관리 단위 만들기 또는 삭제
Important
제한된 관리 장치는 현재 미리 보기 버전입니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 법적 용어는 제품 약관을 참조하세요.
관리 단위를 사용하면 원하는 단위로 조직을 세분화한 다음 해당 단위의 구성원만 관리할 수 있는 특정 관리자를 할당할 수 있습니다. 예를 들어, 관리 단위를 사용하여 대규모 대학의 각 학교 관리자에게 권한을 위임하여 공학부에서만 액세스를 제어하고 사용자를 관리하고 정책을 설정할 수 있도록 할 수 있습니다.
이 문서에서는 Microsoft Entra ID에서 역할 권한 범위를 제한하기 위해 관리 장치를 만들거나 삭제하는 방법을 설명합니다.
필수 조건
- 각 관리 단위 관리자를 위한 Microsoft Entra ID P1 또는 P2 라이선스
- 관리 장치 멤버를 위한 Microsoft Entra ID Free 라이선스
- 권한 있는 역할 관리자 역할
- Microsoft Graph PowerShell 사용 시 Microsoft.Graph 모듈
- PowerShell을 사용할 때 Azure AD PowerShell 모듈
- PowerShell 및 제한된 관리 장치를 사용하는 경우 AzureADPreview 모듈
- Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의.
자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.
관리 단위 만들기
Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph를 사용하여 새 관리 장치를 만들 수 있습니다.
Microsoft Entra 관리 센터
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>관리 단위로 이동합니다.
추가를 선택합니다.
이름 상자에 관리 단위의 이름을 입력합니다. 필요에 따라 관리 단위에 대한 설명을 추가합니다.
테넌트 수준 관리자가 이 관리 장치에 액세스할 수 없도록 하려면 제한된 관리 장치 토글을 예로 설정합니다. 자세한 내용은 제한된 관리 장치를 참조하세요.
필요에 따라 역할 할당 탭에서 역할을 선택한 다음, 이 관리 단위 범위에서 역할을 할당할 사용자를 선택합니다.
검토 + 만들기 탭에서 관리 단위 및 역할 할당을 검토합니다.
만들기 단추를 선택합니다.
PowerShell
Connect-MgGraph 명령을 사용하여 테넌트에 로그인하고 필요한 권한에 동의합니다.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
New-MgDirectoryAdministrativeUnit 명령을 사용하여 새 관리 단위를 만듭니다.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
제한된 관리 장치를 새로 만들려면 New-MgBetaDirectoryAdministrativeUnit 명령을 사용합니다. IsMemberManagementRestricted
속성을 $true
로 설정합니다.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Create managementUnit API를 사용하여 새 관리 단위를 만듭니다.
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
본문
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
새로운 제한된 관리 장치를 만들려면 CreateadministrativeUnit(베타) API를 사용합니다. isMemberManagementRestricted
속성을 true
로 설정합니다.
Request
POST https://graph.microsoft.com/beta/administrativeUnits
본문
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
관리 장치 삭제
Microsoft Entra ID에서는 관리 역할의 범위 단위로 더 이상 필요하지 않은 관리 장치를 삭제할 수 있습니다. 관리 단위를 삭제하기 전에 해당 관리 단위 범위가 있는 역할 할당을 제거해야 합니다.
Microsoft Entra 관리 센터
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>관리 단위로 이동합니다.
삭제할 관리 장치를 선택합니다.
역할 및 관리자를 선택한 다음, 역할을 열어 역할 할당을 확인합니다.
관리 단위 범위가 있는 모든 역할 할당을 제거합니다.
ID>역할 및 관리자>관리 단위로 이동합니다.
삭제할 관리 단위 옆에 확인 표시를 추가합니다.
삭제를 선택합니다.
관리 단위 삭제를 확인하려면 예를 선택합니다.
PowerShell
관리 장치를 삭제하려면 Remove-MgDirectoryAdministrativeUnit 명령을 사용합니다.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
관리 단위 삭제 API를 사용하여 관리 단위를 삭제합니다.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}