Um eine präzisere administrative Steuerung in Microsoft Entra ID zu ermöglichen, können Sie Benutzern eine Microsoft Entra-Rolle mit einem auf eine einzelne oder mehrere Verwaltungseinheiten beschränkten Bereich zuweisen. PowerShell-Beispielskripts für häufige Aufgaben finden Sie unter Arbeiten mit Verwaltungseinheiten.
Allgemein
Warum kann ich keine Verwaltungseinheit erstellen?
Sie müssen mindestens die Rolle Administrator für privilegierte Rollen zugewiesen haben, um eine Verwaltungseinheit in Microsoft Entra ID zu erstellen. Stellen Sie sicher, dass dem Benutzer, der versucht, die Verwaltungseinheit zu erstellen, die Rolle Administrator für privilegierte Rollen zugewiesen hat.
Ich habe einer Verwaltungseinheit eine Gruppe hinzugefügt. Warum werden die Mitglieder der Gruppe trotzdem nicht angezeigt?
Wenn Sie einer Verwaltungseinheit eine Gruppe hinzufügen, führt dies nicht dazu, dass ihr alle Mitglieder der Gruppe hinzugefügt werden. Die Benutzer müssen der Verwaltungseinheit direkt zugewiesen werden.
Ich habe gerade ein Mitglied der Verwaltungseinheit hinzugefügt (oder daraus entfernt). Warum wird das Mitglied nicht (oder noch) auf der Benutzeroberfläche angezeigt?
Manchmal kann es nach dem Hinzufügen oder Entfernen von einem oder mehreren Mitgliedern der Verwaltungseinheit einige Minuten dauern, bis die Änderung auf der Seite Verwaltungseinheiten angezeigt wird. Alternativ können Sie auch direkt zu den Eigenschaften der zugehörigen Ressource wechseln und überprüfen, ob die Aktion abgeschlossen wurde. Weitere Informationen zu Mitgliedern in Verwaltungseinheiten finden Sie unter Auflisten von Benutzern oder Gruppen in einer Verwaltungseinheit.
Ich bin ein delegierter Kennwortadministrator für eine Verwaltungseinheit. Warum kann ich das Kennwort eines bestimmten Benutzers nicht zurücksetzen?
Als Administrator einer Verwaltungseinheit können Sie nur die Kennwörter für Benutzer zurücksetzen, die Ihrer Verwaltungseinheit zugewiesen sind. Stellen Sie sicher, dass der Benutzer, dessen Kennwort nicht zurückgesetzt werden kann, zu der Verwaltungseinheit gehört, der Sie zugewiesen sind. Wenn der Benutzer zur gleichen Verwaltungseinheit gehört, Sie aber das Kennwort des Benutzers trotzdem nicht zurücksetzen können, überprüfen Sie die dem Benutzer zugewiesenen Rollen.
Um eine Rechteerweiterung zu verhindern, kann ein Administrator einer Verwaltungseinheit das Kennwort eines Benutzers nicht zurücksetzen, der einer Rolle mit organisationsweitem Geltungsbereich zugewiesen ist.
Wozu sind Verwaltungseinheiten erforderlich? Könnten wir einen Bereich nicht auch mithilfe von Sicherheitsgruppen definieren?
Für Sicherheitsgruppen gibt es ein bestehendes Zweck- und Autorisierungsmodell. Beispielsweise kann ein Benutzeradministrator die Mitgliedschaft aller Sicherheitsgruppen in der Microsoft Entra-Organisation verwalten. Die Rolle kann Gruppen verwenden, um den Zugriff auf Anwendungen wie Salesforce zu verwalten. Ein Benutzeradministrator sollte nicht in der Lage sein, das Delegierungsmodell selbst zu verwalten, was das Ergebnis wäre, wenn Sicherheitsgruppen erweitert würden, um Szenarien für „Ressourcengruppierung“ zu unterstützen.
Verwaltungseinheiten (wie Organisationseinheiten in Windows Server Active Directory) sollen eine Möglichkeit darstellen, die Verwaltung einer Vielzahl von Verzeichnisobjekten in Bereiche zu unterteilen. Sicherheitsgruppen selbst können Mitglieder von Ressourcenbereichen sein. Die Verwendung von Sicherheitsgruppen zum Definieren einer Gruppe von Sicherheitsgruppen, die ein Administrator verwalten kann, könnte zu Verwirrung führen.
Was bedeutet es, eine Gruppe zu einer Verwaltungseinheit hinzuzufügen?
Das Hinzufügen einer Gruppe zu einer Verwaltungseinheit versetzt die Gruppe selbst in den Verwaltungsbereich der Verwaltungseinheit, nicht aber die Mitglieder der Gruppe. Weitere Informationen finden Sie unter Verwaltungseinheiten in Microsoft Entra ID.
Kann eine Ressource (Benutzer, Gruppe oder Gerät) mehreren Verwaltungseinheiten angehören?
Ja. Eine Ressource (Benutzer oder Gruppe) kann in mehr als einer Verwaltungseinheit Mitglied sein. Die Ressource kann von allen organisationsweiten Administratoren und von Administratoren einer Verwaltungseinheit verwaltet werden, die über Berechtigungen für die Ressource verfügen.
Sind Verwaltungseinheiten in B2C-Organisationen verfügbar?
Nein, Verwaltungseinheiten sind für B2C-Organisationen nicht verfügbar.
Werden geschachtelte Verwaltungseinheiten unterstützt?
Nein, geschachtelte Verwaltungseinheiten sind nicht unterstützt.
Werden Verwaltungseinheiten in PowerShell und in der Microsoft Graph-API unterstützt?
Ja. Entsprechende Informationen zur Unterstützung von Verwaltungseinheiten finden Sie in der Dokumentation zu PowerShell-Cmdlets und in Beispielskripts.
Informationen zur Unterstützung in Microsoft Graph finden Sie unter Ressourcentyp „administrativeUnit“.
Dynamische administrative Einheiten
Ich habe gerade eine Regel für dynamische Mitgliedergruppen für eine Verwaltungseinheit gespeichert, aber es wurden noch keine Benutzenden aufgefüllt.
Das erste Update einer Verwaltungseinheit kann je nach Größe Ihres Mandanten und der aktuellen Microsoft Entra ID-Auslastung einige Minuten dauern.
Nach dem Erstellen einer Regel für dynamische Mitgliedergruppen im Microsoft Entra Admin Center mithilfe des Regel-Generators und dem Versuch, sie zu speichern, wird die Fehlermeldung „Fehler beim Aktualisieren der Eigenschaften der Verwaltungseinheit“ angezeigt.
Das bedeutet in der Regel, dass ein Problem mit den angegebenen Eigenschaftswerten vorliegt. Vergewissern Sie sich, dass die angegebenen Eigenschaftswerte einen richtigen Werttyp (boolesch, Zeichenfolge oder Zeichenfolgensammlung) haben. Weitere Informationen finden Sie in den zulässigen Werten für die einzelnen Operatoren für Benutzer oder Geräte.
Dieser Fehler kann auch auftreten, wenn eine Person ohne Microsoft Entra ID P1-Lizenz versucht, ein Update in der Verwaltungseinheit zu speichern.
Wie kann ich zusätzlich zur aktuellen Regel für dynamische Mitgliedergruppen ein einzelnes Mitglied zu einer Verwaltungseinheit hinzufügen?
Um einzelne Benutzende hinzuzufügen, fügen Sie der Regel für dynamische Mitgliedergruppen einen entsprechenden Ausdruck mit dem Abfrageoperator OR
hinzu.
Ich bin Administrator für privilegierte Rollen, kann aber einer Verwaltungseinheit keine Mitglieder hinzufügen oder sie daraus entfernen.
Wenn eine Verwaltungseinheit für dynamische Mitgliedergruppen konfiguriert wurde, müssen Sie die Regeln für dynamische Mitgliedergruppen bearbeiten, um die Mitgliedschaft zu ändern.
Wie viele Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen kann ich in einem Mandanten erstellen?
Die Gesamtzahl der dynamischen Mitgliedschaftsgruppen und dynamischen administrativen Einheiten darf 15.000 nicht überschreiten.
Gibt es eine Begrenzung für die Anzahl der Zeichen in einer Regel für dynamische Mitgliedergruppen?
Ja. 3.072 Zeichen
Kann ich im Microsoft 365 Admin Center Verwaltungseinheiten mit Regeln für dynamische Mitgliedergruppen erstellen?
Nein
Verwaltungseinheiten mit eingeschränkter Verwaltung (Vorschau)
Ich bin der Besitzer einer Gruppe, die Mitglied einer eingeschränkten Verwaltungseinheit ist. Was bedeutet das für meine Berechtigungen?
Als ihr Besitzer können Sie eine geschützte Gruppe nicht nur auf dem Besitz basierend verwalten. Für die Verwaltung geschützter Ressourcen muss derzeit eine Rolle im Bereich der eingeschränkten Verwaltungseinheit der geschützten Ressource zugewiesen sein.
Wie sind meine Microsoft 365-Ressourcen durch die Verwendung eingeschränkter Verwaltungsverwaltungseinheiten betroffen?
Derzeit wird der Schutz von Microsoft Entra-Ressourcen in eingeschränkten Verwaltungseinheiten unterstützt. Ressourcen, die außerhalb von Microsoft Entra ID verwaltet werden, werden nicht unterstützt.
Ich kann ein Mitglied einer eingeschränkten Verwaltungseinheit nicht ändern.
Der Benutzer, die Gruppe oder das Gerät ist Mitglied der eingeschränkten Verwaltungseinheit. Die Verwaltungsrechte sind auf Administratoren begrenzt, die auf diese Verwaltungseinheit beschränkt sind.