重要
制限付き管理管理単位は現在プレビュー段階です。
ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される法的条件については、 製品使用条件 を参照してください。
管理単位を使用すると、組織を任意の単位に分割し、そのユニットのメンバーのみを管理できる特定の管理者を割り当てることができます。 たとえば、管理単位を使用して、大規模な大学の各学校の管理者にアクセス許可を委任し、アクセスを制御し、ユーザーを管理し、エンジニアリングの学校でのみポリシーを設定することができます。
この記事では、管理単位を作成または削除して、Microsoft Entra ID のロールアクセス許可のスコープを制限する方法について説明します。
前提 条件
- 各管理単位管理者の Microsoft Entra ID P1 または P2 ライセンス
- 管理単位メンバー向けの Microsoft Entra ID 無料ライセンス
- 特権ロール管理者ロール
- PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
- Microsoft Graph API 用 Graph エクスプローラーを使用する場合の管理者の同意
詳細については、「powerShell または Graph Explorerを使用するための 前提条件」を参照してください。
管理単位を作成する
Microsoft Entra 管理センター、Microsoft Entra PowerShell、または Microsoft Graph を使用して、新しい管理単位を作成できます。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
[Entra ID]>[ロールと管理者]>[管理単位] に移動します。
![[管理単位] ページのスクリーンショット。](media/admin-units-manage/nav-to-admin-units.png)
追加を選択します。
[ 名前 ] ボックスに、管理単位の名前を入力します。 必要に応じて、管理単位の説明を追加します。
テナント レベルの管理者がこの管理単位にアクセスできないようにするには、[制限付き管理単位の ] トグルを [はい]に設定します。 詳細については、「制限付き管理単位 」を参照してください。
![[管理単位の追加] ページと、管理単位の名前を入力するための [名前] ボックスを示すスクリーンショット。](media/admin-units-manage/add-new-admin-unit.png)
必要に応じて、[ ロールの割り当て ] タブでロールを選択し、この管理単位スコープでロールを割り当てるユーザーを選択します。
![この管理単位スコープでロールの割り当てを追加する [割り当ての追加] ウィンドウを示すスクリーンショット。](media/admin-units-manage/assign-roles-admin-unit.png)
[ 確認と作成 ] タブで、管理単位とロールの割り当てを確認します。
[ 作成 ] ボタンを選択します。
Connect-MgGraph コマンドを使用してテナントにサインインし、必要なアクセス許可に同意します。
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
New-MgDirectoryAdministrativeUnit コマンドを使用して、新しい管理単位を作成します。
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
New-MgBetaDirectoryAdministrativeUnit コマンドを使用して、新しい制限付き管理管理単位を作成します。 IsMemberManagementRestricted プロパティを $trueに設定します。
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Create administrativeUnit API を使用して、新しい管理単位を作成します。
依頼
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
本文
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Create administrativeUnit (beta) API を使用して、新しい制限付き管理単位を作成します。 isMemberManagementRestricted プロパティを trueに設定します。
依頼
POST https://graph.microsoft.com/beta/administrativeUnits
本文
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
管理単位を削除する
Microsoft Entra ID では、管理ロールのスコープの単位として不要になった管理単位を削除できます。 管理単位を削除する前に、その管理単位スコープを持つロールの割り当てを削除する必要があります。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
[Entra ID]>[ロールと管理者]>[管理単位] に移動します。
削除する管理単位を選択します。
[ ロールと管理者] を選択し、ロールを開いてロールの割り当てを表示します。
管理単位スコープを持つすべてのロールの割り当てを削除します。
[Entra ID]>[ロールと管理者]>[管理単位] に移動します。
削除する管理単位の横にチェック マークを追加します。
[ 削除] を選択します。
![管理単位の [削除] ボタンと確認ウィンドウのスクリーンショット。](media/admin-units-manage/select-admin-unit-to-delete.png)
管理単位を削除することを確認するには、[はい]選択します。
Remove-MgDirectoryAdministrativeUnit コマンドを使用して、管理単位を削除します。
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
管理単位を削除するには、 delete administrativeUnit API を使用します。
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}
次の手順
![[管理単位] ページのスクリーンショット。](media/admin-units-manage/nav-to-admin-units.png#lightbox)
![[管理単位の追加] ページと、管理単位の名前を入力するための [名前] ボックスを示すスクリーンショット。](media/admin-units-manage/add-new-admin-unit.png#lightbox)
![この管理単位スコープでロールの割り当てを追加する [割り当ての追加] ウィンドウを示すスクリーンショット。](media/admin-units-manage/assign-roles-admin-unit.png#lightbox)
![管理単位の [削除] ボタンと確認ウィンドウのスクリーンショット。](media/admin-units-manage/select-admin-unit-to-delete.png#lightbox)