將使用者、群組或裝置新增至管理單位
在 Microsoft Entra 識別符中,您可以將使用者、群組或裝置新增至系統管理單位,以限制角色許可權的範圍。 將群組新增至管理單位,會將群組本身帶入管理單位的管理範圍,但 不會 將群組成員帶入群組的成員。 如需範圍系統管理員可以執行之動作的其他詳細數據,請參閱 Microsoft Entra ID 中的 管理員 單位。
本文說明如何手動將使用者、群組或裝置新增至系統管理單位。 如需如何使用規則動態將使用者或裝置新增至系統管理單位的資訊,請參閱 使用動態成員資格規則管理管理單位的使用者或裝置。
必要條件
- 每個系統管理單位系統管理員的 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員的 Microsoft Entra ID 免費授權
- 若要新增現有的使用者、群組或裝置:
- 特殊權限角色管理員或全域管理員
- 若要建立新的群組:
- 群組 管理員 istrator(範圍設定為系統管理單位或整個目錄)或全域 管理員 istrator
- Microsoft Graph PowerShell
- 使用適用於 Microsoft Graph API 的 Graph 總管時 管理員 同意
如需詳細資訊,請參閱 使用PowerShell或 Graph 總管的必要條件。
Microsoft Entra 系統管理中心
您可以使用 Microsoft Entra 系統管理中心,將使用者、群組或裝置新增至系統管理單位。 您也可以在大量作業中新增使用者,或在系統管理單位中建立新的群組。
將單一使用者、群組或裝置新增至系統管理單位
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
流覽至 [ 身分識別]。
瀏覽下列其中一項:
- 使用者>所有使用者
- 群組>所有群組
- 裝置>所有裝置
選取您要新增至系統管理單位的使用者、群組或裝置。
選取 [管理員 單位]。
選取 [指派給管理單位]。
在 [ 選取 ] 窗格中,選取系統管理單位,然後選取 [ 選取]。
將使用者、群組或裝置新增至單一管理單位
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
選取您要新增使用者、群組或裝置的系統管理單位。
選取下列其中一項:
- 使用者
- 群組
- 裝置
選取 [新增成員]、[新增] 或 [新增裝置]。
在 [選取] 窗格中,選取您要新增至系統管理單位的使用者、群組或裝置,然後選取 [選取]。
將使用者新增至大量作業中的管理單位
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
選取您要新增用戶的系統管理單位。
選取 [使用者>大量作業>大量新增成員]。
在 [ 大量新增成員 ] 窗格中,下載逗號分隔值 (CSV) 範本。
編輯下載的 CSV 範本,其中包含您想要新增的使用者清單。
在每個數據列中新增一個用戶主體名稱 (UPN)。 請勿移除範本的前兩個數據列。
儲存您的變更並上傳 CSV 檔案。
選取 [提交]。
在管理單位中建立新的群組
以至少 管理員 istrator 的群組身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
選取您要在 中建立新群組的系統管理單位。
選取群組。
選取 [新增群組 ],然後完成建立新群組的步驟。
PowerShell
使用 Invoke-MgGraphRequest 命令,將使用者、群組或裝置新增至系統管理單位,或在系統管理單位中建立新的群組。
將使用者新增至系統管理單位
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
}'
將群組新增至管理單位
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
}'
將裝置新增至管理單位
Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
}'
在管理單位中建立新的群組
$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{exampleGroup}",
"securityEnabled": false
}'
Microsoft Graph API
使用 [ 新增成員 API] 將使用者、群組或裝置新增至系統管理單位,或在管理單位中建立新的群組。
將使用者新增至系統管理單位
要求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
範例
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
將群組新增至管理單位
要求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
範例
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
將裝置新增至管理單位
要求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
在管理單位中建立新的群組
要求
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
本文
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}