Добавление пользователей, групп или устройств в административную единицу
В идентификаторе Microsoft Entra можно добавить пользователей, группы или устройства в административную единицу, чтобы ограничить область разрешений ролей. Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения о том, что могут сделать администраторы, см. в разделе "Административные единицы" в идентификаторе Microsoft Entra.
В этой статье описывается, как добавить пользователей, группы или устройства в административные единицы вручную. Сведения о том, как добавлять пользователей или устройства в административные единицы динамически с помощью правил, см. в разделе "Управление пользователями или устройствами" для административной единицы с правилами для динамических групп членства.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Чтобы добавить существующих пользователей, групп или устройств, выполните следующие действия.
- Администратор привилегированных ролей
- Чтобы создать новые группы, выполните приведенные далее действия.
- Администратор групп (в пределах административной единицы или всего каталога)
- PowerShell для Microsoft Graph
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Вы можете добавить пользователей, группы или устройства в административные единицы с помощью Центра администрирования Microsoft Entra. Вы также можете добавить пользователей в рамках групповой операции или создать новую группу в административной единице.
Добавление одного пользователя, одной группы или одного устройства в административные единицы
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
- Устройства>Все устройства
Выберите пользователя, группу или устройство, которые требуется добавить в административные единицы.
Выберите Административные единицы.
Выберите пункт Назначить административной единице.
В области Выбор выберите административные единицы, а затем щелкните Выбрать.
Добавление пользователей, групп или устройств в одну административную единицу
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу, к которой нужно добавить пользователей, группы или устройства.
Выберите один из следующих вариантов.
- Пользователи
- Группы
- Устройства
Выберите Добавить участника, Добавитьили Добавить устройство.
В области Выбор, выберите пользователей, группы или устройства, которые нужно добавить в административную единицу, а затем нажмите кнопку Выбор.
Добавление пользователей в административную единицу при выполнении массовой операции
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу, к которой нужно добавить пользователей.
Выберите Пользователи>Массовые операции>Массовое добавление участников.
В области Массовое добавление участников скачайте шаблон значений с разделителями-запятыми (CSV).
Измените скачанный шаблон CSV, указав список пользователей, которых нужно добавить.
Добавьте в каждую строку одно имя участника-пользователя (UPN). Не удаляйте первые две строки шаблона.
Сохраните изменения и отправьте CSV-файл.
Выберите Отправить.
Создание новой группы в административной единице
Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.
Перейдите к ролям удостоверений>и подразделениям> администрирования.
Выберите административную единицу, в которой вы хотите создать новую группу.
Выберите Группы.
Щелкните Создать группу и выполните нужные действия, чтобы создать новую группу.
PowerShell
Используйте команду New-MgDirectoryAdministrativeUnitMemberByRef, чтобы добавить пользователя, группы или устройства в административную единицу или создать новую группу в административной единице.
Добавление пользователей в административную единицу
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Добавление групп в административную единицу
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Добавление устройств в административную единицу
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Создание новой группы в административной единице
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
API Microsoft Graph
Используйте API добавления члена для добавления пользователей, групп или устройств в административную единицу или создания новой группы в административной единице.
Добавление пользователей в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Пример
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Добавление групп в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Пример
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Добавление устройств в административную единицу
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Текст
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Создание новой группы в административной единице
Запрос
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Текст
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}
Следующие шаги
- Административные единицы в идентификаторе Microsoft Entra
- Назначение ролей Microsoft Entra с областью администрирования
- Управление пользователями или устройствами для административной единицы с помощью правил для динамических групп членства
- Удаление пользователей, групп или устройств из административной единицы