Yönetim birimleri oluşturma veya silme

Önemli

Kısıtlı yönetim yönetim birimleri şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan yasal koşullar için Ürün Koşulları'na bakın.

Yönetim birimleri, kuruluşunuzu istediğiniz alt bölümlere ayırmanızı sağlayarak yalnızca bu birimlerin üyelerini yöneten belirli yöneticiler atamanıza olanak tanır. Örneğin, yönetim birimlerini kullanarak büyük bir üniversitedeki her okulun yöneticilerine izinleri devredebilir, böylece erişimi denetleyebilir, kullanıcıları yönetebilir ve yalnızca Mühendislik Fakültesi'nde ilkeler ayarlayabilirsiniz.

Bu makalede, Microsoft Entra Id'de rol izinlerinin kapsamını kısıtlamak için yönetim birimlerinin nasıl oluşturulacağı veya silineceği açıklanır.

Önkoşullar

• Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
• Yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları
• Ayrıcalıklı Rol Yönetici istrator rolü
• Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
• PowerShell kullanırken Azure AD PowerShell modülü
• PowerShell ve kısıtlı yönetim yönetim birimleri kullanılırken AzureADPreview modülü
• Microsoft Graph API için Graph Explorer kullanırken onay Yönetici

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Yönetim birimi oluşturma

Microsoft Entra yönetim merkezini, PowerShell'i veya Microsoft Graph'ı kullanarak yeni bir yönetim birimi oluşturabilirsiniz.

Microsoft Entra yönetim merkezi

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

   

3. Ekle'yi seçin.

4. Ad kutusuna yönetim biriminin adını girin. İsteğe bağlı olarak, yönetim biriminin açıklamasını ekleyin.

5. Kiracı düzeyinde yöneticilerin bu yönetim birimine erişebilmesini istemiyorsanız Kısıtlı yönetim yönetim birimi iki durumlu düğmesini Evet olarak ayarlayın. Daha fazla bilgi için bkz . Kısıtlı yönetim yönetim birimleri.

   

6. İsteğe bağlı olarak, Rol ata sekmesinde bir rol seçin ve ardından bu yönetim birimi kapsamıyla rolün atanacak kullanıcıları seçin.

   

7. Gözden Geçir + oluştur sekmesinde yönetim birimini ve rol atamalarını gözden geçirin.

8. Oluştur düğmesini seçin.

PowerShell

Microsoft Graph PowerShell

Kiracınızda oturum açmak ve gerekli izinleri kabul etmek için Bağlan-MgGraph komutunu kullanın.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Yeni bir yönetim birimi oluşturmak için New-MgDirectory Yönetici istrativeUnit komutunu kullanın.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Yeni bir kısıtlı yönetim yönetim birimi oluşturmak için New-MgBetaDirectory Yönetici istrativeUnit komutunu kullanın. IsMemberManagementRestricted özelliğini $true olarak ayarlayın.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Azure AD PowerShell

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Yeni bir yönetim birimi oluşturmak için New-AzureADMS Yönetici istrativeUnit komutunu kullanın.

$adminUnitObj = New-AzureADMSAdministrativeUnit -Description "West Coast region" -DisplayName "West Coast"

Yeni bir kısıtlı yönetim yönetim birimi oluşturmak için New-AzureADMS Yönetici istrativeUnit (önizleme) komutunu kullanın. parametresini IsMemberManagementRestricted olarak $trueayarlayın.

$restrictedAU = New-AzureADMSAdministrativeUnit -DisplayName "Contoso Executive Division" -IsMemberManagementRestricted $true

Microsoft Graph API

Yeni bir yönetim birimi oluşturmak için Create administrativeUnit API'sini kullanın.

İstek

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Gövde

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Yeni bir kısıtlı yönetim yönetim birimi oluşturmak için Create administrativeUnit (beta) API'sini kullanın. isMemberManagementRestricted özelliğini true olarak ayarlayın.

İstek

POST https://graph.microsoft.com/beta/administrativeUnits

Gövde

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Yönetim birimini silme

Microsoft Entra Id'de, artık yönetim rolleri için bir kapsam birimi olarak ihtiyacınız olmayan bir yönetim birimini silebilirsiniz. Yönetim birimini silmeden önce, bu yönetim birimi kapsamına sahip rol atamalarını kaldırmanız gerekir.

Microsoft Entra yönetim merkezi

1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

3. Silmek istediğiniz yönetim birimini seçin.

4. Roller ve yöneticiler'i seçin ve rol atamalarını görüntülemek için bir rol açın.

5. Yönetim birimi kapsamına sahip tüm rol atamalarını kaldırın.

6. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

7. Silmek istediğiniz yönetim biriminin yanına bir onay işareti ekleyin.

8. Sil'i seçin.

   

9. Yönetim birimini silmek istediğinizi onaylamak için Evet'i seçin.

PowerShell

Microsoft Graph PowerShell

Bir yönetim birimini silmek için Remove-MgDirectory Yönetici istrativeUnit komutunu kullanın.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Azure AD PowerShell

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Bir yönetim birimini silmek için Remove-AzureADMS Yönetici istrativeUnit komutunu kullanın.

$adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-AzureADMSAdministrativeUnit -Id $adminUnitObj.Id

Microsoft Graph API

Yönetim birimini silmek için Delete administrativeUnit API'sini kullanın.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Sonraki adımlar

• Yönetim birimine kullanıcı, grup veya cihaz ekleme
• Yönetim birimi kapsamıyla Microsoft Entra rolleri atama
• Microsoft Entra yönetim birimleri: Sorun giderme ve SSS