Ajouter des utilisateurs, des groupes ou des appareils à une unité administrative

Dans Microsoft Entra ID, vous pouvez ajouter des utilisateurs, des groupes ou des appareils à une unité administrative pour limiter l’étendue des autorisations de rôle. L’ajout d’un groupe à une unité administrative amène le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. Pour plus d’informations sur ce que les administrateurs étendus peuvent faire, consultez Unités administratives dans Microsoft Entra ID.

Cet article explique comment ajouter manuellement des utilisateurs, des groupes ou des appareils aux unités administratives. Pour plus d’informations sur l’ajout dynamique d’utilisateurs ou d’appareils à des unités administratives à l’aide de règles, consultez Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenances dynamiques.

Prerequisites

• Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
• Licences Microsoft Entra ID gratuites pour les membres de l’unité administrative
• Pour ajouter des utilisateurs, des groupes ou des appareils existants :
  • Administrateur de rôle privilégié
• Pour créer des groupes :
  • Administrateur de groupes (limité à l’unité administrative ou au répertoire entier)
• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement administrateur lors de l’utilisation de l’explorateur graphique pour l’API Microsoft Graph

Pour plus d’informations, consultez Conditions préalables pour utiliser PowerShell ou l’Explorateur Graph.

Centre d’administration

Vous pouvez ajouter des utilisateurs, des groupes ou des appareils à des unités administratives à l’aide du centre d’administration Microsoft Entra. Vous pouvez également ajouter des utilisateurs dans une opération en bloc ou créer un groupe dans une unité administrative.

Ajouter un seul utilisateur, un groupe ou un appareil à des unités administratives

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

2. Accédez à Entra ID.

3. Accédez à l’une des options suivantes :

   • Utilisateurs>Tous les utilisateurs
   • Groupe>Tous les groupes
   • Dispositifs>Tous les appareils

4. Sélectionnez l’utilisateur, le groupe ou l’appareil que vous souhaitez ajouter aux unités administratives.

5. Sélectionnez Unités administratives.

6. Sélectionnez Affecter à l’unité administrative.

7. Dans le volet Sélectionner , sélectionnez les unités administratives, puis sélectionnez Sélectionner.

   

Ajouter des utilisateurs, des groupes ou des appareils à une seule unité administrative

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

2. Accédez à Entra ID>Rôles et administrateurs>Unités administratives.

3. Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des utilisateurs, des groupes ou des appareils.

4. Sélectionnez l’une des options suivantes :

   • Utilisateurs
   • Groupes
   • Dispositifs

5. Sélectionnez Ajouter un membre, Ajouter ou ajouter un appareil.

6. Dans le volet Sélectionner , sélectionnez les utilisateurs, les groupes ou les appareils que vous souhaitez ajouter à l’unité administrative, puis sélectionnez Sélectionner.

   

Ajouter des utilisateurs à une unité administrative dans une opération en bloc

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

2. Accédez à Entra ID>Rôles et administrateurs>Unités administratives.

3. Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des utilisateurs.

4. Sélectionnez Utilisateurs>Opérations en bloc>Ajouter des membres en bloc.

   

5. Dans le volet Ajouter des membres en bloc , téléchargez le modèle de valeurs séparées par des virgules (CSV).

6. Modifiez le modèle CSV téléchargé avec la liste des utilisateurs à ajouter.

   Ajoutez un nom d’utilisateur principal (UPN) dans chaque ligne. Ne supprimez pas les deux premières lignes du modèle.

7. Enregistrez vos modifications et chargez le fichier CSV.

   

8. Sélectionnez Envoyer.

Créer un groupe dans une unité administrative

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de groupes au moins.

2. Accédez à Entra ID>Rôles et administrateurs>Unités administratives.

3. Sélectionnez l’unité administrative dans laquelle vous souhaitez créer un groupe.

4. Sélectionnez Groupes.

5. Sélectionnez Nouveau groupe et effectuez les étapes de création d’un groupe.

   

PowerShell

Utilisez la commande New-MgDirectoryAdministrativeUnitMemberByRef pour ajouter des utilisateurs, des groupes ou des appareils à une unité administrative ou créer un groupe dans une unité administrative.

Ajouter des utilisateurs à une unité administrative

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Ajouter des groupes à une unité administrative

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Ajouter des appareils à une unité administrative

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Créer un groupe dans une unité administrative

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

API Graph

Utilisez l’API Ajouter un membre pour ajouter des utilisateurs, des groupes ou des appareils à une unité administrative ou créer un groupe dans une unité administrative.

Ajouter des utilisateurs à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corps

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Exemple

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Ajouter des groupes à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corps

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Exemple

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Ajouter des appareils à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corps

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Créer un groupe dans une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Corps

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Étapes suivantes

• Unités administratives dans l’ID Microsoft Entra
• Attribuer des rôles Microsoft Entra avec une étendue d’unité administrative
• Gérer des utilisateurs ou des appareils pour une unité administrative avec des règles pour les groupes d’appartenances dynamiques
• Supprimer des utilisateurs, des groupes ou des appareils d’une unité administrative