till en enskild medlem i en administrativ enhet utöver den aktuella regeln för dynamiska medlemskapsgrupper?
Om du vill lägga till en enskild användare lägger du till ett lämpligt uttryck med OR frågeoperatorn i regeln för dynamiska medlemskapsgrupper.
Jag är privilegierad rolladministratör, men jag kan inte lägga till eller ta bort medlemmar för en administrativ enhet.
När en administrativ enhet har konfigurerats för dynamiska medlemskapsgrupper måste du redigera reglerna för dynamiska medlemskapsgrupper för att ändra medlemskap.
Hur många administrativa enheter med regler för dynamiska medlemskapsgrupper kan jag skapa i en klientorganisation?
Det totala antalet dynamiska medlemskapsgrupper och dynamiska administrativa enheter tillsammans får inte överstiga 15 000.
Finns det en gräns för antalet tecken i en regel för dynamiska medlemskapsgrupper?
Ja. 3 072 tecken.
Kan jag skapa administrativa enheter med regler för dynamiska medlemskapsgrupper i Administrationscenter för Microsoft 365?
Nej.
Begränsade administrativa hanteringsenheter (förhandsversion)
Jag är ägare till en grupp som är medlem i en begränsad administrativ enhet. Hur påverkas mina behörigheter?
Som ägare till en skyddad grupp kan du inte hantera den bara baserat på ägarskap. För att hantera skyddade resurser krävs för närvarande att en roll tilldelas i den skyddade resursens begränsade administrativa enhetsomfång.
Hur påverkas mina Microsoft 365-resurser med hjälp av begränsade administrativa hanteringsenheter?
För närvarande stöds skydd av Microsoft Entra-resurser i administrativa enheter för begränsad hantering. Resurser som hanteras utanför Microsoft Entra-ID stöds inte.
Jag kan inte ändra en medlem i en administrativ enhet för begränsad hantering.
Användaren, gruppen eller enheten är medlem i den administrativa enheten för begränsad hantering. Hanteringsrättigheterna är begränsade till administratörer som är begränsade till den administrativa enheten.