Voor meer gedetailleerd beheer in Microsoft Entra ID kunt u gebruikers toewijzen aan een Microsoft Entra-rol met een bereik dat is beperkt tot een of meer beheereenheden. Zie Werken met beheereenheden voor voorbeelden van PowerShell-scripts voor algemene taken.
Algemeen
Waarom kan ik geen beheereenheid maken?
U moet ten minste de rol Beheerder van bevoorrechte rol zijn toegewezen om een beheereenheid te maken in Microsoft Entra-id. Controleer of de gebruiker die probeert de beheereenheid te maken, de rol Beheerder van bevoorrechte rol krijgt toegewezen.
Ik heb een groep toegevoegd aan een beheereenheid. Waarom worden de groepsleden daar nog steeds niet weergegeven?
Wanneer u een groep toevoegt aan een beheereenheid, leidt dit niet tot alle leden van de groep die eraan worden toegevoegd. Gebruikers moeten rechtstreeks worden toegewezen aan de beheereenheid.
Ik heb zojuist een lid van de beheereenheid toegevoegd (of verwijderd). Waarom wordt het lid niet weergegeven (of nog steeds weergegeven) op de gebruikersinterface?
Soms kan het een paar minuten duren voordat een of meer leden van een beheereenheid worden toegevoegd of verwijderd. U kunt ook rechtstreeks naar de eigenschappen van de gekoppelde resource gaan en zien of de actie is voltooid. Zie Gebruikers, groepen of apparaten weergeven in een beheereenheid voor meer informatie over leden in beheereenheden.
Ik ben een gedelegeerde wachtwoordbeheerder in een beheereenheid. Waarom kan ik het wachtwoord van een specifieke gebruiker niet opnieuw instellen?
Als beheerder van een beheereenheid kunt u wachtwoorden alleen opnieuw instellen voor gebruikers die zijn toegewezen aan uw beheereenheid. Zorg ervoor dat de gebruiker waarvan het opnieuw instellen van het wachtwoord mislukt, deel uitmaakt van de beheereenheid waaraan u bent toegewezen. Als de gebruiker deel uitmaakt van dezelfde beheereenheid, maar u het wachtwoord van de gebruiker nog steeds niet opnieuw kunt instellen, controleert u de rollen die aan de gebruiker zijn toegewezen.
Om uitbreiding van bevoegdheden te voorkomen, kan een beheerder binnen het bereik van een beheereenheid het wachtwoord van een gebruiker die is toegewezen aan een rol met een organisatiebreed bereik niet opnieuw instellen.
Waarom zijn beheereenheden nodig? Kunnen we beveiligingsgroepen niet gebruiken als manier om een bereik te definiëren?
Beveiligingsgroepen hebben een bestaand doel- en autorisatiemodel. Een gebruikersbeheerder kan bijvoorbeeld het lidmaatschap van alle beveiligingsgroepen in de Microsoft Entra-organisatie beheren. De rol kan groepen gebruiken om de toegang tot toepassingen zoals Salesforce te beheren. Een gebruikersbeheerder mag het overdrachtsmodel zelf niet beheren. Dit zou het resultaat zijn als beveiligingsgroepen zijn uitgebreid ter ondersteuning van scenario's voor resourcegroepering.
Beheereenheden, zoals organisatie-eenheden in Windows Server Active Directory, zijn bedoeld om een manier te bieden voor het beheer van een breed scala aan adreslijstobjecten. Beveiligingsgroepen zelf kunnen lid zijn van resourcebereiken. Het gebruik van beveiligingsgroepen om de set beveiligingsgroepen te definiëren die een beheerder kan beheren, kan verwarrend worden.
Wat betekent het toevoegen van een groep aan een beheereenheid?
Als u een groep toevoegt aan een beheereenheid, wordt de groep zelf opgenomen in het beheerbereik van de beheereenheid, maar niet de leden van de groep. Zie Beheereenheden in Microsoft Entra ID voor meer informatie.
Kan een resource (gebruiker, groep of apparaat) lid zijn van meer dan één beheereenheid?
Ja, een resource kan lid zijn van meer dan één beheereenheid. De resource kan worden beheerd door alle beheerders binnen het hele organisatie- en beheerbereik die machtigingen hebben voor de resource.
Zijn er beheereenheden beschikbaar in B2C-organisaties?
Nee, beheereenheden zijn niet beschikbaar voor B2C-organisaties.
Worden geneste beheereenheden ondersteund?
Nee, geneste beheereenheden worden niet ondersteund.
Worden beheereenheden ondersteund in PowerShell en de Microsoft Graph API?
Ja. U vindt ondersteuning voor beheereenheden in de documentatie en voorbeeldscripts voor PowerShell-cmdlets.
Zoek ondersteuning voor het resourcetype administrativeUnit in Microsoft Graph.
Dynamische beheereenheden
Ik heb zojuist een regel opgeslagen voor dynamische lidmaatschapsgroepen voor een beheereenheid, maar ik zie nog geen gebruikers ingevuld.
De initiële update van een beheereenheid kan enkele minuten duren, afhankelijk van de grootte van uw tenant en de huidige belasting van de Microsoft Entra-id.
Na het maken van een regel voor dynamische lidmaatschapsgroepen in het Microsoft Entra-beheercentrum met behulp van de opbouwfunctie voor regels en het opslaan, krijg ik de fout 'Kan beheereenheideigenschappen niet bijwerken'.
Dit betekent meestal dat er een probleem is met de opgegeven eigenschapswaarden. Controleer of de eigenschapswaarden die u hebt opgegeven, een juist waardetype hebben (Booleaanse waarde, tekenreeks of tekenreeksverzameling). Zie de toegestane waarden voor elke operator voor gebruikers of apparaten voor meer informatie.
Deze fout kan ook resulteren als een persoon zonder Een Microsoft Entra ID P1-licentie probeert een update op te slaan in de beheereenheid.
Hoe kan ik één lid toevoegen aan een beheereenheid naast de huidige regel voor dynamische lidmaatschapsgroepen?
Als u één gebruiker wilt toevoegen, voegt u een geschikte expressie met de OR queryoperator toe aan de regel voor dynamische lidmaatschapsgroepen.
Ik ben een beheerder van bevoorrechte rollen, maar ik kan geen leden toevoegen of verwijderen voor een beheereenheid.
Wanneer een beheereenheid is geconfigureerd voor dynamische lidmaatschapsgroepen, moet u de regels voor dynamische lidmaatschapsgroepen bewerken om het lidmaatschap te wijzigen.
Hoeveel beheereenheden met regels voor dynamische lidmaatschapsgroepen kan ik in een tenant maken?
Het totale aantal dynamische lidmaatschapsgroepen en dynamische beheereenheden gecombineerd mag niet groter zijn dan 15.000.
Is er een limiet voor het aantal tekens in een regel voor dynamische lidmaatschapsgroepen?
Ja. 3072 tekens.
Kan ik beheereenheden maken met regels voor dynamische lidmaatschapsgroepen in de Microsoft 365-beheercentrum?
Nee
Beheereenheden met beperkte beheerrechten (preview)
Ik ben de eigenaar van een groep die lid is van een beheereenheid met beperkte toegang. Hoe worden mijn machtigingen beïnvloed?
Als eigenaar van een beveiligde groep kunt u deze niet alleen beheren op basis van eigendom. Voor het beheren van beveiligde resources moet momenteel een rol worden toegewezen aan het bereik van de beheereenheid met beperkte beheereenheden van de beveiligde resource.
Hoe worden mijn Microsoft 365-resources beïnvloed door beperkte beheereenheden te gebruiken?
Momenteel wordt het beveiligen van Microsoft Entra-resources in beheereenheden voor beperkt beheer ondersteund. Resources die buiten Microsoft Entra-id worden beheerd, worden niet ondersteund.
Ik kan een lid van een beheereenheid met beperkte beheerrechten niet wijzigen.
De gebruiker, groep of apparaat is lid van een beheereenheid met beperkte beheerrechten. Beheerrechten zijn beperkt tot beheerders binnen het bereik van die beheereenheid.