Tilldela Microsoft Entra-roller med omfång för administrativa enheter
Om du vill ha mer detaljerad administrativ kontroll i Microsoft Entra-ID kan du tilldela en Microsoft Entra-roll med ett omfång som är begränsat till en eller flera administrativa enheter. När en Microsoft Entra-roll tilldelas i omfånget för en administrativ enhet gäller rollbehörigheter endast när du hanterar medlemmar i själva den administrativa enheten och gäller inte för inställningar eller konfigurationer för hela klientorganisationen.
En administratör som till exempel har tilldelats rollen Gruppadministratör i omfånget för en administrativ enhet kan hantera grupper som är medlemmar i den administrativa enheten, men de kan inte hantera andra grupper i klientorganisationen. De kan inte heller hantera inställningar på klientorganisationsnivå som är relaterade till grupper, till exempel principer för förfallodatum eller namngivning av grupper.
I den här artikeln beskrivs hur du tilldelar Microsoft Entra-roller med omfång för administrativa enheter.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
- Kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar
- Privilegierad rolladministratör eller global administratör
- Microsoft Graph PowerShell-modul när du använder PowerShell
- Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Roller som kan tilldelas med omfång för administrativa enheter
Följande Microsoft Entra-roller kan tilldelas med omfånget administrativ enhet. Dessutom kan alla anpassade roller tilldelas med administrationsenhetsomfång så länge som behörigheterna för den anpassade rollen innehåller minst en behörighet som är relevant för användare, grupper eller enheter.
| Roll | beskrivning |
|---|---|
| Autentiseringsadministratör | Har åtkomst till att visa, ange och återställa autentiseringsmetodinformation för alla användare som inte är administratörer i den tilldelade administrativa enheten. |
| Molnenhetsadministratör | Begränsad åtkomst till att hantera enheter i Microsoft Entra-ID. |
| Gruppadministratör | Kan endast hantera alla aspekter av grupper i den tilldelade administrativa enheten. |
| Supportadministratör | Kan bara återställa lösenord för icke-administratörer i den tilldelade administrativa enheten. |
| Licensadministratör | Kan endast tilldela, ta bort och uppdatera licenstilldelningar inom den administrativa enheten. |
| Lösenordsadministratör | Kan bara återställa lösenord för icke-administratörer inom den tilldelade administrativa enheten. |
| Skrivaradministratör | Kan hantera skrivare och skrivaranslutningar. Mer information finns i Delegera administration av skrivare i Universell utskrift. |
| Administratör för privilegierad autentisering | Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör). |
| SharePoint-administratör | Kan endast hantera Microsoft 365-grupper i den tilldelade administrativa enheten. För SharePoint-webbplatser som är associerade med Microsoft 365-grupper i en administrativ enhet kan även uppdatera webbplatsegenskaper (webbplatsnamn, URL och extern delningsprincip) med hjälp av Administrationscenter för Microsoft 365. Det går inte att använda Administrationscenter för SharePoint eller SharePoint-API:er för att hantera webbplatser. |
| Teams-administratör | Kan endast hantera Microsoft 365-grupper i den tilldelade administrativa enheten. Kan endast hantera gruppmedlemmar i Administrationscenter för Microsoft 365 för grupper som är associerade med grupper i den tilldelade administrativa enheten. Det går inte att använda administrationscentret för Teams. |
| Administratör för Teams-enheter | Kan utföra hanteringsrelaterade uppgifter på Teams-certifierade enheter. |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer inom den tilldelade administrativa enheten. Det går för närvarande inte att hantera användarnas profilfotografier. |
| <Anpassad roll> | Kan utföra åtgärder som gäller för användare, grupper eller enheter enligt definitionen av den anpassade rollen. |
Vissa rollbehörigheter gäller endast för icke-administratörsanvändare när de tilldelas med omfånget för en administrativ enhet. Med andra ord kan administratörer med administratörsenhetens omfattning endast återställa lösenord för användare i den administrativa enheten om dessa användare inte har administratörsroller. Följande lista över behörigheter begränsas när målet för en åtgärd är en annan administratör:
- Läsa och ändra användarautentiseringsmetoder eller återställa användarlösenord
- Ändra känsliga användaregenskaper som telefonnummer, alternativa e-postadresser eller OAuth-hemliga nycklar (Open Authorization)
- Ta bort eller återställa användarkonton
Säkerhetsobjekt som kan tilldelas med omfång för administrativa enheter
Följande säkerhetsobjekt kan tilldelas till en roll med ett administrativt enhetsomfång:
- Användare
- Microsoft Entra-rolltilldelningsbara grupper
- Tjänstens huvudnamn
Tjänstens huvudnamn och gästanvändare
Tjänstens huvudnamn och gästanvändare kan inte använda en rolltilldelning som är begränsad till en administrativ enhet om de inte också har tilldelats motsvarande behörigheter för att läsa objekten. Det beror på att tjänstens huvudnamn och gästanvändare inte får katalogläsningsbehörigheter som standard, vilket krävs för att utföra administrativa åtgärder. Om du vill att tjänstens huvudnamn eller gästanvändare ska kunna använda en rolltilldelning som är begränsad till en administrativ enhet måste du tilldela rollen Katalogläsare (eller en annan roll som innehåller läsbehörigheter) i ett klientomfång.
Det går för närvarande inte att tilldela katalogläsningsbehörigheter som är begränsade till en administrativ enhet. Mer information om standardbehörigheter för användare finns i standardanvändarbehörigheter.
Tilldela en roll med ett administrativt enhetsomfång
Du kan tilldela en Microsoft Entra-roll med ett administrativt enhetsomfång med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph.
Microsoft Entra administrationscenter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Välj den administrativa enhet som du vill tilldela ett användarrollsomfång till.
I den vänstra rutan väljer du Roller och administratörer för att visa en lista över alla tillgängliga roller.
Välj den roll som ska tilldelas och välj sedan Lägg till tilldelningar.
I fönstret Lägg till tilldelningar väljer du en eller flera användare som ska tilldelas rollen.
Kommentar
Information om hur du tilldelar en roll på en administrativ enhet med hjälp av Microsoft Entra Privileged Identity Management (PIM) finns i Tilldela Microsoft Entra-roller i PIM.
PowerShell
Använd kommandot New-MgRoleManagementDirectoryRoleAssignment och parametern DirectoryScopeId för att tilldela en roll med det administrativa enhetsomfånget.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Använd API:et Lägg till en scopedRoleMember för att tilldela en roll med omfånget administrativ enhet.
Begäran
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Brödtext
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Lista rolltilldelningar med omfång för administrativ enhet
Du kan visa en lista över Microsoft Entra-rolltilldelningar med administrationsenhetsomfång med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph.
Microsoft Entra administrationscenter
Du kan visa alla rolltilldelningar som skapats med ett administrativt enhetsomfång i avsnittet Administrationsenheter i administrationscentret för Microsoft Entra.
Logga in på administrationscentret för Microsoft Entra.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Välj den administrativa enheten för listan över rolltilldelningar som du vill visa.
Välj Roller och administratörer och öppna sedan en roll för att visa tilldelningarna i den administrativa enheten.
PowerShell
Använd kommandot Get-MgDirectoryAdministrativeUnitScopedRoleMember för att lista rolltilldelningar med omfånget administrativ enhet.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
Använd API:et List scopedRoleMembers för att visa rolltilldelningar med omfånget administrativ enhet.
Begäran
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Brödtext
{}