Tworzenie lub usuwanie jednostek administracyjnych

  • Artykuł

Ważne

Ograniczone jednostki administracyjne zarządzania są obecnie w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.

Jednostki administracyjne pozwalają podzielić organizację na dowolne jednostki podrzędne, a następnie przypisać określonych administratorów, którzy będą mogli zarządzać tylko członkami takiej jednostki. Można na przykład użyć jednostek administracyjnych, aby delegować uprawnienia do administratorów każdej szkoły na dużym uniwersytecie, aby mogli kontrolować dostęp, zarządzać użytkownikami i ustawiać zasady tylko w Szkole Inżynierii.

W tym artykule opisano sposób tworzenia lub usuwania jednostek administracyjnych w celu ograniczenia zakresu uprawnień roli w identyfikatorze Entra firmy Microsoft.

Wymagania wstępne

  • Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
  • Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
  • Rola uprzywilejowana Administracja istrator
  • Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
  • Moduł programu PowerShell usługi Azure AD podczas korzystania z programu PowerShell
  • Moduł AzureADPreview podczas korzystania z programu PowerShell i ograniczonych jednostek administracyjnych zarządzania
  • Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie jednostki administracyjnej

Nową jednostkę administracyjną można utworzyć przy użyciu centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub programu Microsoft Graph.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.

    Screenshot of the Administrative units page.

  3. Wybierz Dodaj.

  4. W polu Nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.

  5. Jeśli nie chcesz, aby administratorzy na poziomie dzierżawy mogli uzyskać dostęp do tej jednostki administracyjnej, ustaw przełącznik Jednostka administracyjna z ograniczeniami na Wartość Tak. Aby uzyskać więcej informacji, zobacz Ograniczone jednostki administracyjne zarządzania.

    Screenshot showing the Add administrative unit page and the Name box for entering the name of the administrative unit.

  6. Opcjonalnie na karcie Przypisywanie ról wybierz rolę, a następnie wybierz użytkowników, do których ma zostać przypisana rola z tym zakresem jednostki administracyjnej.

    Screenshot showing the Add assignments pane to add role assignments with this administrative unit scope.

  7. Na karcie Przeglądanie i tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.

  8. Zaznacz przycisk Utwórz.

PowerShell

Użyj polecenia Połączenie-MgGraph, aby zalogować się do dzierżawy i wyrazić zgodę na wymagane uprawnienia.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Użyj polecenia New-MgDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Użyj polecenia New-MgBetaDirectory Administracja istrativeUnit, aby utworzyć nową jednostkę administracyjną zarządzania z ograniczeniami. Ustaw właściwość IsMemberManagementRestricted na $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Interfejsu API programu Microsoft Graph

Użyj interfejsu API Create administrativeUnit (Tworzenie interfejsu API administracyjnego), aby utworzyć nową jednostkę administracyjną.

Wniosek

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Treść

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Użyj interfejsu API Create administrativeUnit (beta), aby utworzyć nową jednostkę administracyjną zarządzania z ograniczeniami. Ustaw właściwość isMemberManagementRestricted na true.

Wniosek

POST https://graph.microsoft.com/beta/administrativeUnits

Treść

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Usuwanie jednostki administracyjnej

W usłudze Microsoft Entra ID możesz usunąć jednostkę administracyjną, której nie potrzebujesz już jako jednostki zakresu dla ról administracyjnych. Przed usunięciem jednostki administracyjnej należy usunąć wszystkie przypisania ról z tym zakresem jednostki administracyjnej.

Centrum administracyjne Microsoft Entra

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.

  3. Wybierz jednostkę administracyjną, którą chcesz usunąć.

  4. Wybierz pozycję Role i administratorzy, a następnie otwórz rolę, aby wyświetlić przypisania ról.

  5. Usuń wszystkie przypisania ról z zakresem jednostki administracyjnej.

  6. Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.

  7. Dodaj znacznik wyboru obok jednostki administracyjnej, którą chcesz usunąć.

  8. Wybierz Usuń.

    Screenshot of the administrative unit Delete button and confirmation window.

  9. Aby potwierdzić, że chcesz usunąć jednostkę administracyjną, wybierz pozycję Tak.

PowerShell

Użyj polecenia Remove-MgDirectory Administracja istrativeUnit, aby usunąć jednostkę administracyjną.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Interfejsu API programu Microsoft Graph

Aby usunąć jednostkę administracyjną, użyj interfejsu API Delete administrativeUnit.Use the Delete administrativeUnit API (Usuwanie interfejsu API administracyjnego) w celu usunięcia jednostki administracyjnej.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Następne kroki