Для более детального административного управления в идентификаторе Microsoft Entra можно назначить пользователей роли Microsoft Entra с область, которая ограничена одним или несколькими административными единицами. Примеры сценариев PowerShell для распространенных задач см. в разделе Работа с административными единицами.
Общие
Почему я не могу создать административную единицу?
Для создания административной единицы в идентификаторе Microsoft Entra ID необходимо назначить по крайней мере роль привилегированной роли Администратор istrator. Убедитесь, что пользователю, пытающемуся создать административную единицу, назначена роль Администратор istrator привилегированной роли.
Я добавил группу в административную единицу. Почему члены группы в ней не отображаются?
При добавлении группы в административную единицу это не приводит ко всем участникам группы, добавляемых в нее. Пользователей нужно назначать административной единице напрямую.
Я только что добавил (или удалил) члена административной единицы. Почему он не отображается (или продолжает отображаться) в пользовательском интерфейсе?
Иногда добавление или удаление одного или нескольких членов административной единицы отображается на панели Административные единицы через несколько минут. Кроме того, вы можете перейти непосредственно к свойствам связанного ресурса и определить, было ли выполнено соответствующее действие. Дополнительные сведения об участниках в административных единицах см. в статье Вывод списка пользователей, групп или устройств в административной единице.
Мне делегированы права администратора паролей в административной единице. Почему я не могу сбросить пароль определенного пользователя?
Администратор административной единицы может сбрасывать пароли только для пользователей, назначенных в вашу административную единицу. Убедитесь в том, что пользователь, для которого не удается сбросить пароль, относится к той административной единице, в которую вас назначили. Если пользователь относится к той же административной единице, но вы все равно не можете сбросить его пароль, проверьте роли, назначенные пользователю.
Чтобы не повышались привилегии, администратор административной единицы не может сбрасывать пароли пользователей, назначенных роли, для которой областью распространения является вся организация.
Зачем нужны административные единицы? Разве нельзя использовать группы безопасности как способ определения области?
Группы безопасности имеют существующую модель назначения и авторизации. Например, пользователь Администратор istrator может управлять членством во всех группах безопасности в организации Microsoft Entra. Эта роль может использовать группы для управления доступом к таким приложениям, как Salesforce. Пользователь Администратор istrator не должен управлять самой моделью делегирования, что будет результатом, если группы безопасности были расширены для поддержки сценариев группировки ресурсов.
Административные единицы, такие как подразделения в Windows Server Active Directory, предназначены для обеспечения возможности администрирования широкого спектра объектов каталога. Сами группы безопасности могут быть членами областей ресурсов. Использовать группы безопасности для определения набора групп безопасности, которыми может управлять администратор, может быть непросто.
Что означает добавление группы в административную единицу?
Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения см. в разделе Администратор istrative units in Microsoft Entra ID.
Может ли ресурс (пользователь, группа или устройство) быть участником нескольких административных единиц?
Да, ресурс может быть членом сразу нескольких административных единиц. Ресурсом могут управлять все администраторы организации и административной единицы, имеющие разрешения в отношении этого ресурса.
Доступны ли административные единицы в организациях B2C?
Нет, административные единицы недоступны для организаций B2C.
Поддерживаются ли вложенные административные единицы?
Нет, вложенные административные единицы не поддерживаются.
Поддерживаются ли административные единицы в PowerShell и API Microsoft Graph?
Да. Информацию о поддержке административных единиц см. в документации по командлетам PowerShell и в примерах сценариев.
См. статью Тип ресурса administrativeUnit в Microsoft Graph.
Динамические административные единицы (предварительная версия)
Я сохранил правило динамического членства для административной единицы, но я не вижу, что пользователи еще не заполнили его.
Начальное обновление административной единицы может занять несколько минут в зависимости от размера клиента и текущей нагрузки идентификатора Microsoft Entra.
После создания правила динамического членства в Центре администрирования Microsoft Entra с помощью построителя правил и попытки сохранить сообщение об ошибке "Не удалось обновить свойства административной единицы".
Обычно это означает, что возникает проблема с заданными значениями свойств. Убедитесь, что предоставленные значения свойств имеют правильный тип значения (логическое значение, строка или коллекция строк). Дополнительные сведения см. в разделе "Допустимые значения" для каждого оператора для пользователей или устройств.
Эта ошибка также может привести к тому, что пользователь без лицензии Microsoft Entra ID P1 пытается сохранить обновление в административной единице.
Как добавить одного участника в административную единицу в дополнение к текущему правилу динамического членства?
Чтобы добавить одного пользователя, добавьте соответствующее выражение с оператором запроса OR в правило динамического членства.
Я являюсь привилегированной ролью Администратор istrator, но я не могу добавлять или удалять участников для административной единицы.
Если параметры административной единицы настроены для динамического членства, то необходимо изменить правила динамического членства, чтобы изменить членство.
Сколько административных единиц с правилами динамического членства можно создать в клиенте?
Для предварительной версии общее число динамических групп и динамических административных единиц не может превышать 5000.
Существует ли ограничение на количество символов в динамическом правиле членства?
Да. 3072 символов.
Можно ли создавать административные единицы с помощью правил динамического членства в Центре администрирования Microsoft 365?
№
Административные единицы ограниченного управления (предварительная версия)
Я являюсь владельцем группы, являющейся членом административной единицы ограниченного управления. Как затрагиваются мои разрешения?
Как владелец защищенной группы вы не сможете управлять им только на основе владения. Управление защищенными ресурсами в настоящее время требует назначения роли в ограниченной административной единице управления область защищенного ресурса.
Как влияют ресурсы Microsoft 365 с помощью административных единиц управления с ограниченным доступом?
В настоящее время поддерживается защита ресурсов Microsoft Entra в ограниченных административных единицах управления. Ресурсы, управляемые за пределами идентификатора Microsoft Entra, не поддерживаются.
Не удается изменить член административной единицы ограниченного управления.
Пользователь, группа или устройство является членом административной единицы управления с ограниченным доступом. Права управления ограничены администраторами, область этой административной единице.