Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit

In Microsoft Entra ID können Sie einer Verwaltungseinheit Benutzer, Gruppen oder Geräte hinzufügen, um den Bereich der Rollenberechtigungen zu begrenzen. Das Hinzufügen einer Gruppe zu einer Verwaltungseinheit versetzt die Gruppe selbst, aber nicht die Mitglieder der Gruppe in den Verwaltungsbereich der Verwaltungseinheit. Weitere Informationen zu den Aktionen, die von Bereichsadministratoren ausgeführt werden können, finden Sie unter Verwaltungseinheiten in Microsoft Entra ID.

In diesem Artikel wird beschrieben, wie Sie Verwaltungseinheiten manuell Benutzer, Gruppen oder Geräte hinzufügen. Informationen zum dynamischen Hinzufügen von Benutzern oder Geräten zu Verwaltungseinheiten mithilfe von Regeln finden Sie unter Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau).

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
  • Gehen Sie wie folgt vor, um vorhandene Benutzer, Gruppen oder Geräte hinzuzufügen:
    • „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
  • Gehen Sie wie folgt vor, um neue Gruppen zu erstellen:
    • Gruppenadministrator (auf die Verwaltungseinheit oder das gesamte Verzeichnis beschränkt) oder globaler Administrator
  • Microsoft Graph PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Microsoft Entra Admin Center

Sie können Benutzer, Gruppen oder Geräte über das Microsoft Entra Admin Center zu Verwaltungseinheiten hinzufügen. Sie können Benutzer auch per Massenvorgang hinzufügen oder eine neue Gruppe in einer Verwaltungseinheit erstellen.

Hinzufügen eines einzelnen Benutzers, einer Gruppe oder eines Geräts zu Verwaltungseinheiten

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität.

  3. Navigieren Sie zu einem der folgenden Elemente:

    • Benutzer>Alle Benutzer
    • Gruppen>Alle Gruppen
    • Geräte>Alle Geräte
  4. Wählen Sie den Benutzer, die Gruppe oder das Gerät aus, den/die/das Sie zu einer Verwaltungseinheit hinzufügen möchten.

  5. Wählen Sie Verwaltungseinheiten aus.

  6. Wählen Sie die Option Der Verwaltungseinheit zuweisen aus.

  7. Wählen Sie im Bereich Auswählen die Verwaltungseinheiten und dann Alle Gruppen aus.

    Screenshot of the Administrative units page for adding a user to an administrative unit.

Hinzufügen von Benutzern, Gruppen oder Geräten zu einer einzelnen Verwaltungseinheit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer, Gruppen oder Geräte hinzufügen möchten.

  4. Wählen Sie eines der folgenden Szenarien aus:

    • Benutzer
    • Gruppen
    • Geräte
  5. Wählen Sie Mitglied hinzufügen, Hinzufügen oder Gerät hinzufügen aus.

  6. Wählen Sie im Bereich Auswählen die Benutzer, Gruppen oder Geräte aus, die Sie der Verwaltungseinheit hinzufügen möchten, und wählen Sie dann Auswählen aus.

    Screenshot of adding multiple devices to an administrative unit.

Hinzufügen von Benutzer*innen zu einer Verwaltungseinheit in einem Massenvorgang

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer hinzufügen möchten.

  4. Wählen Sie User>Bulk operations>Bulk add members (Benutzer > Massenvorgang > Massenhinzufügen von Mitgliedern) aus.

    Screenshot of the Users page for assigning users to an administrative unit as a bulk operation.

  5. Laden Sie im Bereich Massenhinzufügen von Mitgliedern die Vorlage durch Komma getrennte Werte (CSV) herunter.

  6. Bearbeiten Sie die heruntergeladene CSV-Vorlage mit der Liste der Benutzer*innen, die Sie hinzufügen möchten.

    Fügen Sie in jeder Zeile einen Benutzerprinzipalnamen (UPN) hinzu. Entfernen Sie auf keinen Fall die beiden ersten Zeilen der Vorlage.

  7. Speichern Sie die Änderungen, und laden Sie die CSV-Datei hoch.

    Screenshot of an edited CSV file for adding users to an administrative unit in bulk.

  8. Klicken Sie auf Senden.

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, in der Sie eine neue Gruppe erstellen möchten.

  4. Wählen Sie Gruppen aus.

  5. Wählen Sie Neue Gruppe aus, und führen Sie die Schritte zum Erstellen einer neuen Gruppe aus.

    Screenshot of the Administrative units page for creating a new group in an administrative unit.

PowerShell

Verwenden Sie den Befehl Invoke-MgGraphRequest, um einer Verwaltungseinheit Benutzer, Gruppen oder Geräte hinzuzufügen oder eine neue Gruppe in einer Verwaltungseinheit zu erstellen.

Hinzufügen von Benutzern zu einer Verwaltungseinheit

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
       }'

Zuweisen von Gruppen zu einer Verwaltungseinheit

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
       }'

Hinzufügen von Geräten zu einer Verwaltungseinheit

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
       }'

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.type": "#Microsoft.Graph.Group",
         "description": "{Example group description}",
         "displayName": "{Example group name}",
         "groupTypes": [
              "Unified"
          ],
         "mailEnabled": true,
          "mailNickname": "{exampleGroup}",
          "securityEnabled": false
       }'

Microsoft Graph-API

Verwenden Sie die API zum Hinzufügen eines Mitglieds, um einer Verwaltungseinheit Benutzer, Gruppen oder Geräte hinzuzufügen oder eine neue Gruppe in einer Verwaltungseinheit zu erstellen.

Hinzufügen von Benutzern zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Beispiel

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Zuweisen von Gruppen zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Beispiel

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Hinzufügen von Geräten zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Text

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Nächste Schritte