Tworzenie lub usuwanie jednostek administracyjnych

Jednostki administracyjne pozwalają podzielić organizację na dowolne jednostki podrzędne, a następnie przypisać określonych administratorów, którzy będą mogli zarządzać tylko członkami takiej jednostki. Na przykład można użyć jednostek administracyjnych do delegowania uprawnień do administratorów każdej szkoły na dużym uniwersytecie, aby mogli kontrolować dostęp, zarządzać użytkownikami i ustawiać zasady tylko w School of Engineering.

W tym artykule opisano sposób tworzenia lub usuwania jednostek administracyjnych w celu ograniczenia zakresu uprawnień ról w usłudze Azure Active Directory (Azure AD).

Wymagania wstępne

  • licencja Azure AD — wersja Premium P1 lub P2 dla każdego administratora jednostki administracyjnej
  • Azure AD — wersja Bezpłatna licencje dla członków jednostki administracyjnej
  • Administrator ról uprzywilejowanych lub administrator globalny
  • Moduł AzureAD podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie jednostki administracyjnej

Nową jednostkę administracyjną można utworzyć przy użyciu programu Azure Portal, programu PowerShell lub programu Microsoft Graph.

Azure Portal

  1. Zaloguj się do witryny Azure Portal lub w centrum administratora usługi Azure AD.

  2. Wybierz kolejno pozycje Azure Active Directory>Jednostki administracyjne.

    Zrzut ekranu przedstawiający stronę Jednostki administracyjne w Azure AD.

  3. Wybierz pozycję Dodaj.

  4. W polu Nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.

    Zrzut ekranu przedstawiający stronę Dodawanie jednostki administracyjnej i pole Nazwa służące do wprowadzania nazwy jednostki administracyjnej.

  5. Opcjonalnie na karcie Przypisywanie ról wybierz rolę, a następnie wybierz użytkowników, do których ma zostać przypisana rola z tym zakresem jednostki administracyjnej.

    Zrzut ekranu przedstawiający okienko Dodawanie przypisań w celu dodania przypisań ról z tym zakresem jednostki administracyjnej.

  6. Na karcie Przeglądanie + tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.

  7. Wybierz przycisk Utwórz.

PowerShell

Użyj polecenia New-AzureADMSAdministrativeUnit , aby utworzyć nową jednostkę administracyjną.

New-AzureADMSAdministrativeUnit -Description "West Coast region" -DisplayName "West Coast"

Microsoft Graph API

Użyj interfejsu API Create administrativeUnit (Tworzenie administracyjnego interfejsu API), aby utworzyć nową jednostkę administracyjną.

Żądanie

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Treść

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Usuwanie jednostki administracyjnej

W Azure AD można usunąć jednostkę administracyjną, która nie jest już potrzebna jako jednostka zakresu dla ról administracyjnych. Przed usunięciem jednostki administracyjnej należy usunąć wszystkie przypisania ról z tym zakresem jednostki administracyjnej.

Azure Portal

  1. Zaloguj się do witryny Azure Portal lub w centrum administratora usługi Azure AD.

  2. Wybierz pozycję Jednostki administracyjne usługi Azure Active Directory>, a następnie wybierz jednostkęadministracyjną, którą chcesz usunąć.

  3. Wybierz pozycję Role i administratorzy, a następnie otwórz rolę, aby wyświetlić przypisania ról.

  4. Usuń wszystkie przypisania ról z zakresem jednostki administracyjnej.

  5. Wybierz kolejno pozycje Azure Active Directory>Jednostki administracyjne.

  6. Dodaj znacznik wyboru obok jednostki administracyjnej, którą chcesz usunąć.

  7. Wybierz pozycję Usuń.

    Zrzut ekranu przedstawiający przycisk Usuń jednostkę administracyjną i okno potwierdzenia.

  8. Aby potwierdzić, że chcesz usunąć jednostkę administracyjną, wybierz pozycję Tak.

PowerShell

Użyj polecenia Remove-AzureADMSAdministrativeUnit , aby usunąć jednostkę administracyjną.

$adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'DeleteMe Admin Unit'"
Remove-AzureADMSAdministrativeUnit -Id $adminUnitObj.Id

Microsoft Graph API

Użyj interfejsu API Delete administrativeUnit , aby usunąć jednostkę administracyjną.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Następne kroki