创建或删除管理单元

重要

受限管理管理单元目前处于预览状态。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 产品条款

管理单元允许将组织细分为所需的任何单元,然后分配只能管理该单元成员的特定管理员。 例如,可以使用管理单元将权限委派给大型大学每个学校的管理员,以便他们只能在工程学院控制访问权限、管理用户和设置策略。

本文介绍如何创建或删除管理单元,以限制Microsoft Entra ID 中的角色权限范围。

先决条件

  • 对于每个管理单元管理员,需拥有 Microsoft Entra ID P1 或 P2 许可证。
  • Microsoft Entra ID 免费许可证适用于管理单元成员
  • 特权角色管理员角色
  • 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅 使用 PowerShell 或 Graph 浏览器的先决条件

创建管理单元

可以使用 Microsoft Entra 管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 创建新的管理单元。

提示

本文中的步骤可能会因您一开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”

    “管理单元”页的屏幕截图。

  3. 选择“添加”。

  4. 名称 框中,输入管理单元的名称。 (可选)添加管理单元的说明。

  5. 如果不希望租户级管理员能够访问此管理单元,请将 受限管理单元 的切换设置为 “是”。 有关详细信息,请参阅 受限管理单元

    显示“添加管理单元”页和“名称”框的屏幕截图,用于输入管理单元的名称。

  6. (可选)在“分配角色”选项卡上,选择一个角色,然后选择用户,在此管理单元范围内将角色分配给他们。

    显示“添加分配”窗格以添加具有此管理单元范围的角色分配的屏幕截图。

  7. 在“查看 + 创建”选项卡上,查看管理单元和任何角色分配

  8. 选择创建按钮。

删除管理单元

在 Microsoft Entra ID 中,可以删除不再需要作为管理角色范围单元的管理单元。 删除管理单元之前,应删除具有该管理单元范围的任何角色分配。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”

  3. 选择要删除的管理单元。

  4. 选择“角色和管理员”,并打开一个角色查看角色分配

  5. 删除具有管理单元范围的所有角色分配。

  6. 浏览到“标识”>“角色和管理员”>“管理单元”

  7. 在要删除的管理单元旁边添加复选标记。

  8. 选择 删除

    管理单元“删除”按钮和确认窗口的屏幕截图。

  9. 若要确认要删除管理单元,请选择“是”

后续步骤