Beheereenheden maken of verwijderen
Belangrijk
Beheereenheden met beperkte beheerrechten bevinden zich momenteel in PREVIEW. Zie de productvoorwaarden voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.
Met beheereenheden kunt u uw organisatie onderverdelen in alle gewenste eenheden en vervolgens specifieke beheerders toewijzen die alleen de leden van die eenheid kunnen beheren. U kunt bijvoorbeeld beheereenheden gebruiken om machtigingen te delegeren aan beheerders van elke faculteit aan een grote universiteit, zodat ze de toegang kunnen beheren, gebruikers kunnen beheren en alleen beleidsregels kunnen instellen in bijvoorbeeld de faculteit Techniek.
In dit artikel wordt beschreven hoe u beheereenheden maakt of verwijdert om het bereik van rolmachtigingen in Microsoft Entra-id te beperken.
Vereisten
- Microsoft Entra ID P1- of P2-licentie voor elke beheerder van beheereenheden
- Gratis licenties voor Microsoft Entra ID's voor leden van de beheereenheid
- Bevoorrechte rol Beheer istrator
- Microsoft.Graph-module bij gebruik van Microsoft Graph PowerShell
- Azure AD PowerShell-module bij gebruik van PowerShell
- AzureADPreview-module bij het gebruik van PowerShell en beperkte beheereenheden
- Beheer toestemming bij het gebruik van Graph Explorer voor Microsoft Graph API
Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Beheereenheid maken
U kunt een nieuwe beheereenheid maken met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph.
Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Blader naar identiteitsrollen>> en beheerders Beheer eenheden.
Selecteer Toevoegen.
Voer in het vak Naam de naam van de beheereenheid in. Voeg eventueel een beschrijving van de beheereenheid toe.
Als u niet wilt dat beheerders op tenantniveau toegang hebben tot deze beheereenheid, stelt u de wisselknop Beperkt beheer in op Ja. Zie Beheereenheden met beperkte beheerrechten voor meer informatie.
Selecteer desgewenst op het tabblad Rollen toewijzen een rol en selecteer vervolgens de gebruikers waaraan u de rol wilt toewijzen met dit bereik voor de beheereenheid.
Controleer op het tabblad Controleren en maken de beheereenheid en eventuele roltoewijzingen.
Selecteer de knop Maken.
Powershell
Gebruik de opdracht Verbinding maken-MgGraph om u aan te melden bij uw tenant en toestemming te geven voor de vereiste machtigingen.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Gebruik de opdracht New-MgDirectory Beheer istrativeUnit om een nieuwe beheereenheid te maken.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Gebruik de opdracht New-MgBetaDirectory Beheer istrativeUnit om een nieuwe beheereenheid met beperkte toegang te maken. Stel de eigenschap IsMemberManagementRestricted
in op $true
.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Gebruik de Create AdministrativeUnit-API om een nieuwe beheereenheid te maken.
Aanvragen
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Hoofdtekst
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Gebruik de API Create administrativeUnit (bèta) om een nieuwe beheereenheid met beperkte toegang te maken. Stel de eigenschap isMemberManagementRestricted
in op true
.
Aanvragen
POST https://graph.microsoft.com/beta/administrativeUnits
Hoofdtekst
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Beheereenheid verwijderen
In Microsoft Entra-id kunt u een beheereenheid verwijderen die u niet meer nodig hebt als een bereikeenheid voor beheerdersrollen. Voordat u de beheereenheid verwijdert, moet u eventuele roltoewijzingen met dat bereik voor de beheereenheid verwijderen.
Microsoft Entra-beheercentrum
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Blader naar identiteitsrollen>> en beheerders Beheer eenheden.
Selecteer de beheereenheid die u wilt verwijderen.
Selecteer Rollen en beheerders en open vervolgens een rol om de roltoewijzingen weer te geven.
Verwijder alle roltoewijzingen met het bereik voor de beheereenheid.
Blader naar identiteitsrollen>> en beheerders Beheer eenheden.
Plaats een vinkje naast de beheereenheid die u wilt verwijderen.
Selecteer Verwijderen.
Als u wilt bevestigen dat u de beheereenheid wilt verwijderen, selecteert u Ja.
Powershell
Gebruik de opdracht Remove-MgDirectory Beheer istrativeUnit om een beheereenheid te verwijderen.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
Gebruik de Delete administrativeUnit-API om een beheereenheid te verwijderen.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}