Назначение ролей Microsoft Entra с область административной единицы
В идентификаторе Microsoft Entra для более детального административного управления можно назначить роль Microsoft Entra с область, которая ограничена одним или несколькими административными единицами. Если роль Microsoft Entra назначается в область административной единицы, разрешения ролей применяются только при управлении членами самой административной единицы и не применяются к параметрам или конфигурациям на уровне клиента.
Например, администратор, которому назначена роль Группы Администратор istrator в область административной единицы, может управлять группами, которые являются членами административной единицы, но не могут управлять другими группами в клиенте. Они также не могут управлять параметрами уровня клиента, связанными с группами, такими как срок действия или политики именования групп.
В этой статье описывается назначение ролей Microsoft Entra с область административной единицы.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Глобальный администратор или администратор привилегированных ролей.
- Модуль Microsoft Graph PowerShell при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Роли, которые могут быть назначены с областью административной единицы
Следующие роли Microsoft Entra можно назначить с помощью область административной единицы. Кроме того, любую настраиваемую роль можно назначить с областью административной единицы, если разрешения настраиваемой роли включают по крайней мере одно разрешение, соответствующее пользователям, группам или устройствам.
| Роль | Description |
|---|---|
| Администратор проверки подлинности | Имеет доступ для просмотра, настройки и сброса сведений о способах проверки подлинности для любого пользователя без прав администратора только в назначенной административной единице. |
| Администратор облачных устройств | Ограниченный доступ к управлению устройствами в идентификаторе Microsoft Entra. |
| Администратор групп | Может управлять всеми аспектами групп только в назначенной административной единице. |
| Администратор службы технической поддержки | Может сбрасывать пароли пользователей без прав администратора только в назначенной административной единице. |
| Администратор лицензий | Может назначать, удалять и обновлять назначения лицензий только в пределах административной единицы. |
| Администратор паролей | Может сбрасывать пароли пользователей без прав администратора только в назначенной административной единице. |
| Администратор принтеров | Может управлять принтерами и соединителями принтера. Дополнительные сведения см. в разделе "Делегирование администрирования принтеров" в универсальной печати. |
| Привилегированный администратор проверки подлинности | Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любых пользователей (включая администраторов). |
| Администратор SharePoint | Может управлять группами Microsoft 365 только в назначенной административной единице. С помощью Центра администрирования Microsoft 365 может также обновлять свойства сайтов SharePoint (имя сайта, URL-адрес и политика внешнего доступа), связанных с группами Microsoft 365 в административной единице. Не может использовать Центр администрирования SharePoint или API-интерфейсы SharePoint для управления сайтами. |
| Администратор Teams | Может управлять группами Microsoft 365 только в назначенной административной единице. Может управлять членами команды в Центре администрирования Microsoft 365 для команд, связанных с группами в назначенной административной единице. Не может использовать Центр администрирования Teams. |
| Устройство Teams Администратор istrator | Может выполнять задачи по управлению на сертифицированных устройствах Teams. |
| Администратор пользователей | Может управлять всеми аспектами пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами, только в назначенной административной единице. В настоящее время невозможно управлять фото профиля графами пользователей. |
| <Настраиваемая роль> | Может выполнять действия, которые применяются к пользователям, группам или устройствам в соответствии с определением настраиваемой роли. |
При назначении с областью административной единицы определенные разрешения роли применяются только к пользователям без прав администратора. Другими словами, административные единицы область helpdesk Администратор istrator могут сбрасывать пароли для пользователей в административной единице только в том случае, если у этих пользователей нет ролей администратора. Если целью действия является другой администратор, к следующим разрешениям применяются ограничения:
- чтение и изменение методов проверки подлинности пользователя или сброс паролей пользователей;
- Изменение конфиденциальных свойств пользователей, таких как телефонные номера, альтернативные адреса электронной почты или секретные ключи Open Authorization (OAuth)
- удаление или восстановление учетных записей пользователей.
Субъекты безопасности, которые могут быть назначены с областью административной единицы
Ниже приведены субъекты безопасности, которым могут быть назначены роли с областью действия в административной единице:
- Пользователи
- Группы, назначаемые ролью Microsoft Entra
- Субъекты-службы
Субъекты-службы и гостевые пользователи
Субъекты-службы и гостевые пользователи не смогут использовать назначение ролей, область в административную единицу, если им также не назначены соответствующие разрешения на чтение объектов. Это связано с тем, что субъекты-службы и гостевые пользователи по умолчанию не получают разрешения на чтение каталога, необходимые для выполнения административных действий. Чтобы субъект-служба или гостевой пользователь могли использовать назначение ролей в административной единице, необходимо назначить роль читателя каталогов (или другую роль, включающую разрешения на чтение) на уровне арендатора.
В настоящее время невозможно назначить разрешения на чтение каталога область административной единице. Дополнительные сведения о разрешениях по умолчанию для пользователей см. в этом разделе.
Назначение роли с областью административной единицы
Роль Microsoft Entra можно назначить с помощью административной единицы область с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, в области которой вы хотите назначить пользователю роль.
На панели слева выберите Роли и администраторы, чтобы получить список всех доступных ролей.
Выберите роль, которую необходимо назначить, затем выберите Добавление назначений.
На панели Добавление назначений выберите одного или несколько пользователей, которым будет назначена роль.
Примечание.
Чтобы назначить роль в административной единице с помощью Microsoft Entra управление привилегированными пользователями (PIM), см. статью "Назначение ролей Microsoft Entra в PIM".
PowerShell
Используйте команду New-MgRoleManagementDirectoryRoleAssignment и DirectoryScopeId параметр, чтобы назначить роль с область административной единицы.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API Microsoft Graph
Используйте API Add a scopedRoleMember, чтобы назначить роль с областью административной единицы.
Запрос
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Текст
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Вывод назначений ролей с областью административной единицы
Список назначений ролей Microsoft Entra можно просмотреть с помощью административной единицы область с помощью Центра администрирования Microsoft Entra, PowerShell или Microsoft Graph.
Центр администрирования Microsoft Entra
Вы можете просмотреть все назначения ролей, созданные с помощью административной единицы, область в разделе Администратор единиц центра администрирования Microsoft Entra.
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу для списка назначений ролей, которые вы хотите просмотреть.
Выберите Роли и администраторы, а затем откройте роль, чтобы просмотреть назначения в административной единице.
PowerShell
Используйте команду Get-MgDirectory Администратор istrativeUnitScopedRoleMember для перечисления назначений ролей с область административной единицы.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
API Microsoft Graph
Используйте API List scopedRoleMembers для перечисления назначений ролей с областью административной единицы.
Запрос
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Текст
{}