向管理单元添加用户、组或设备
在 Microsoft Entra ID 中,可将用户、组或设备添加到管理单元,以限制角色权限的范围。 将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 有关范围内的管理员可以执行哪些操作的其他详细信息,请参阅 Microsoft Entra ID 中的管理单元。
本文介绍如何将用户、组或设备手动添加到管理单元。 有关如何使用规则向管理单元动态添加用户或设备的信息,请参阅管理具有动态成员资格组规则的管理单元的用户或设备。
先决条件
- 每个管理单元管理员都具有 Microsoft Entra ID P1 或 P2 许可证
- 管理单元成员具有 Microsoft Entra ID 免费许可证
- 添加现有用户、组或设备:
- 特权角色管理员
- 若要创建新组,请执行以下操作:
- 组管理员(范围限定为管理单元或整个目录)
- Microsoft Graph PowerShell
- 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意
有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件。
Microsoft Entra 管理中心
可以使用 Microsoft Entra 管理中心将用户、组或设备添加到管理单元。 你还可以在批量操作中添加用户或在管理单元中创建新组。
向管理单元添加单个用户、组或设备
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”。
浏览到以下位置之一:
- “用户”>“所有用户”
- “组”>“所有组”
- “设备”>“所有设备”
选择要添加到管理单元的用户、组或设备。
选择“管理单元”。
选择“分配给管理单元”。
在“选择”窗格中选择管理单元,然后选择“选择”。
向单个管理单元添加用户、组或设备
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择要向其中添加用户、组或设备的管理单元。
选择以下方案之一:
- 用户
- 组
- 设备
选择“添加成员”、“添加”或“添加设备”。
在“选择”窗格中,选择要添加到管理单元的用户、组或设备,然后选择“选择”。
通过批量操作将用户添加到管理单元
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择要向其中添加用户的管理单元。
选择“用户”>“批量操作”>“批量添加成员” 。
在“批量添加成员”窗格中,下载逗号分隔值 (CSV) 模板。
使用要添加的用户的列表编辑下载的 CSV 模板。
在每行中添加一个用户主体名称 (UPN)。 请勿删除模板的前两行。
保存更改并上传 CSV 文件。
选择“提交”。
在管理单元中创建新组
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择要在其中创建新组的管理单元。
选择“组”。
选择“新建组”并完成创建新组的步骤。
PowerShell
使用 New-MgDirectoryAdministrativeUnitMemberByRef 命令将用户、组或设备添加到管理单元或在管理单元中创建新组。
向管理单元添加用户
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
向管理单元添加组
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
向管理单元添加设备
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
在管理单元中创建新组
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
Microsoft Graph API
使用添加成员 API 将用户、组或设备添加到管理单元或在管理单元中创建新组。
向管理单元添加用户
请求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
正文
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
示例
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
向管理单元添加组
请求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
正文
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
示例
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
向管理单元添加设备
请求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
正文
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
在管理单元中创建新组
请求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
正文
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}