为 Microsoft Entra 角色分配管理单元范围

若要在 Microsoft Entra ID 中实现更精细的管理控制,可以分配一个范围限定为一个或多个管理单元的 Microsoft Entra 角色。 当在管理单元的范围内分配 Microsoft Entra 角色时,角色权限仅在管理管理单元本身的成员时才适用,并且不适用于租户范围的设置或配置。

例如,在管理单元的作用域中分配了组管理员角色的管理员可以管理作为管理单元成员的组,但他们不能管理租户中的其他组。 它们也不能管理与组相关的租户级别设置,例如过期策略或组命名策略。

本文介绍如何将 Microsoft Entra 角色分配到管理单元范围。

先决条件

  • 每个管理单元管理员都具有 Microsoft Entra ID P1 或 P2 许可证
  • 管理单元成员具有 Microsoft Entra ID 免费许可证
  • 特权角色管理员
  • 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

可以分配管理单元范围的角色

可为以下 Microsoft Entra 角色分配管理单元范围。 此外,可以为任何自定义角色分配管理单元范围,只要自定义角色的权限包括至少一个与用户、组或设备相关的权限。

角色 说明
身份验证管理员 其访问权限仅限于查看、设置和重置所分配的管理单元中任何非管理员用户的身份验证方法信息。
云设备管理员 在 Microsoft Entra ID 中管理设备的受限访问权限。
组管理员 只能在分配的管理单元中管理组的所有方面。
支持管理员 只能重置所分配的管理单元中非管理员的密码。
许可证管理员 只能在管理单元内分配、删除和更新许可证分配。
密码管理员 只能重置所分配的管理单元中非管理员的密码。
打印机管理员 可以管理打印机和打印机连接器。 有关详细信息,请参阅在通用打印中委派打印机管理
特权身份验证管理员 可有权查看、设置和重置任何用户(管理员或非管理员)的身份验证方法信息。
SharePoint 管理员 只能在指定的管理单元中管理 Microsoft 365 组。 对于在管理单元中与 Microsoft 365 组关联的 SharePoint 站点,还可以使用 Microsoft 365 管理中心更新站点属性(站点名称、URL 和外部共享策略)。 无法使用 SharePoint 管理中心或 SharePoint API 来管理网站。
Teams 管理员 只能在指定的管理单元中管理 Microsoft 365 组。 可以在 Microsoft 365 管理中心内管理与指定管理单元中的组关联的团队成员。 无法使用 Teams 管理中心。
Teams 设备管理员 可在 Teams 认证的设备上执行管理相关任务。
用户管理员 只能在所分配的管理单元内管理用户和组的所有方面,包括重置受限管理员的密码。 当前无法管理用户的个人资料照片。
<自定义角色> 可以根据自定义角色的定义,执行应用于用户、组或设备的操作。

如果分配了管理单元范围,某些角色权限将仅适用于非管理员用户。 换言之,仅当用户没有管理员角色时,管理单元范围的支持管理员才能在管理单元中重置这些用户的密码。 当某个操作的目标为其他管理员时,将限制下列权限:

  • 读取和修改用户身份验证方法,或重置用户密码
  • 修改敏感的用户属性,例如电话号码、备用电子邮件地址或 Open Authorization (OAuth) 机密密钥
  • 删除或还原用户帐户

可以分配管理单元范围的安全主体

可以将以下安全主体分配给具有管理单元范围的角色:

  • 用户
  • Microsoft Entra 可分配角色的组
  • 服务主体

服务主体和来宾用户

服务主体和来宾用户将无法使用范围为管理单元的角色分配,除非他们还被分配了读取对象的相应权限。 这是因为默认情况下服务主体和来宾用户不会被授予目录读取权限,这是执行管理操作所必需的。 若要使服务主体或来宾用户能够使用作用域为管理单元的角色分配,必须分配租户范围内的目录读取者角色(或其他角色,该角色包括读取权限)。

目前无法分配作用域为管理单元的目录读取权限。 有关用户的默认权限的详细信息,请参阅默认用户权限

为角色分配管理单元范围

可使用 Microsoft Entra 管理中心、PowerShell 或 Microsoft Graph 为 Microsoft Entra 角色分配管理单元范围。

Microsoft Entra 管理中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要为其分配用户角色权限范围的管理单元。

  4. 在左侧窗格中,选择“角色和管理员”以列出所有可用的角色。

    “角色和管理员”窗格的屏幕截图,用于选择要分配角色范围的管理单元。

  5. 选择要分配的角色,然后选择“添加分配”。

  6. 在“添加分配”窗格中,选择要分配给该角色的一个或多个用户。

    选择要限定范围的角色,然后选择“添加分配”

注意

若要使用 Microsoft Entra Privileged Identity Management (PIM) 在管理单元上分配角色,请参阅在 PIM 中分配 Microsoft Entra 角色

PowerShell

使用 New-MgRoleManagementDirectoryRoleAssignment 命令和 DirectoryScopeId 参数分配具有管理单元作用域的角色。

$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

使用添加 scopedRoleMember API 分配具有管理单元作用域的角色。

请求

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

正文

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

列出管理单元范围的角色分配

可使用 Microsoft Entra 管理中心、PowerShell 或 Microsoft Graph 查看 Microsoft Entra 角色的管理单元范围分配列表。

Microsoft Entra 管理中心

可在 Microsoft Entra 管理中心的“管理单元”部分查看使用管理单元范围创建的所有角色分配。

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要查看的角色分配列表的管理单元。

  4. 选择“角色和管理员”,然后打开一个角色查看该管理单元中的分配。

PowerShell

使用 Get-MgDirectoryAdministrativeUnitScopedRoleMember 命令列出具有管理单元作用域的角色分配。

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Microsoft Graph API

使用列出 scopedRoleMembers API 列出具有管理单元作用域的角色分配。

请求

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

正文

{}

后续步骤