Untuk kontrol administratif yang lebih terperinci di ID Microsoft Entra, Anda dapat menetapkan pengguna ke peran Microsoft Entra dengan cakupan yang terbatas pada satu atau beberapa unit administratif. Untuk sampel skrip PowerShell untuk tugas umum, lihat Bekerja dengan unit administratif.
Umum
Mengapa saya tidak bisa membuat unit administratif?
Anda harus diberi setidaknya peran Administrator Peran Istimewa untuk membuat unit administratif di ID Microsoft Entra. Periksa untuk memastikan bahwa pengguna yang mencoba membuat unit administratif diberi peran Administrator Peran Istimewa.
Saya menambahkan grup ke unit administratif. Mengapa anggota grup masih belum muncul disini?
Saat Anda menambahkan grup ke unit administratif, itu tidak mengakibatkan semua anggota grup ditambahkan ke dalamnya. Pengguna harus langsung ditetapkan ke unit administratif.
Saya baru saja menambahkan (atau menghapus) anggota dari unit administrasi. Mengapa anggota tidak muncul (atau masih muncul) pada antarmuka pengguna?
Terkadang, penambahan atau penghapusan satu atau lebih anggota unit administratif mungkin membutuhkan beberapa menit untuk terlihat di panel Unit administratif. Atau, Anda dapat langsung masuk ke properti sumber daya terkait dan melihat apakah tindakan tersebut telah selesai. Untuk informasi selengkapnya tentang pengguna dalam unit administratif, lihat Daftar pengguna, grup, atau perangkat di unit administratif.
Saya mendelegasikan Admin Kata Sandi pada unit administratif. Mengapa saya tidak bisa mengatur ulang kata sandi pengguna yang spesifik?
Sebagai admin dari unit administratif, Anda dapat mengatur ulang kata sandi hanya untuk pengguna yang ditetapkan ke unit administratif Anda. Pastikan bahwa pengguna yang gagal mereset kata sandinya termasuk dalam unit administratif tempat Anda ditetapkan. Jika pengguna termasuk dalam unit administratif yang sama tetapi Anda masih tidak dapat mereset kata sandi pengguna, periksa peran yang ditetapkan untuk pengguna tersebut.
Untuk mencegah elevasi, admin cakupan unit administratif tidak dapat mereset kata sandi pengguna yang ditetapkan ke peran dengan cakupan di seluruh organisasi.
Mengapa unit administratif diperlukan? Tidak bisakah kita menggunakan kelompok keamanan sebagai cara untuk menentukan cakupan?
Kelompok keamanan memiliki tujuan dan model otorisasi yang sudah ada. Administrator Pengguna, misalnya, dapat mengelola keanggotaan semua grup keamanan di organisasi Microsoft Entra. Peran tersebut mungkin menggunakan grup untuk mengelola akses ke aplikasi seperti Salesforce. Administrator Pengguna seharusnya tidak dapat mengelola model delegasi itu sendiri, yang akan menjadi hasil jika grup keamanan diperluas untuk mendukung skenario "pengelompokan sumber daya".
Unit administratif, seperti unit organisasi di Active Directory lokal, dimaksudkan untuk menyediakan cara untuk mencakup administrasi berbagai objek direktori. Kelompok keamanannya sendiri dapat menjadi anggota cakupan sumber daya. Menggunakan kelompok keamanan untuk menentukan set kelompok keamanan yang dapat dikelola admin bisa menjadi membingungkan.
Apa artinya menambahkan grup ke unit administratif?
Menambahkan grup ke unit administratif membawa grup itu sendiri ke dalam lingkup pengelolaan unit administratif, tetapi bukan anggota grup. Untuk informasi selengkapnya, lihat Unit administratif di ID Microsoft Entra.
Bisakah sumber daya (pengguna, grup, atau perangkat) menjadi anggota dari lebih dari satu unit administratif?
Ya, sumber daya dapat menjadi anggota dari lebih dari satu unit administratif. Sumber daya dapat dikelola oleh semua admin organisasi dan cakupan unit administratif yang memiliki izin atas sumber daya.
Apakah unit administratif tersedia di organisasi B2C?
Tidak, unit administratif tidak tersedia untuk organisasi B2C.
Apakah unit administratif berlapis didukung?
Tidak, unit administratif berlapis tidak didukung.
Apakah unit administratif didukung di PowerShell dan Microsoft Graph API?
Ya. Anda akan menemukan dukungan untuk unit administratif dalam dokumentasi cmdlet PowerShell dan sampel skrip.
Temukan dukungan untuk jenis sumber daya administrativeUnit di Microsoft Graph.
Unit administratif dinamis
Saya baru saja menyimpan aturan untuk grup keanggotaan dinamis untuk unit administratif, tetapi saya belum melihat pengguna yang diisi.
Pembaruan awal unit administratif dapat memakan waktu beberapa menit tergantung pada ukuran penyewa Anda dan beban ID Microsoft Entra saat ini.
Setelah membuat aturan untuk grup keanggotaan dinamis di pusat admin Microsoft Entra menggunakan penyusun aturan dan mencoba menyimpan, saya mendapatkan kesalahan "Gagal memperbarui properti unit administratif".
Ini biasanya berarti ada masalah dengan nilai properti yang disediakan. Konfirmasikan bahwa nilai properti yang Anda berikan memiliki tipe nilai yang tepat (Boolean, string, atau koleksi string). Untuk informasi selengkapnya, lihat nilai yang diizinkan untuk setiap operator pengguna atau perangkat.
Kesalahan ini juga dapat mengakibatkan seseorang tanpa lisensi Microsoft Entra ID P1 mencoba menyimpan pembaruan ke unit administratif.
Bagaimana cara menambahkan satu anggota ke unit administratif selain aturan saat ini untuk grup keanggotaan dinamis?
Untuk menambahkan satu pengguna, tambahkan ekspresi yang sesuai dengan OR operator kueri ke aturan untuk grup keanggotaan dinamis.
Saya adalah Administrator Peran Istimewa, tetapi saya tidak dapat menambahkan atau menghapus anggota untuk unit administratif.
Ketika unit administratif telah dikonfigurasi untuk grup keanggotaan dinamis, Anda harus mengedit aturan untuk grup keanggotaan dinamis untuk mengubah keanggotaan.
Berapa banyak unit administratif dengan aturan untuk grup keanggotaan dinamis yang dapat saya buat di penyewa?
Jumlah total grup keanggotaan dinamis dan unit administratif dinamis yang digabungkan tidak boleh melebihi 15.000.
Apakah ada batasan jumlah karakter dalam aturan untuk grup keanggotaan dinamis?
Ya. 3.072 karakter.
Dapatkah saya membuat unit administratif dengan aturan untuk grup keanggotaan dinamis di pusat admin Microsoft 365?
Tidak.
Unit administratif manajemen terbatas (Pratinjau)
Saya adalah pemilik grup yang merupakan anggota unit administratif manajemen terbatas. Bagaimana izin saya terpengaruh?
Sebagai pemilik grup yang dilindungi, Anda tidak akan dapat mengelolanya hanya berdasarkan kepemilikan. Mengelola sumber daya yang dilindungi saat ini memerlukan peran untuk ditetapkan pada cakupan unit administratif manajemen terbatas dari sumber daya yang dilindungi.
Bagaimana sumber daya Microsoft 365 saya terpengaruh dengan menggunakan unit administratif manajemen terbatas?
Saat ini, mengamankan sumber daya Microsoft Entra di unit administratif manajemen terbatas didukung. Sumber daya yang dikelola di luar ID Microsoft Entra tidak didukung.
Saya tidak dapat memodifikasi anggota unit administratif manajemen terbatas.
Pengguna, grup, atau perangkat adalah anggota unit administratif manajemen terbatas. Hak manajemen terbatas pada administrator yang terlingkup dalam unit administratif tersebut.