创建或删除管理单元
重要
受限管理管理单元目前处于预览状态。
有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 产品条款。
管理单元允许将组织细分为所需的任何单元,然后分配只能管理该单元成员的特定管理员。 例如,可以使用管理单元将权限委派给大型大学每个学校的管理员,以便他们只能在工程学院控制访问权限、管理用户和设置策略。
本文介绍如何创建或删除管理单元,以限制Microsoft Entra ID 中的角色权限范围。
先决条件
- 对于每个管理单元管理员,需拥有 Microsoft Entra ID P1 或 P2 许可证。
- Microsoft Entra ID 免费许可证适用于管理单元成员
- 特权角色管理员角色
- 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
- 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意
有关详细信息,请参阅 使用 PowerShell 或 Graph 浏览器的先决条件。
创建管理单元
可以使用 Microsoft Entra 管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 创建新的管理单元。
提示
本文中的步骤可能会因您一开始使用的门户而略有不同。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择“添加”。
在 名称 框中,输入管理单元的名称。 (可选)添加管理单元的说明。
如果不希望租户级管理员能够访问此管理单元,请将 受限管理单元 的切换设置为 “是”。 有关详细信息,请参阅 受限管理单元。
(可选)在“分配角色”选项卡上,选择一个角色,然后选择用户,在此管理单元范围内将角色分配给他们。
在“查看 + 创建”选项卡上,查看管理单元和任何角色分配。
选择创建按钮。
使用 Connect-MgGraph 命令可登录到租户,并同意所需权限。
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
使用 New-MgDirectoryAdministrativeUnit 命令创建新的管理单元。
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
使用 New-MgBetaDirectoryAdministrativeUnit 命令创建新的受限管理管理单元。 将 IsMemberManagementRestricted
属性设置为 $true
。
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
使用 创建 managementUnit API 创建新的管理单元。
请求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
正文
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
使用 创建 managementUnit (beta) API 创建新的受限管理管理单元。 将 isMemberManagementRestricted
属性设置为 true
。
请求
POST https://graph.microsoft.com/beta/administrativeUnits
正文
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
删除管理单元
在 Microsoft Entra ID 中,可以删除不再需要作为管理角色范围单元的管理单元。 删除管理单元之前,应删除具有该管理单元范围的任何角色分配。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择要删除的管理单元。
选择“角色和管理员”,并打开一个角色查看角色分配。
删除具有管理单元范围的所有角色分配。
浏览到“标识”>“角色和管理员”>“管理单元”。
在要删除的管理单元旁边添加复选标记。
选择 删除。
若要确认要删除管理单元,请选择“是”。
使用 Remove-MgDirectoryAdministrativeUnit 命令删除管理单元。
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
使用 Delete managementUnit API 删除管理单元。
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}
后续步骤