Добавление пользователей, групп или устройств в административную единицу
В идентификаторе Microsoft Entra можно добавить пользователей, группы или устройства в административную единицу, чтобы ограничить область разрешений ролей. Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения о том, что могут сделать область администраторы, см. в разделе Администратор istrative units in Microsoft Entra ID.
В этой статье описывается, как добавить пользователей, группы или устройства в административные единицы вручную. Сведения о том, как добавлять пользователей или устройства к административным единицам динамически с помощью правил, см. в статье Управление пользователями или устройствами для административной единицы с использованием правил динамического членства.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Чтобы добавить существующих пользователей, групп или устройств, выполните следующие действия.
- Глобальный администратор или администратор привилегированных ролей.
- Чтобы создать новые группы, выполните приведенные далее действия.
- Группы Администратор istrator (область в административный блок или весь каталог) или Глобальный Администратор istrator
- PowerShell для Microsoft Graph
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Вы можете добавить пользователей, группы или устройства в административные единицы с помощью Центра администрирования Microsoft Entra. Вы также можете добавить пользователей в рамках групповой операции или создать новую группу в административной единице.
Добавление одного пользователя, одной группы или одного устройства в административные единицы
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
- Устройства>Все устройства
Выберите пользователя, группу или устройство, которые требуется добавить в административные единицы.
Выберите Административные единицы.
Выберите пункт Назначить административной единице.
В области Выбор выберите административные единицы, а затем щелкните Выбрать.
Добавление пользователей, групп или устройств в одну административную единицу
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, к которой нужно добавить пользователей, группы или устройства.
Выберите один из следующих вариантов.
- Пользователи
- Группы
- Устройства
Выберите Добавить участника, Добавитьили Добавить устройство.
В области Выбор, выберите пользователей, группы или устройства, которые нужно добавить в административную единицу, а затем нажмите кнопку Выбор.
Добавление пользователей в административную единицу при выполнении массовой операции
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, к которой нужно добавить пользователей.
Выберите Пользователи>Массовые операции>Массовое добавление участников.
В области Массовое добавление участников скачайте шаблон значений с разделителями-запятыми (CSV).
Измените скачанный шаблон CSV, указав список пользователей, которых нужно добавить.
Добавьте в каждую строку одно имя участника-пользователя (UPN). Не удаляйте первые две строки шаблона.
Сохраните изменения и отправьте CSV-файл.
Выберите Отправить.
Создание новой группы в административной единице
Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, в которой вы хотите создать новую группу.
Выберите Группы.
Щелкните Создать группу и выполните нужные действия, чтобы создать новую группу.
PowerShell
Используйте команду Invoke-MgGraphRequest, чтобы добавить пользователя, группы или устройства в административную единицу или создать новую группу в административной единице.
Добавление пользователей в административную единицу
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
}'
Добавление групп в административную единицу
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
}'
Добавление устройств в административную единицу
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
}'
Создание новой группы в административной единице
$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{exampleGroup}",
"securityEnabled": false
}'
API Microsoft Graph
Используйте API добавления члена для добавления пользователей, групп или устройств в административную единицу или создания новой группы в административной единице.
Добавление пользователей в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Пример
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Добавление групп в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Пример
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Добавление устройств в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Создание новой группы в административной единице
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Текст
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}
Следующие шаги
- Администратор истративные единицы в идентификаторе Microsoft Entra
- Назначение ролей Microsoft Entra с область административной единицы
- Управление пользователями или устройствами для административной единицы с помощью правил динамического членства
- Удаление пользователей, групп или устройств из административной единицы