Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa

In Microsoft Entra ID è possibile aggiungere utenti, gruppi o dispositivi a un'unità amministrativa per limitare l'ambito delle autorizzazioni del ruolo. L'aggiunta di un gruppo a un'unità amministrativa comporta l'inserimento del gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non dei membri del gruppo. Per altri dettagli sulle operazioni che gli amministratori con ambito possono eseguire, vedere Unità amministrative in Microsoft Entra ID.

Questo articolo descrive come aggiungere manualmente utenti, gruppi o dispositivi alle unità amministrative. Per informazioni su come aggiungere utenti o dispositivi alle unità amministrative in modo dinamico usando le regole, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.

Prerequisiti

• Licenza microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrative
• Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
• Per aggiungere utenti, gruppi o dispositivi esistenti:
  • Amministratore dei ruoli con privilegi
• Per creare nuovi gruppi:
  • Amministratore gruppi (con ambito per l'unità amministrativa o l'intera directory)
• PowerShell di Microsoft Graph
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

È possibile aggiungere utenti, gruppi o dispositivi alle unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile aggiungere utenti in un'operazione in blocco o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere un singolo utente, gruppo o dispositivo alle unità amministrative

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità.

3. Andare su uno dei seguenti:

   • Utenti>Tutti gli utenti
   • Gruppi>Tutti i gruppi
   • Dispositivi>Tutti i dispositivi

4. Selezionare l'utente, il gruppo o il dispositivo da aggiungere alle unità amministrative.

5. Selezionare Unità amministrative.

6. Selezionare Assegna all'unità amministrativa.

7. Nel riquadro Seleziona selezionare le unità amministrative e quindi selezionare Seleziona.

   

Aggiungere utenti, gruppi o dispositivi a una singola unità amministrativa

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Ruoli identità>e amministratori Unità di amministrazione.>

3. Selezionare l'unità amministrativa a cui si vogliono aggiungere utenti, gruppi o dispositivi.

4. Selezionare una delle opzioni seguenti:

   • Utenti
   • Gruppi
   • Dispositivi

5. Selezionare Aggiungi membro, Aggiungi o Aggiungi dispositivo.

6. Nel riquadro Seleziona selezionare gli utenti, i gruppi o i dispositivi da aggiungere all'unità amministrativa e quindi selezionare Seleziona.

   

Aggiungere utenti a un'unità amministrativa in un'operazione in blocco

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Ruoli identità>e amministratori Unità di amministrazione.>

3. Selezionare l'unità amministrativa a cui si desidera aggiungere utenti.

4. Selezionare Utenti>Operazioni>bulk Aggiungere membri in blocco.

   

5. Nel riquadro Aggiungi membri in blocco scaricare il modello di valori delimitati da virgole (CSV).

6. Modificare il modello CSV scaricato con l'elenco di utenti da aggiungere.

   Aggiungere un nome dell'entità utente (UPN) in ogni riga. Non rimuovere le prime due righe del modello.

7. Salvare le modifiche e caricare il file CSV.

   

8. Selezionare Invia.

Creare un nuovo gruppo in un'unità amministrativa

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.

2. Passare a Ruoli identità>e amministratori Unità di amministrazione.>

3. Selezionare l'unità amministrativa in cui si vuole creare un nuovo gruppo.

4. Seleziona Gruppi.

5. Selezionare Nuovo gruppo e completare i passaggi per creare un nuovo gruppo.

   

PowerShell

Usare il comando New-MgDirectoryAdministrativeUnitMemberByRef per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere utenti a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Aggiungere gruppi a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Aggiungere dispositivi a un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Creare un nuovo gruppo in un'unità amministrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

API di Microsoft Graph

Usare l'API Aggiungi un membro per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.

Aggiungere utenti a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Esempio

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Aggiungere gruppi a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Esempio

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Aggiungere dispositivi a un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Testo

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Creare un nuovo gruppo in un'unità amministrativa

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Testo

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Passaggi successivi

• Unità amministrative in Microsoft Entra ID
• Assegnare i ruoli di Microsoft Entra con ambito unità amministrativa
• Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica
• Rimuovere utenti, gruppi o dispositivi da un'unità amministrativa