Membuat atau menghapus unit administratif

Penting

Unit administratif manajemen terbatas saat ini dalam PRATINJAU. Lihat Ketentuan Produk untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Unit administratif memungkinkan Anda membagi organisasi ke dalam unit apa pun yang Anda inginkan, lalu menetapkan admin tertentu yang hanya dapat mengelola anggota unit tersebut. Misalnya, Anda dapat menggunakan unit administratif untuk mendelegasikan izin kepada administrator masing-masing sekolah di universitas besar, sehingga mereka dapat mengontrol akses, mengelola pengguna, dan menetapkan kebijakan hanya di Sekolah Teknik.

Artikel ini menjelaskan cara membuat atau menghapus unit administratif untuk membatasi cakupan izin peran di ID Microsoft Entra.

Prasyarat

• Lisensi Microsoft Entra ID P1 atau P2 untuk setiap administrator unit administratif
• Lisensi Microsoft Entra ID Gratis untuk anggota unit administratif
• Peran Administrator Peran Istimewa
• Modul Microsoft.Graph saat menggunakan Microsoft Graph PowerShell
• Modul Azure ACTIVE Directory PowerShell saat menggunakan PowerShell
• Modul AzureADPreview saat menggunakan PowerShell dan unit administratif manajemen terbatas
• Izin admin saat menggunakan Graph Explorer untuk API Microsoft Graph

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Membuat unit administratif

Anda dapat membuat unit administratif baru dengan menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph.

Pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

2. Telusuri ke Peran Identitas>&>admin Unit admin.

   

3. Pilih Tambahkan.

4. Dalam kotak Nama, masukkan nama unit administratif. Secara opsional, tambahkan deskripsi unit administratif.

5. Jika Anda tidak ingin administrator tingkat penyewa dapat mengakses unit administratif ini, atur tombol Unit administratif manajemen terbatas ke Ya. Untuk informasi selengkapnya, lihat Unit administratif manajemen terbatas.

   

6. Secara opsional, pada tab Tetapkan peran, pilih peran lalu pilih pengguna untuk menetapkan peran dengan cakupan unit administratif ini.

   

7. Pada tab Tinjau + buat, tinjau unit administratif dan penetapan peran apa pun.

8. Pilih tombol Buat.

PowerShell

Microsoft Graph PowerShell

Gunakan perintah Koneksi-MgGraph untuk masuk ke penyewa Anda dan menyetujui izin yang diperlukan.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Gunakan perintah New-MgDirectoryAdministrativeUnit untuk membuat unit administratif baru.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Gunakan perintah New-MgBetaDirectoryAdministrativeUnit untuk membuat unit administratif manajemen terbatas baru. Atur properti IsMemberManagementRestricted ke $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Azure Active Directory PowerShell

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Gunakan perintah New-AzureADMSAdministrativeUnit untuk membuat unit administratif baru.

$adminUnitObj = New-AzureADMSAdministrativeUnit -Description "West Coast region" -DisplayName "West Coast"

Gunakan perintah New-AzureADMSAdministrativeUnit (pratinjau) untuk membuat unit administratif manajemen terbatas baru. Set IsMemberManagementRestricted parameter ke $true.

$restrictedAU = New-AzureADMSAdministrativeUnit -DisplayName "Contoso Executive Division" -IsMemberManagementRestricted $true

API Microsoft Graph

Gunakan API Create administrativeUnit untuk membuat unit administratif baru.

Minta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Isi

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Gunakan API Buat administrativeUnit (beta) untuk membuat unit administratif manajemen terbatas baru. Atur properti isMemberManagementRestricted ke true.

Minta

POST https://graph.microsoft.com/beta/administrativeUnits

Isi

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Menghapus unit administratif

Di ID Microsoft Entra, Anda dapat menghapus unit administratif yang tidak lagi Anda butuhkan sebagai unit cakupan untuk peran administratif. Sebelum menghapus unit administratif, Anda harus menghapus penetapan peran apa pun dengan cakupan unit administratif tersebut.

Pusat admin Microsoft Entra

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

2. Telusuri ke Peran Identitas>&>admin Unit admin.

3. Pilih unit administratif yang ingin Anda hapus.

4. Pilih Peran dan Admin, lalu buka peran untuk menampilkan penetapan peran.

5. Hapus semua penetapan peran dengan cakupan unit administratif.

6. Telusuri ke Peran Identitas>&>admin Unit admin.

7. Tambahkan tanda centang di sebelah unit administratif yang ingin Anda hapus.

8. Pilih Hapus.

   

9. Untuk mengonfirmasi bahwa Anda ingin menghapus unit administratif, pilih Ya.

PowerShell

Microsoft Graph PowerShell

Gunakan perintah Remove-MgDirectoryAdministrativeUnit untuk menghapus unit administratif.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Azure Active Directory PowerShell

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Gunakan perintah Remove-AzureADMSAdministrativeUnit untuk menghapus unit administratif.

$adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-AzureADMSAdministrativeUnit -Id $adminUnitObj.Id

API Microsoft Graph

Gunakan API Delete administrativeUnit untuk menghapus unit administratif.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Langkah berikutnya

• Menambahkan pengguna, grup, atau perangkat ke unit administratif
• Menetapkan peran Microsoft Entra dengan cakupan unit administratif
• Unit administratif Microsoft Entra: Pemecahan Masalah dan FAQ