Skapa eller ta bort administrativa enheter

Viktig

Begränsade administrativa hanteringsenheter är för närvarande i förhandsversion. Se Produktvillkor för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Med administrativa enheter kan du dela upp din organisation i valfri enhet och sedan tilldela specifika administratörer som bara kan hantera medlemmarna i den enheten. Du kan till exempel använda administrativa enheter för att delegera behörigheter till administratörer för varje skola på ett stort universitet, så att de kan styra åtkomst, hantera användare och endast ange principer i Skolan för teknik.

I den här artikeln beskrivs hur du skapar eller tar bort administrativa enheter för att begränsa omfånget för rollbehörigheter i Microsoft Entra-ID.

Förutsättningar

• Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
• Kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar
• Privilegerad rolladministratörsroll
• Microsoft Graph PowerShell modul när du använder PowerShell
• Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Skapa en administrativ enhet

Du kan skapa en ny administrativ enhet med hjälp av antingen administrationscentret för Microsoft Entra, Microsoft Entra PowerShell eller Microsoft Graph.

Admincenter

Tips

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för privilegierade roller.

2. Bläddra till Identitet>Roller & administratörer>Admin-enheter.

   

3. Välj Lägg till.

4. I rutan Namn anger du namnet på den administrativa enheten. Du kan också lägga till en beskrivning av den administrativa enheten.

5. Om du inte vill att administratörer på hyrdatornivå ska kunna komma åt denna administrativa enhet, ställ in växlingen Begränsad hanteringsenhet på Ja. Mer information finns i administrativa enheter för begränsad hantering.

   

6. Du kan också välja en roll på fliken Tilldela roller och sedan välja de användare som rollen ska tilldelas till med det här administrativa enhetsomfånget.

   

7. På fliken Granska + skapa granskar du den administrativa enheten och eventuella rolltilldelningar.

8. Välj knappen Skapa.

PowerShell

Använd kommandot Connect-MgGraph för att logga in på din tenant och godkänna de behörigheter som krävs.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Använd kommandot New-MgDirectoryAdministrativeUnit för att skapa en ny administrativ enhet.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Använd kommandot New-MgBetaDirectoryAdministrativeUnit för att skapa en ny administrativ enhet för begränsad hantering. Ange egenskapen IsMemberManagementRestricted till $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API

Använd api:et Create administrativeUnit för att skapa en ny administrativ enhet.

Begäran

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Kropp

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Använd Create administrativeUnit (beta) API för att skapa en ny administrativ enhet för begränsad hantering. Ange egenskapen isMemberManagementRestricted till true.

Begäran

POST https://graph.microsoft.com/beta/administrativeUnits

Kropp

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Ta bort en administrativ enhet

I Microsoft Entra-ID kan du ta bort en administrativ enhet som du inte längre behöver som en omfångsenhet för administrativa roller. Innan du tar bort den administrativa enheten bör du ta bort eventuella rolltilldelningar med det administrativa enhetsomfånget.

Admincenter

1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för privilegierade roller.

2. Bläddra till Identitet>Roller & administratörer>Admin-enheter.

3. Välj den administrativa enhet som du vill ta bort.

4. Välj Roller och administratöreroch öppna sedan en roll för att visa rolltilldelningarna.

5. Ta bort alla rolltilldelningar med det administrativa enhetsomfånget.

6. Bläddra till Identitet>Roller & administratörer>Admin-enheter.

7. Lägg till en bockmarkering bredvid den administrativa enhet som du vill ta bort.

8. Välj Ta bort.

   

9. Bekräfta att du vill ta bort den administrativa enheten genom att välja Ja.

PowerShell

Använd kommandot Remove-MgDirectoryAdministrativeUnit för att ta bort en administrativ enhet.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API

Använd api:et Delete administrativeUnit för att ta bort en administrativ enhet.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Nästa steg

• Lägga till användare, grupper eller enheter i en administrativ enhet
• Tilldela Microsoft Entra-roller med administrationsenhetsomfång
• administrativa enheter i Microsoft Entra: Felsökning och vanliga frågor och svar