Om du vill ha mer detaljerad administrativ kontroll i Microsoft Entra-ID kan du tilldela användare till en Microsoft Entra-roll med ett omfång som är begränsat till en eller flera administrativa enheter. Exempel på PowerShell-skript för vanliga uppgifter finns i Arbeta med administrativa enheter.
Allmänt
Varför kan jag inte skapa en administrativ enhet?
Endast en global administratör eller privilegierad rolladministratör kan skapa en administrativ enhet i Microsoft Entra-ID. Kontrollera att användaren som försöker skapa den administrativa enheten har tilldelats rollen Global administratör eller Privilegierad rolladministratör .
Jag har lagt till en grupp i en administrativ enhet. Varför dyker gruppmedlemmarna fortfarande inte upp där?
När du lägger till en grupp i en administrativ enhet resulterar det inte i att alla gruppens medlemmar läggs till i den. Användarna måste tilldelas direkt till den administrativa enheten.
Jag har precis lagt till (eller tagit bort) en medlem av den administrativa enheten. Varför visas inte medlemmen (eller visas fortfarande) i användargränssnittet?
Ibland kan det ta några minuter att lägga till eller ta bort en eller flera medlemmar i en administrativ enhet i fönstret Administrativa enheter . Du kan också gå direkt till den associerade resursens egenskaper och se om åtgärden har slutförts. Mer information om medlemmar i administrativa enheter finns i Lista användare, grupper eller enheter i en administrativ enhet.
Jag är delegerad lösenordsadministratör på en administrativ enhet. Varför kan jag inte återställa en viss användares lösenord?
Som administratör för en administrativ enhet kan du bara återställa lösenord för användare som har tilldelats till din administrativa enhet. Kontrollera att den användare vars lösenordsåterställning misslyckas tillhör den administrativa enhet som du har tilldelats till. Om användaren tillhör samma administrativa enhet men du fortfarande inte kan återställa användarens lösenord kontrollerar du de roller som har tilldelats användaren.
För att förhindra utökade privilegier kan en administratör med enhetsomfattning inte återställa lösenordet för en användare som har tilldelats till en roll med ett organisationsomfattande omfång.
Varför är administrativa enheter nödvändiga? Kunde vi inte ha använt säkerhetsgrupper som sätt att definiera ett omfång?
Säkerhetsgrupper har en befintlig syftes- och auktoriseringsmodell. En användaradministratör kan till exempel hantera medlemskap i alla säkerhetsgrupper i Microsoft Entra-organisationen. Rollen kan använda grupper för att hantera åtkomst till program som Salesforce. En användaradministratör bör inte kunna hantera själva delegeringsmodellen, vilket skulle vara resultatet om säkerhetsgrupper utökades för att stödja scenarier med "resursgruppering".
Administrativa enheter, till exempel organisationsenheter i Windows Server Active Directory, är avsedda att ge ett sätt att begränsa administrationen av en mängd olika katalogobjekt. Själva säkerhetsgrupperna kan vara medlemmar i resursomfattningar. Att använda säkerhetsgrupper för att definiera den uppsättning säkerhetsgrupper som en administratör kan hantera kan bli förvirrande.
Vad innebär det att lägga till en grupp i en administrativ enhet?
Genom att lägga till en grupp i en administrativ enhet hamnar själva gruppen i hanteringsomfånget för den administrativa enheten, men inte medlemmarna i gruppen. Mer information finns i Administrativa enheter i Microsoft Entra-ID.
Kan en resurs (användare, grupp eller enhet) vara medlem i mer än en administrativ enhet?
Ja, en resurs kan vara medlem i mer än en administrativ enhet. Resursen kan hanteras av alla organisationsomfattande och administrativa enhetsomfattande administratörer som har behörighet för resursen.
Är administrativa enheter tillgängliga i B2C-organisationer?
Nej, administrativa enheter är inte tillgängliga för B2C-organisationer.
Stöds kapslade administrativa enheter?
Nej, kapslade administrativa enheter stöds inte.
Stöds administrativa enheter i PowerShell och Graph API?
Ja. Du hittar stöd för administrativa enheter i PowerShell-cmdletdokumentation och exempelskript.
Hitta stöd för resurstypen administrativeUnit i Microsoft Graph.
Dynamiska administrativa enheter (förhandsversion)
Jag har precis sparat en regel för dynamiskt medlemskap för en administrativ enhet, men jag ser inga användare ifyllda ännu.
Den första uppdateringen av en administrativ enhet kan ta några minuter beroende på klientorganisationens storlek och den aktuella Microsoft Entra-ID-belastningen.
När jag har skapat en regel för dynamiskt medlemskap i administrationscentret för Microsoft Entra med hjälp av regelverktyget och försöker spara får jag felet "Det gick inte att uppdatera egenskaper för administrativa enheter".
Det innebär vanligtvis att det finns ett problem med de angivna egenskapsvärdena. Bekräfta att de egenskapsvärden som du har angett har en korrekt värdetyp (boolesk, sträng eller strängsamling). Mer information finns i de tillåtna värdena för varje operator för användare eller enheter.
Det här felet kan också uppstå om en person utan en Microsoft Entra ID P1-licens försöker spara en uppdatering i den administrativa enheten.
Hur lägger jag till en enskild medlem i en administrativ enhet utöver den aktuella regeln för dynamiskt medlemskap?
Om du vill lägga till en enskild användare lägger du till ett lämpligt uttryck med OR frågeoperatorn i regeln för dynamiskt medlemskap.
Jag är global administratör, men jag kan inte lägga till eller ta bort medlemmar för en administrativ enhet.
När en administrativ enhet har konfigurerats för dynamiskt medlemskap måste du redigera reglerna för dynamiskt medlemskap för att ändra medlemskapet.
Hur många administrativa enheter med regler för dynamiskt medlemskap kan jag skapa i en klientorganisation?
För förhandsversionen får det totala antalet dynamiska grupper och dynamiska administrativa enheter som kombineras inte överstiga 5 000.
Finns det en gräns för antalet tecken i en regel för dynamiskt medlemskap?
Ja. 3 072 tecken.
Kan jag skapa administrativa enheter med regler för dynamiskt medlemskap i Administrationscenter för Microsoft 365?
Nej.
Begränsade administrativa hanteringsenheter (förhandsversion)
Jag är ägare till en grupp som är medlem i en begränsad administrativ enhet. Hur påverkas mina behörigheter?
Som ägare till en skyddad grupp kan du inte hantera den bara baserat på ägarskap. För att hantera skyddade resurser krävs för närvarande att en roll tilldelas i den skyddade resursens begränsade administrativa enhetsomfång.
Hur påverkas mina Microsoft 365-resurser med hjälp av begränsade administrativa hanteringsenheter?
För närvarande stöds skydd av Microsoft Entra-resurser i administrativa enheter för begränsad hantering. Resurser som hanteras utanför Microsoft Entra-ID stöds inte.
Jag kan inte ändra en medlem i en administrativ enhet för begränsad hantering.
Användaren, gruppen eller enheten är medlem i den administrativa enheten för begränsad hantering. Hanteringsrättigheterna är begränsade till administratörer som är begränsade till den administrativa enheten.