建立或刪除管理單位

重要

受限制的管理管理單位目前處於預覽狀態。 請參閱 產品條款，以瞭解適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的法律條款。

系統管理單位可讓您將組織細分為您想要的任何單位，然後指派只能管理該單位成員的特定系統管理員。 例如，您可以使用系統管理單位，將許可權委派給大型大學每個學校的系統管理員，以便他們只能控制存取權、管理使用者，以及只在工程學院設定原則。

本文說明如何建立或刪除系統管理單位，以限制Microsoft Entra ID 中的角色許可權範圍。

先決條件

• 每個管理單位系統管理員都需具備 Microsoft Entra ID P1 或 P2 授權
• Microsoft系統管理單位成員的 [項目標識符] 免費授權
• 特殊許可權角色管理員角色
• Microsoft Graph PowerShell 模組在使用 PowerShell 時
• 使用 Graph Explorer 執行 Microsoft Graph API 時的系統管理員同意

如需詳細資訊，請參閱 使用 PowerShell 或 Graph Explorer 的必要條件。

建立管理單位

您可以使用 Microsoft Entra 系統管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 來建立新的管理單位。

系統管理中心

提示

本文中的步驟可能會根據您所開始的入口網站有所不同。

1. 以至少 特殊許可權角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身分識別>角色 & 管理者>管理單位。

   

3. 選取 ，然後新增。

4. 在 [名稱] 方塊中，輸入管理單位的名稱。 選擇性地新增管理單位的描述。

5. 如果您不想讓租戶層級系統管理員能夠存取此管理單位，請將 [受限制的管理單位] 切換為 [是]。 如需詳細資訊，請參閱 受限制的管理管理單位。

   

6. 可選地，在 [指派角色] 標籤上，選取一個角色，然後選取要在此系統管理單位範圍內指派該角色的使用者。

   

7. 在 [檢查 + 建立] 索引標籤上，檢查管理單位和任何角色指派。

8. 選取 [建立] 按鈕。

PowerShell

使用 Connect-MgGraph 命令來登入您的租戶，並同意必要的權限。

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

使用 New-MgDirectoryAdministrativeUnit 命令來建立新的管理單位。

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

使用 New-MgBetaDirectoryAdministrativeUnit 命令來建立新的受限制管理管理單位。 將 IsMemberManagementRestricted 屬性設定為 $true。

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Graph API

使用 建立 administrativeUnit API 來建立新的管理單位。

請求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

身體

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

使用 Create administrativeUnit （beta） API 來建立新的受限制管理管理單位。 將 isMemberManagementRestricted 屬性設定為 true。

請求

POST https://graph.microsoft.com/beta/administrativeUnits

身體

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

刪除管理單位

在 Microsoft Entra ID 中，您可以刪除不再需要作為系統管理角色範圍單位的系統管理單位。 刪除管理單位之前，您應該移除具有該管理單位範圍的任何角色指派。

系統管理中心

1. 以至少 特殊許可權角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身分識別>角色 & 管理者>管理單位。

3. 選取您想要刪除的系統管理單位。

4. 選擇 [角色和系統管理員]，然後開啟角色以檢視角色分配。

5. 移除具有管理單位範圍的所有角色指派。

6. 瀏覽至 身分識別>角色 & 管理者>管理單位。

7. 在您要刪除的管理單位旁勾選勾號。

8. 選擇 刪除。

   

9. 若要確認您要刪除管理單位，請選擇 [是] [是]。

PowerShell

使用 Remove-MgDirectoryAdministrativeUnit 命令來刪除管理單位。

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Graph API

使用 Delete administrativeUnit API 來刪除管理單位。

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

後續步驟

• 將使用者、群組或裝置新增至管理單位
• 指派 Microsoft Entra 角色給管理單位範疇
• Microsoft Entra 管理單位：問題排解與常見問題解答