使用系統管理單位範圍指派 Microsoft Entra 角色
在 Microsoft Entra ID 中,若要進行更細微的系統管理控制,您可以指派 Microsoft Entra 角色,其範圍僅限於一或多個系統管理單位。 在管理單位的範圍內指派 Microsoft Entra 角色時,角色許可權僅適用於管理單位本身的成員,且不適用於整個租用戶的設定或組態。
例如,在系統管理單位範圍指派群組 管理員 istrator 角色的系統管理員可以管理屬於管理單位成員的群組,但無法管理租使用者中的其他群組。 它們也無法管理與群組相關的租用戶層級設定,例如到期或群組命名原則。
本文說明如何使用系統管理單位範圍指派 Microsoft Entra 角色。
必要條件
- 每個系統管理單位系統管理員的 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員的 Microsoft Entra ID 免費授權
- 特殊權限角色管理員或全域管理員
- 使用 PowerShell 時的 Microsoft Graph PowerShell 模組
- 使用適用於 Microsoft Graph API 的 Graph 總管時,管理員 同意
如需詳細資訊,請參閱 使用PowerShell或 Graph 總管的必要條件。
可使用系統管理單位範圍指派的角色
您可以使用系統管理單位範圍來指派下列 Microsoft Entra 角色。 此外,只要自定義角色的許可權至少包含一個與使用者、群組或裝置相關的許可權, 就可以使用系統管理單位範圍來指派任何自定義角色 。
角色 | 描述 |
---|---|
驗證管理員 | 針對所有非系統管理員使用者 (僅限指派的管理單位內),具備檢視、設定及重設驗證的存取權。 |
雲端裝置 管理員 istrator | 在 Microsoft Entra 識別碼中管理裝置的有限存取權。 |
群組管理員 | 只能在指派的管理單位中管理群組的所有層面。 |
服務台系統管理員 | 只能在指派的系統管理單位中重設非系統管理員的密碼。 |
License 管理員 istrator | 可指派、移除和更新管理單位內的授權指派。 |
密碼管理員 | 只能在指派的系統管理單位內重設非系統管理員的密碼。 |
Printer 管理員 istrator | 可以管理印表機和印表機連接器。 如需詳細資訊,請參閱 委派通用列印中的印表機管理。 |
特殊許可權驗證 管理員 istrator | 可以存取任何使用者(系統管理員或非系統管理員)的檢視、設定及重設驗證方法資訊。 |
SharePoint 管理員 istrator | 只能在指派的管理單位中管理 Microsoft 365 群組。 針對與系統管理單位中 Microsoft 365 群組相關聯的 SharePoint 網站,也可以使用 Microsoft 365 系統管理中心 更新網站屬性(網站名稱、URL 和外部共享原則)。 無法使用 SharePoint 系統管理中心或 SharePoint API 來管理網站。 |
Teams 管理員 istrator | 只能在指派的管理單位中管理 Microsoft 365 群組。 只能管理與所指派管理單位中群組相關聯之小組 Microsoft 365 系統管理中心 中的小組成員。 無法使用Teams系統管理中心。 |
Teams 裝置 管理員 istrator | 可以在 Teams 認證的裝置上執行管理相關工作。 |
使用者管理員 | 可以管理使用者和群組的所有層面,包含重設限制內的系統管理員密碼 (僅限指派管理單位內)。 目前無法管理用戶的個人資料相片。 |
<自訂角色> | 可以根據自定義角色的定義,執行套用至使用者、群組或裝置的動作。 |
使用系統管理單位的範圍指派時,特定角色許可權僅適用於非系統管理員使用者。 換句話說,系統管理單位範圍為 Helpdesk 管理員 istrators 只有在這些使用者沒有系統管理員角色時,才能重設系統管理單位中用戶的密碼。 當動作的目標是另一個系統管理員時,下列許可權清單會受到限制:
- 讀取和修改使用者驗證方法,或重設用戶密碼
- 修改敏感性用戶屬性,例如電話號碼、替代電子郵件地址或開啟授權 (OAuth) 秘密密鑰
- 刪除或還原用戶帳戶
可使用系統管理單位範圍指派的安全性主體
下列安全性主體可以指派給具有系統管理單位範圍的角色:
- 使用者
- Microsoft Entra 角色可指派群組
- 服務主體
服務主體和來賓使用者
服務主體和來賓使用者將無法使用範圍設定為系統管理單位的角色指派,除非它們也獲指派了讀取對象的對應許可權。 這是因為服務主體和來賓用戶預設不會收到目錄讀取許可權,這是執行系統管理動作的必要專案。 若要讓服務主體或來賓用戶能夠使用範圍設定為系統管理單位的角色指派,您必須在租用戶範圍指派 目錄讀取者 角色(或其他包含讀取許可權的角色)。
目前無法將範圍設定為系統管理單位的目錄讀取許可權。 如需使用者默認許可權的詳細資訊,請參閱 預設用戶權力。
指派具有管理單位範圍的角色
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph,指派具有系統管理單位範圍的 Microsoft Entra 角色。
Microsoft Entra 系統管理中心
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
選取您要指派使用者角色範圍的管理單位。
在左窗格中,選取 [ 角色和系統管理員 ] 以列出所有可用的角色。
選取要指派的角色,然後選取 [ 新增指派]。
在 [ 新增指派 ] 窗格中,選取一或多個要指派給角色的使用者。
注意
若要使用 Microsoft Entra Privileged Identity Management (PIM) 在管理單位上指派角色,請參閱 在 PIM 中指派 Microsoft Entra 角色。
PowerShell
使用 New-MgRoleManagementDirectoryRoleAssignment 命令和 DirectoryScopeId
參數來指派具有系統管理單位範圍的角色。
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
使用 [新增 scopedRoleMember API] 來指派具有管理單位範圍的角色。
要求
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Body
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
列出具有管理單位範圍的角色指派
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph 來檢視具有系統管理單位範圍的 Microsoft Entra 角色指派清單。
Microsoft Entra 系統管理中心
您可以在 Microsoft Entra 系統管理中心的 管理員 單位區段中,檢視以管理單位範圍建立的所有角色指派。
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
針對您要檢視的角色指派清單,選取系統管理單位。
選取 [ 角色和系統管理員],然後開啟角色以檢視管理單位中的指派。
PowerShell
使用 Get-MgDirectory 管理員 istrativeUnitScopedRoleMember 命令來列出具有系統管理單位範圍的角色指派。
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
使用 List scopedRoleMembers API 來列出具有管理單位範圍的角色指派。
要求
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Body
{}