Добавление пользователей, групп или устройств в административную единицу

В идентификаторе Microsoft Entra можно добавить пользователей, группы или устройства в административную единицу, чтобы ограничить область разрешений ролей. Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения о том, что могут сделать область администраторы, см. в разделе Администратор istrative units in Microsoft Entra ID.

В этой статье описывается, как добавить пользователей, группы или устройства в административные единицы вручную. Сведения о том, как добавлять пользователей или устройства к административным единицам динамически с помощью правил, см. в статье Управление пользователями или устройствами для административной единицы с использованием правил динамического членства.

Необходимые компоненты

• Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
• Бесплатные лицензии microsoft Entra ID для членов административной единицы
• Чтобы добавить существующих пользователей, групп или устройств, выполните следующие действия.
  • Глобальный администратор или администратор привилегированных ролей.
• Чтобы создать новые группы, выполните приведенные далее действия.
  • Группы Администратор istrator (область в административный блок или весь каталог) или Глобальный Администратор istrator
• PowerShell для Microsoft Graph
• Согласие администратора при использовании песочницы Graph для Microsoft Graph API.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Вы можете добавить пользователей, группы или устройства в административные единицы с помощью Центра администрирования Microsoft Entra. Вы также можете добавить пользователей в рамках групповой операции или создать новую группу в административной единице.

Добавление одного пользователя, одной группы или одного устройства в административные единицы

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к удостоверению.

3. Перейдите в одно из следующих мест:

   • Пользователи все пользователи>
   • Группы>"Все группы"
   • Устройства>Все устройства

4. Выберите пользователя, группу или устройство, которые требуется добавить в административные единицы.

5. Выберите Административные единицы.

6. Выберите пункт Назначить административной единице.

7. В области Выбор выберите административные единицы, а затем щелкните Выбрать.

   

Добавление пользователей, групп или устройств в одну административную единицу

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

3. Выберите административную единицу, к которой нужно добавить пользователей, группы или устройства.

4. Выберите один из следующих вариантов.

   • Пользователи
   • Группы
   • Устройства

5. Выберите Добавить участника, Добавитьили Добавить устройство.

6. В области Выбор, выберите пользователей, группы или устройства, которые нужно добавить в административную единицу, а затем нажмите кнопку Выбор.

   

Добавление пользователей в административную единицу при выполнении массовой операции

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

3. Выберите административную единицу, к которой нужно добавить пользователей.

4. Выберите Пользователи>Массовые операции>Массовое добавление участников.

   

5. В области Массовое добавление участников скачайте шаблон значений с разделителями-запятыми (CSV).

6. Измените скачанный шаблон CSV, указав список пользователей, которых нужно добавить.

   Добавьте в каждую строку одно имя участника-пользователя (UPN). Не удаляйте первые две строки шаблона.

7. Сохраните изменения и отправьте CSV-файл.

   

8. Выберите Отправить.

Создание новой группы в административной единице

1. Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.

2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

3. Выберите административную единицу, в которой вы хотите создать новую группу.

4. Выберите Группы.

5. Щелкните Создать группу и выполните нужные действия, чтобы создать новую группу.

   

PowerShell

Используйте команду Invoke-MgGraphRequest, чтобы добавить пользователя, группы или устройства в административную единицу или создать новую группу в административной единице.

Добавление пользователей в административную единицу

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
       }'

Добавление групп в административную единицу

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
       }'

Добавление устройств в административную единицу

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
       }'

Создание новой группы в административной единице

$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.type": "#Microsoft.Graph.Group",
         "description": "{Example group description}",
         "displayName": "{Example group name}",
         "groupTypes": [
              "Unified"
          ],
         "mailEnabled": true,
          "mailNickname": "{exampleGroup}",
          "securityEnabled": false
       }'

API Microsoft Graph

Используйте API добавления члена для добавления пользователей, групп или устройств в административную единицу или создания новой группы в административной единице.

Добавление пользователей в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Текст

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Пример

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Добавление групп в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Текст

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Пример

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Добавление устройств в административную единицу

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Текст

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Создание новой группы в административной единице

Запрос

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Текст

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Следующие шаги

• Администратор истративные единицы в идентификаторе Microsoft Entra
• Назначение ролей Microsoft Entra с область административной единицы
• Управление пользователями или устройствами для административной единицы с помощью правил динамического членства
• Удаление пользователей, групп или устройств из административной единицы