為 Microsoft Entra 角色指派管理單位範圍
在 Microsoft Entra ID 中,如要進行更精細的系統管理控制,您可以指派 Microsoft Entra 角色,並將其範圍僅限於一或多個系統管理單位。 在管理單位的範圍內指派 Microsoft Entra 角色時,角色權限只適用於管理單位本身的成員,而且不適用於全租用戶的設定或組態。
例如,系統管理員若在獲指派管理單位的範圍內的群組系統管理員角色,即可以管理屬於管理單位成員的群組,但無法管理租用戶中的其他群組。 他們也無法管理與群組相關的租用戶層級設定,例如到期或群組命名原則。
本文描述如何為 Microsoft Entra 角色指派管理單位範圍。
必要條件
- 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員需具備 Microsoft Entra ID 免費授權
- 特殊權限角色管理員
- 使用 PowerShell 時的 Microsoft Graph PowerShell 模組
- 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件。
可指派有管理單位範圍的角色
可對下列 Microsoft Entra 角色指派管理單位範圍。 此外,只要自訂角色的權限至少包括一個與使用者、群組或裝置相關的權限,就可以使用管理單位範圍指派任何自訂角色。
| 角色 | 描述 |
|---|---|
| 驗證管理員 | 針對所有非系統管理員使用者 (僅限指派的管理單位內),具備檢視、設定及重設驗證的存取權。 |
| 雲端裝置管理員 | 在 Microsoft Entra ID 中管理裝置的有限存取。 |
| 群組管理員 | 只能在指派的管理單位中管理群組的所有層面。 |
| 服務台系統管理員 | 可重設非系統管理員的密碼 (僅限指派的管理單位內)。 |
| 授權管理員 | 可指派、移除和更新管理單位內的授權指派。 |
| 密碼管理員 | 可重設非系統管理員的密碼 (僅限指派管理單位內)。 |
| 印表機管理員 | 可管理印表機和印表機連接器。 如需詳細資訊,請參閱在通用列印中委派印表機的管理。 |
| 特殊權限驗證管理員 | 可存取以檢視、設定及重設所有使用者 (管理員或非管理員) 的驗證方法資訊。 |
| SharePoint 管理員 | 只能在指派的管理單位中管理 Microsoft 365 群組。 對於與管理單位中 Microsoft 365 群組相關聯的 SharePoint 網站,也可以使用 Microsoft 365 系統管理中心來更新網站屬性 (網站名稱、URL 和外部共用原則)。 無法使用 SharePoint 系統管理中心或 SharePoint API 來管理網站。 |
| Teams 系統管理員 | 只能在指派的管理單位中管理 Microsoft 365 群組。 只能在 Microsoft 365 系統管理中心針對與獲指派管理單位中群組相關聯的小組管理小組成員。 無法使用 Teams 系統管理中心。 |
| Teams 裝置管理員 | 可以在 Teams 認證裝置上,執行管理相關工作。 |
| 使用者管理員 | 可以管理使用者和群組的所有層面,包含重設限制內的系統管理員密碼 (僅限指派管理單位內)。 目前無法管理使用者的個人資料相片。 |
| <自訂角色> | 可以根據自訂角色的定義,執行套用至使用者、群組或裝置的動作。 |
使用管理單位範圍進行指派時,有某部分的角色權限僅適用於非系統管理員使用者。 換言之,設有管理單位範圍的 服務台系統管理員,只有當管理單位中的使用者不具備系統管理員角色時,才可重設該使用者的密碼。 當動作標的是另一位系統管理員時,即不具備下列權限:
- 讀取和修改使用者驗證方法,或重設使用者密碼
- 修改使用者的敏感性屬性,例如電話號碼、備用電子郵件,或 Open Authorization (OAuth) 祕密金鑰
- 刪除或還原使用者帳戶
可指派管理單位範圍的安全性主體
下列安全性主體可指派給設有管理單位範圍的角色:
- 使用者
- Microsoft Entra 可指派角色的群組
- 服務主體
服務主體和來賓使用者
服務主體和來賓使用者將無法使用範圍設定為管理單位的角色指派,除非他們也獲指派對應的許可權來讀取物件。 這是因為服務主體和來賓使用者預設不會收到目錄讀取權限,這是執行系統管理動作所需的許可權。 若要讓服務主體或來賓使用者以管理單位的範圍使用角色指派,您必須指派目錄讀取者角色或其他包含租使用者範圍的角色。
目前無法指派目錄讀取權限範圍給管理單位。 如需更多有關使用者預設權限的資訊,請參閱使用者預設權限。
為角色指派管理單位範圍
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph,對 Microsoft Entra 角色指派管理單位範圍。
Microsoft Entra 系統管理中心
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
選取您要指派使用者角色範圍的管理單位。
在左側窗格中,選取 [角色和系統管理員],以列出所有可用的角色。
![選取想對其指派管理單位使用者角色範圍的[角色和管理員]窗格螢幕擷取畫面。](media/admin-units-assign-roles/select-role-to-scope.png)
選取要指派的角色,然後選取 [新增指派]。
在 [新增指派] 窗格中,選取要指派為該角色的一或多位使用者。
![選取要指派的角色,然後選取 [新增指派]](media/admin-units-assign-roles/select-add-assignment.png)
注意
若要使用 Microsoft Entra Privileged Identity Management (PIM) 對角色指派管理單位,請參閱在 PIM 中指派 Microsoft Entra 角色。
PowerShell
使用 New-MgRoleManagementDirectoryRoleAssignment 命令和 DirectoryScopeId 參數來指派具有管理單位範圍的角色。
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
使用 Add a scopedRoleMember API 來指派具有系統管理單位範圍的角色。
Request
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
本文
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
列出指派有管理單位範圍的角色
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph,檢視具有系統管理單位範圍的 Microsoft Entra 角色指派清單。
Microsoft Entra 系統管理中心
您可以在 Microsoft Entra 系統管理中心的 管理單位 區段中,檢視建立時指派有管理單位範圍的所有角色。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
針對您要檢視的角色指派清單,選取系統管理單位。
選取 [角色和系統管理員],然後開啟角色,即可檢視管理單位中的指派。
PowerShell
使用 Get-MgDirectoryAdministrativeUnitScopedRoleMember 命令來列出具有管理單位範圍的角色指派。
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
使用 List scopedRoleMembers API 來列出具有系統管理單位範圍的角色指派。
Request
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
本文
{}