创建或删除管理单元

重要

受限管理管理单元目前处于预览状态。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款，请参阅 产品条款。

管理单元允许将组织细分为所需的任何单元，然后分配只能管理该单元成员的特定管理员。 例如，可以使用管理单元将权限委派给大型大学每个学校的管理员，以便他们只能在工程学院控制访问权限、管理用户和设置策略。

本文介绍如何创建或删除管理单元，以限制Microsoft Entra ID 中的角色权限范围。

先决条件

• 对于每个管理单元管理员，需拥有 Microsoft Entra ID P1 或 P2 许可证。
• Microsoft Entra ID 免费许可证适用于管理单元成员
• 特权角色管理员角色
• 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
• 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅 使用 PowerShell 或 Graph 浏览器的先决条件。

创建管理单元

可以使用 Microsoft Entra 管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 创建新的管理单元。

管理中心

提示

本文中的步骤可能会因您一开始使用的门户而略有不同。

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“角色和管理员”>“管理单元”。

   

3. 选择“添加”。

4. 在 名称 框中，输入管理单元的名称。 （可选）添加管理单元的说明。

5. 如果不希望租户级管理员能够访问此管理单元，请将 受限管理单元 的切换设置为 “是”。 有关详细信息，请参阅 受限管理单元。

   

6. （可选）在“分配角色”选项卡上，选择一个角色，然后选择用户，在此管理单元范围内将角色分配给他们。

   

7. 在“查看 + 创建”选项卡上，查看管理单元和任何角色分配。

8. 选择创建按钮。

PowerShell

使用 Connect-MgGraph 命令可登录到租户，并同意所需权限。

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

使用 New-MgDirectoryAdministrativeUnit 命令创建新的管理单元。

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

使用 New-MgBetaDirectoryAdministrativeUnit 命令创建新的受限管理管理单元。 将 IsMemberManagementRestricted 属性设置为 $true。

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API

使用 创建 managementUnit API 创建新的管理单元。

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

正文

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

使用 创建 managementUnit （beta） API 创建新的受限管理管理单元。 将 isMemberManagementRestricted 属性设置为 true。

请求

POST https://graph.microsoft.com/beta/administrativeUnits

正文

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

删除管理单元

在 Microsoft Entra ID 中，可以删除不再需要作为管理角色范围单元的管理单元。 删除管理单元之前，应删除具有该管理单元范围的任何角色分配。

管理中心

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“角色和管理员”>“管理单元”。

3. 选择要删除的管理单元。

4. 选择“角色和管理员”，并打开一个角色查看角色分配。

5. 删除具有管理单元范围的所有角色分配。

6. 浏览到“标识”>“角色和管理员”>“管理单元”。

7. 在要删除的管理单元旁边添加复选标记。

8. 选择 删除。

   

9. 若要确认要删除管理单元，请选择“是”。

PowerShell

使用 Remove-MgDirectoryAdministrativeUnit 命令删除管理单元。

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API

使用 Delete managementUnit API 删除管理单元。

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

后续步骤

• 将用户、组或设备添加到管理单元
• 分配具有管理单元范围的 Microsoft Entra 角色
• Microsoft Entra 管理单元：故障排除和常见问题解答