向管理单元添加用户、组或设备

在 Microsoft Entra ID 中,可将用户、组或设备添加到管理单元,以限制角色权限的范围。 将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 有关范围内的管理员可以执行哪些操作的其他详细信息,请参阅 Microsoft Entra ID 中的管理单元

本文介绍如何将用户、组或设备手动添加到管理单元。 有关如何使用规则向管理单元动态添加用户或设备的信息,请参阅管理具有动态成员资格组规则的管理单元的用户或设备

先决条件

  • 每个管理单元管理员都具有 Microsoft Entra ID P1 或 P2 许可证
  • 管理单元成员具有 Microsoft Entra ID 免费许可证
  • 添加现有用户、组或设备:
    • 特权角色管理员
  • 若要创建新组,请执行以下操作:
    • 组管理员(范围限定为管理单元或整个目录)
  • Microsoft Graph PowerShell
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

Microsoft Entra 管理中心

可以使用 Microsoft Entra 管理中心将用户、组或设备添加到管理单元。 你还可以在批量操作中添加用户或在管理单元中创建新组。

向管理单元添加单个用户、组或设备

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”。

  3. 浏览到以下位置之一:

    • “用户”>“所有用户”
    • “组”>“所有组”
    • “设备”>“所有设备”
  4. 选择要添加到管理单元的用户、组或设备。

  5. 选择“管理单元”。

  6. 选择“分配给管理单元”。

  7. 在“选择”窗格中选择管理单元,然后选择“选择”。

    用于将用户添加到管理单元的“管理单元”页的屏幕截图。

向单个管理单元添加用户、组或设备

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要向其中添加用户、组或设备的管理单元。

  4. 选择以下方案之一:

    • 用户
    • 设备
  5. 选择“添加成员”、“添加”或“添加设备”。

  6. 在“选择”窗格中,选择要添加到管理单元的用户、组或设备,然后选择“选择”。

    将多个设备添加到管理单元的屏幕截图。

通过批量操作将用户添加到管理单元

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要向其中添加用户的管理单元。

  4. 选择“用户”>“批量操作”>“批量添加成员” 。

    以批量操作形式将用户分配给管理单元的“用户”页的屏幕截图。

  5. 在“批量添加成员”窗格中,下载逗号分隔值 (CSV) 模板。

  6. 使用要添加的用户的列表编辑下载的 CSV 模板。

    在每行中添加一个用户主体名称 (UPN)。 请勿删除模板的前两行。

  7. 保存更改并上传 CSV 文件。

    用于向管理单元批量添加用户的已编辑 CSV 文件的屏幕截图。

  8. 选择“提交”。

在管理单元中创建新组

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要在其中创建新组的管理单元。

  4. 选择“组”。

  5. 选择“新建组”并完成创建新组的步骤。

    用于在管理单元中创建新组的“管理单元”页的屏幕截图。

PowerShell

使用 New-MgDirectoryAdministrativeUnitMemberByRef 命令将用户、组或设备添加到管理单元或在管理单元中创建新组。

向管理单元添加用户

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

向管理单元添加组

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

向管理单元添加设备

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

在管理单元中创建新组

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Microsoft Graph API

使用添加成员 API 将用户、组或设备添加到管理单元或在管理单元中创建新组。

向管理单元添加用户

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

示例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

向管理单元添加组

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

示例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

向管理单元添加设备

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

在管理单元中创建新组

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

正文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

后续步骤