Erstellen oder Löschen von Verwaltungseinheiten

Mit Verwaltungseinheiten können Sie Ihre Organisation wie gewünscht in eine beliebige Einheit unterteilen und dann spezifische Administratoren zuweisen, mit denen nur die Mitglieder dieser Einheit verwaltet werden können. Beispielsweise können Sie Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren jeder Schule an einer großen Universität zu delegieren, sodass sie den Zugriff steuern, Benutzer verwalten und Richtlinien nur in der School of Engineering festlegen können.

In diesem Artikel wird beschrieben, wie Sie Verwaltungseinheiten erstellen oder löschen, um den Bereich der Rollenberechtigungen in Azure Active Directory (Azure AD) einzuschränken.

Voraussetzungen

  • Azure AD Premium P1- oder P2-Lizenz für jeden Administrator der Verwaltungseinheit
  • Azure AD Free-Lizenzen für Mitglieder von Verwaltungseinheiten
  • „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
  • AzureAD-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Erstellen einer administrativen Einheit

Sie können Gruppen einer Verwaltungseinheit hinzufügen, indem Sie das Azure-Portal, PowerShell oder Microsoft Graph verwenden.

Azure-Portal

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Klicken Sie auf Azure Active Directory>Verwaltungseinheiten.

    Screenshot of the Administrative units page in Azure AD.

  3. Wählen Sie Hinzufügen.

  4. Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.

    Screenshot showing the Add administrative unit page and the Name box for entering the name of the administrative unit.

  5. Optional können Sie auf der Registerkarte Rollen zuweisen eine Rolle und dann die Benutzer auswählen, denen die Rolle mit diesem Verwaltungseinheitenbereich zugewiesen werden soll.

    Screenshot showing the Add assignments pane to add role assignments with this administrative unit scope.

  6. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.

  7. Wählen Sie die Schaltfläche Erstellen.

PowerShell

Verwenden Sie den Befehl New-AzureADMSAdministrativeUnit, um eine neue Verwaltungseinheit zu erstellen.

New-AzureADMSAdministrativeUnit -Description "West Coast region" -DisplayName "West Coast"

Microsoft Graph-API

Verwenden Sie die API Create administrativeUnit, um eine neue Verwaltungseinheit zu erstellen.

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Text

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Löschen einer administrativen Einheit

In Azure AD können Sie eine Verwaltungseinheit löschen, die nicht mehr als Bereichseinheit für Administratorrollen benötigt wird. Bevor Sie die Verwaltungseinheit löschen, sollten Sie alle Rollenzuweisungen mit diesem Verwaltungseinheitenbereich entfernen.

Azure-Portal

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Wählen Sie Azure Active Directory>Verwaltungseinheiten und dann die Verwaltungseinheit aus, die Sie löschen möchten.

  3. Wählen Sie Rollen und Administratoren aus, und öffnen Sie dann eine Rolle, um die Rollenzuweisungen anzuzeigen.

  4. Entfernen Sie alle Rollenzuweisungen mit dem Verwaltungseinheitenbereich.

  5. Klicken Sie auf Azure Active Directory>Verwaltungseinheiten.

  6. Fügen Sie ein Häkchen neben der Verwaltungseinheit hinzu, die Sie entfernen möchten.

  7. Klicken Sie auf Löschen.

    Screenshot of the administrative unit Delete button and confirmation window.

  8. Klicken Sie auf Ja, um zu bestätigen, dass Sie die Verwaltungseinheit löschen möchten.

PowerShell

Verwenden Sie den Befehl Remove-AzureADMSAdministrativeUnit, um eine Verwaltungseinheit zu löschen.

$adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'DeleteMe Admin Unit'"
Remove-AzureADMSAdministrativeUnit -Id $adminUnitObj.Id

Microsoft Graph-API

Verwenden Sie die API Delete administrativeUnit, um eine Verwaltungseinheit zu löschen.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Nächste Schritte