Skapa eller ta bort administrativa enheter
Viktigt!
Begränsade administrativa hanteringsenheter är för närvarande i förhandsversion. Se produktvillkoren för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Med administrativa enheter kan du dela in din organisation i valfri enhet och sedan tilldela specifika administratörer som endast kan hantera medlemmarna i den enheten. Du kan till exempel använda administrativa enheter för att delegera behörigheter till administratörer för varje skola på ett stort universitet, så att de kan styra åtkomst, hantera användare och endast ange principer i Skolan för teknik.
I den här artikeln beskrivs hur du skapar eller tar bort administrativa enheter för att begränsa omfånget för rollbehörigheter i Microsoft Entra-ID.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
- Kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar
- Rollen Privilegierad rolladministratör
- Microsoft.Graph-modul när du använder Microsoft Graph PowerShell
- Azure AD PowerShell-modul när du använder PowerShell
- AzureADPreview-modul när du använder PowerShell och begränsade administrativa hanteringsenheter
- Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Skapa en administrativ enhet
Du kan skapa en ny administrativ enhet med hjälp av antingen administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph.
Microsoft Entra administrationscenter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Markera Lägga till.
I rutan Namn anger du namnet på den administrativa enheten. Du kan också lägga till en beskrivning av den administrativa enheten.
Om du inte vill att administratörer på klientnivå ska kunna komma åt den här administrativa enheten anger du den administrativa enheten Begränsad hantering till Ja. Mer information finns i Administrativa enheter för begränsad hantering.
Du kan också välja en roll på fliken Tilldela roller och sedan välja de användare som rollen ska tilldelas till med det här administrativa enhetsomfånget.
På fliken Granska + skapa granskar du den administrativa enheten och eventuella rolltilldelningar.
Markera knappen Skapa.
PowerShell
Använd kommandot Anslut-MgGraph för att logga in på klientorganisationen och godkänna de behörigheter som krävs.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Använd kommandot New-MgDirectoryAdministrativeUnit för att skapa en ny administrativ enhet.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Använd kommandot New-MgBetaDirectoryAdministrativeUnit för att skapa en ny administrativ enhet för begränsad hantering. Ange egenskapen IsMemberManagementRestricted till $true.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
Använd API:et Create administrativeUnit för att skapa en ny administrativ enhet.
Begäran
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Brödtext
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Använd API:et Create administrativeUnit (beta) för att skapa en ny administrativ enhet för begränsad hantering. Ange egenskapen isMemberManagementRestricted till true.
Begäran
POST https://graph.microsoft.com/beta/administrativeUnits
Brödtext
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Ta bort en administrativ enhet
I Microsoft Entra-ID kan du ta bort en administrativ enhet som du inte längre behöver som en omfångsenhet för administrativa roller. Innan du tar bort den administrativa enheten bör du ta bort eventuella rolltilldelningar med det administrativa enhetsomfånget.
Microsoft Entra administrationscenter
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Välj den administrativa enhet som du vill ta bort.
Välj Roller och administratörer och öppna sedan en roll för att visa rolltilldelningarna.
Ta bort alla rolltilldelningar med det administrativa enhetsomfånget.
Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).
Lägg till en bockmarkering bredvid den administrativa enhet som du vill ta bort.
Välj Ta bort.
Bekräfta att du vill ta bort den administrativa enheten genom att välja Ja.
PowerShell
Använd kommandot Remove-MgDirectoryAdministrativeUnit för att ta bort en administrativ enhet.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
Använd API:et Delete administrativeUnit för att ta bort en administrativ enhet.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}