Créer ou supprimer des unités administratives
Important
Les unités administratives de gestion restreinte sont actuellement en PRÉVERSION. Consultez les conditions du produit pour les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Les unités administratives vous permettent de subdiviser votre organisation en une unité de votre choix, puis d’affecter des administrateurs spécifiques qui peuvent gérer uniquement les membres de cette unité. Par exemple, vous pourriez utiliser des unités administratives pour déléguer des autorisations aux administrateurs de chaque école dans une grande université, afin qu’ils puissent contrôler l’accès et gérer les utilisateurs, et définir des stratégies uniquement dans l’école d’ingénierie.
Cet article explique comment créer ou supprimer des unités administratives pour limiter l’étendue des autorisations de rôle dans Microsoft Entra ID.
Prérequis
- Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
- Licences Microsoft Entra ID gratuites pour les membres de l’unité administrative
- Rôle Administrateur de rôle privilégié
- Module Microsoft.Graph en tirant parti de Microsoft Graph PowerShell
- Module Azure AD PowerShell lors de l’utilisation de PowerShell
- Module AzureADPreview lors de l’utilisation de PowerShell et d’unités administratives de gestion restreinte
- Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour l’API Microsoft Graph
Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.
Créer une unité administrative
Vous pouvez créer une unité administrative à l’aide du centre d’administration Microsoft Entra, de PowerShell ou de Microsoft Graph.
Centre d’administration Microsoft Entra
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez Ajouter.
Dans la zone Nom, entrez le nom de l’unité administrative. Si vous le souhaitez, ajoutez une description de l’unité administrative.
Si vous ne souhaitez pas que les administrateurs au niveau du locataire puissent accéder à cette unité administrative, définissez le bouton bascule Unité administrative de gestion restreinte sur Oui. Pour plus d’informations, consultez Unités administratives de gestion restreinte.
Si vous le souhaitez, dans l’onglet Attribuer des rôles, sélectionnez un rôle, puis sélectionnez les utilisateurs auxquels attribuer le rôle avec cette étendue d’unité administrative.
Dans l’onglet Réviser + créer, passez en revue l’unité administrative et toutes les attributions de rôles.
Cliquez sur le bouton Créer.
PowerShell
Utilisez la commande Connect-MgGraph pour vous connecter à votre locataire source et consentir aux autorisations requises.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Utilisez la commande New-MgDirectoryAdministrativeUnit pour créer une unité d’administration.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Utilisez la commande New-MgBetaDirectoryAdministrativeUnit pour créer une nouvelle unité administrative de gestion restreinte. Définissez la propriété IsMemberManagementRestricted sur $true.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
API Microsoft Graph
Utilisez l’API Create administrativeUnit pour créer une unité administrative.
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corps
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Utilisez l’API Create administrativeUnit (bêta) pour créer une nouvelle unité administrative de gestion restreinte. Définissez la propriété isMemberManagementRestricted sur true.
Requête
POST https://graph.microsoft.com/beta/administrativeUnits
body
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Supprimer une unité administrative
Dans Microsoft Entra ID, vous pouvez supprimer une unité administrative dont vous n’avez plus besoin comme une unité d’étendue pour les rôles d’administration. Avant de supprimer l’unité administrative, vous devez supprimer toutes les attributions de rôles avec cette étendue d’unité administrative.
Centre d’administration Microsoft Entra
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative que vous souhaitez supprimer.
Sélectionnez Rôles et administrateurs, puis ouvrez un rôle pour afficher les attributions correspondantes.
Supprimez toutes les attributions de rôles avec l’étendue de l’unité administrative.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Ajoutez une coche en regard de l’unité administrative à supprimer.
Sélectionnez Supprimer.
Pour confirmer que vous souhaitez supprimer l’unité administrative, sélectionnez Oui.
PowerShell
Utilisez la commande Remove-MgDirectoryAdministrativeUnit pour supprimer une unité administrative.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
API Microsoft Graph
Utilisez l’API Delete administrativeUnit pour supprimer une unité administrative.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}