Przypisywanie ról firmy Microsoft Entra z zakresem jednostki administracyjnej
W usłudze Microsoft Entra ID, aby uzyskać bardziej szczegółową kontrolę administracyjną, możesz przypisać rolę Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostki administracyjnej. Gdy rola Entra firmy Microsoft jest przypisywana w zakresie jednostki administracyjnej, uprawnienia roli mają zastosowanie tylko w przypadku zarządzania członkami samej jednostki administracyjnej i nie mają zastosowania do ustawień ani konfiguracji dla całej dzierżawy.
Na przykład administrator, który ma przypisaną rolę Grupy Administracja istrator w zakresie jednostki administracyjnej, może zarządzać grupami, które są członkami jednostki administracyjnej, ale nie mogą zarządzać innymi grupami w dzierżawie. Nie mogą również zarządzać ustawieniami na poziomie dzierżawy związanymi z grupami, takimi jak zasady wygasania lub nazewnictwa grup.
W tym artykule opisano sposób przypisywania ról usługi Microsoft Entra z zakresem jednostki administracyjnej.
Wymagania wstępne
- Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
- Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
- Administrator ról uprzywilejowanych lub administrator globalny
- Moduł programu PowerShell programu Microsoft Graph podczas korzystania z programu PowerShell
- Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Role, które można przypisać z zakresem jednostki administracyjnej
Następujące role firmy Microsoft Entra można przypisać z zakresem jednostki administracyjnej. Ponadto można przypisać dowolną rolę niestandardową z zakresem jednostki administracyjnej, o ile uprawnienia roli niestandardowej obejmują co najmniej jedno uprawnienie istotne dla użytkowników, grup lub urządzeń.
| Rola | opis |
|---|---|
| Administracja istrator uwierzytelniania | Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla każdego użytkownika niebędącego administratorem tylko w przypisanej jednostce administracyjnej. |
| Administracja istrator urządzeń w chmurze | Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID. |
| Administracja istrator grup | Może zarządzać wszystkimi aspektami grup tylko w przypisanej jednostce administracyjnej. |
| Pomoc techniczna Administracja istrator | Może resetować hasła dla administratorów innych niż administratorzy tylko w przypisanej jednostce administracyjnej. |
| Administracja istrator licencji | Może przypisywać, usuwać i aktualizować przypisania licencji tylko w jednostce administracyjnej. |
| Administracja istrator haseł | Może resetować hasła dla administratorów innych niż administratorzy tylko w ramach przypisanej jednostki administracyjnej. |
| Administracja istrator drukarki | Może zarządzać drukarkami i łącznikami drukarek. Aby uzyskać więcej informacji, zobacz Delegowanie administrowania drukarkami w usłudze Universal Print. |
| Administracja istrator uwierzytelniania uprzywilejowanego | Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator). |
| Administracja istrator programu SharePoint | Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. W przypadku witryn programu SharePoint skojarzonych z grupami platformy Microsoft 365 w jednostce administracyjnej można również aktualizować właściwości witryny (nazwa witryny, adres URL i zasady udostępniania zewnętrznego) przy użyciu Centrum administracyjne platformy Microsoft 365. Do zarządzania witrynami nie można użyć centrum administracyjnego programu SharePoint ani interfejsów API programu SharePoint. |
| Administracja istrator usługi Teams | Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. Może zarządzać członkami zespołu w Centrum administracyjne platformy Microsoft 365 dla zespołów skojarzonych z grupami tylko w przypisanej jednostce administracyjnej. Nie można użyć centrum administracyjnego usługi Teams. |
| Usługa Teams Devices Administracja istrator | Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. |
| Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów tylko w ramach przypisanej jednostki administracyjnej. Obecnie nie można zarządzać zdjęciami profilowymi użytkowników. |
| <Rola niestandardowa> | Może wykonywać akcje, które mają zastosowanie do użytkowników, grup lub urządzeń, zgodnie z definicją roli niestandardowej. |
Niektóre uprawnienia roli mają zastosowanie tylko do użytkowników niebędących administratorami w przypadku przypisania do zakresu jednostki administracyjnej. Innymi słowy, dział pomocy technicznej w zakresie jednostki administracyjnej Administracja istratory mogą resetować hasła dla użytkowników w jednostce administracyjnej tylko wtedy, gdy ci użytkownicy nie mają ról administratora. Poniższa lista uprawnień jest ograniczona, gdy elementem docelowym akcji jest inny administrator:
- Odczytywanie i modyfikowanie metod uwierzytelniania użytkowników lub resetowanie haseł użytkowników
- Modyfikowanie poufnych właściwości użytkownika, takich jak numery telefonów, alternatywne adresy e-mail lub klucze tajne open authorization (OAuth)
- Usuwanie lub przywracanie kont użytkowników
Podmioty zabezpieczeń, które można przypisać z zakresem jednostki administracyjnej
Do roli z zakresem jednostki administracyjnej można przypisać następujące podmioty zabezpieczeń:
- Użytkownicy
- Microsoft Entra role-assignable groups
- Jednostki usługi
Jednostki usługi i użytkownicy-goście
Jednostki usługi i użytkownicy-goście nie będą mogli używać przypisania roli w zakresie do jednostki administracyjnej, chyba że przypisano im również odpowiednie uprawnienia do odczytywania obiektów. Dzieje się tak, ponieważ jednostki usługi i użytkownicy-goście domyślnie nie otrzymują uprawnień do odczytu katalogu, które są wymagane do wykonywania akcji administracyjnych. Aby umożliwić jednostce usługi lub użytkownikowi-gościowi używanie przypisania roli w zakresie jednostki administracyjnej, należy przypisać rolę Czytelników katalogu (lub inną rolę, która zawiera uprawnienia do odczytu) w zakresie dzierżawy.
Obecnie nie można przypisać uprawnień do odczytu katalogu w zakresie do jednostki administracyjnej. Aby uzyskać więcej informacji na temat domyślnych uprawnień dla użytkowników, zobacz domyślne uprawnienia użytkownika.
Przypisywanie roli z zakresem jednostki administracyjnej
Rolę Entra firmy Microsoft można przypisać z zakresem jednostki administracyjnej przy użyciu centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub programu Microsoft Graph.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną, do której chcesz przypisać zakres roli użytkownika.
W okienku po lewej stronie wybierz pozycję Role i administratorzy , aby wyświetlić listę wszystkich dostępnych ról.
Wybierz rolę do przypisania, a następnie wybierz pozycję Dodaj przypisania.
W okienku Dodawanie przypisań wybierz co najmniej jednego użytkownika, który ma zostać przypisany do roli.
Uwaga
Aby przypisać rolę w jednostce administracyjnej przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM), zobacz Przypisywanie ról firmy Microsoft Entra w usłudze PIM.
PowerShell
Użyj polecenia New-MgRoleManagementDirectoryRoleAssignment i parametru, DirectoryScopeId aby przypisać rolę z zakresem jednostki administracyjnej.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Interfejsu API programu Microsoft Graph
Dodaj interfejs API scopedRoleMember, aby przypisać rolę z zakresem jednostki administracyjnej.
Wniosek
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Treść
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Wyświetlanie listy przypisań ról z zakresem jednostki administracyjnej
Listę przypisań ról firmy Microsoft Entra można wyświetlić z zakresem jednostki administracyjnej przy użyciu centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub programu Microsoft Graph.
Centrum administracyjne Microsoft Entra
Wszystkie przypisania ról utworzone przy użyciu zakresu jednostki administracyjnej można wyświetlić w sekcji jednostki Administracja centrum administracyjnego firmy Microsoft Entra.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną listy przypisań ról, które chcesz wyświetlić.
Wybierz pozycję Role i administratorzy, a następnie otwórz rolę, aby wyświetlić przypisania w jednostce administracyjnej.
PowerShell
Użyj polecenia Get-MgDirectory Administracja istrativeUnitScopedRoleMember, aby wyświetlić listę przypisań ról z zakresem jednostki administracyjnej.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Interfejsu API programu Microsoft Graph
Użyj interfejsu API List scopedRoleMembers , aby wyświetlić listę przypisań ról z zakresem jednostki administracyjnej.
Wniosek
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Treść
{}