Freigeben über


Erstellen oder Löschen von Verwaltungseinheiten

Wichtig

Verwaltungseinheiten mit eingeschränkter Verwaltung befinden sich derzeit in der VORSCHAU. Rechtliche Bedingungen für Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind, finden Sie in den Produktbedingungen.

Mit Verwaltungseinheiten können Sie Ihre Organisation wie gewünscht in eine beliebige Einheit unterteilen und dann spezifische Administratoren zuweisen, mit denen nur die Mitglieder dieser Einheit verwaltet werden können. Beispielsweise können Sie Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren jeder Schule an einer großen Universität zu delegieren, sodass sie den Zugriff steuern, Benutzer verwalten und Richtlinien nur in der School of Engineering festlegen können.

In diesem Artikel wird beschrieben, wie Sie Verwaltungseinheiten erstellen oder löschen, um den Bereich der Rollenberechtigungen in Microsoft Entra ID einzuschränken.

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
  • Rolle Administrator für privilegierte Rollen
  • Microsoft.Graph-Modul bei Verwendung von Microsoft Graph-PowerShell
  • Azure AD PowerShell-Modul bei Verwendung von PowerShell
  • AzureADPreview-Modul bei Verwendung von PowerShell und verwaltungsbeschränkten Verwaltungseinheiten
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Erstellen einer administrativen Einheit

Sie können Gruppen einer Verwaltungseinheit hinzufügen, indem Sie das Microsoft Entra Admin Center, PowerShell oder Microsoft Graph verwenden.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

    Screenshot der Seite „Verwaltungseinheiten“.

  3. Wählen Sie Hinzufügen aus.

  4. Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.

  5. Wenn Sie nicht möchten, dass Administratoren auf Mandantenebene auf diese Verwaltungseinheit zugreifen können, setzen Sie die Eingeschränkte Verwaltung von Verwaltungseinheiten auf Ja. Weitere Informationen dazu finden Sie unter Eingeschränkte Verwaltung von Verwaltungseinheiten.

    Screenshot der Seite „Verwaltungseinheit hinzufügen“ und des Felds „Name“ zum Eingeben des Namens der Verwaltungseinheit

  6. Optional können Sie auf der Registerkarte Rollen zuweisen eine Rolle und dann die Benutzer auswählen, denen die Rolle mit diesem Verwaltungseinheitenbereich zugewiesen werden soll.

    Screenshot des Bereichs „Zuweisungen hinzufügen“ zum Hinzufügen von Rollenzuweisungen mit dieser Verwaltungseinheit als Gültigkeitsbereich

  7. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.

  8. Wählen Sie die Schaltfläche Erstellen.

PowerShell

Verwenden Sie den Befehl Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden und den erforderlichen Berechtigungen zuzustimmen.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnit, um eine neue Verwaltungseinheit zu erstellen.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Verwenden Sie den Befehl New-MgBetaDirectoryAdministrativeUnit, um eine neue eingeschränkte Verwaltungseinheit zu erstellen. Setzen Sie die IsMemberManagementRestricted-Eigenschaft auf $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph-API

Verwenden Sie die API Create administrativeUnit, um eine neue Verwaltungseinheit zu erstellen.

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Body

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Verwenden Sie die API AdministrativeUnit (Beta) erstellen, um eine neue eingeschränkte Verwaltungseinheit zu erstellen. Setzen Sie die isMemberManagementRestricted-Eigenschaft auf true.

Anforderung

POST https://graph.microsoft.com/beta/administrativeUnits

Text

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Löschen einer administrativen Einheit

In Microsoft Entra ID können Sie eine Verwaltungseinheit löschen, die nicht mehr als Bereichseinheit für Administratorrollen benötigt wird. Bevor Sie die Verwaltungseinheit löschen, sollten Sie alle Rollenzuweisungen mit diesem Verwaltungseinheitenbereich entfernen.

Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, die Sie löschen möchten.

  4. Wählen Sie Rollen und Administratoren aus, und öffnen Sie dann eine Rolle, um die Rollenzuweisungen anzuzeigen.

  5. Entfernen Sie alle Rollenzuweisungen mit dem Verwaltungseinheitenbereich.

  6. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  7. Fügen Sie ein Häkchen neben der Verwaltungseinheit hinzu, die Sie entfernen möchten.

  8. Klicken Sie auf Löschen.

    Screenshot: Schaltfläche „Löschen“ und Bestätigungsfenster für eine Verwaltungseinheit

  9. Klicken Sie auf Ja, um zu bestätigen, dass Sie die Verwaltungseinheit löschen möchten.

PowerShell

Verwenden Sie den Befehl Remove-MgDirectoryAdministrativeUnit, um eine Verwaltungseinheit zu löschen.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Microsoft Graph-API

Verwenden Sie die API Delete administrativeUnit, um eine Verwaltungseinheit zu löschen.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Nächste Schritte