分享方式:

將使用者、群組或裝置新增至管理單位

  • 文章

在 Microsoft Entra ID,您可以將使用者、群組或裝置新增至管理單位,以限制角色權限的範圍。 將群組新增至管理單位會將群組本身納入管理單位的管理範圍,而「不」是群組的成員。 如需系統管理員權限範圍的其他詳細資料,請參閱 Microsoft Entra ID 中的管理單位

本文會說明如何以手動方式將使用者、群組或裝置新增至管理單位。 關於如何使用規則將使用者或裝置動態新增至管理單位,如需詳細資訊,請參閱以組動態成員資格規則管理管理單位的使用者或裝置

必要條件

  • 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
  • 管理單位成員需具備 Microsoft Entra ID 免費授權
  • 新增現有的使用者、群組或裝置:
    • 特殊權限角色管理員
  • 建立新群組:
    • 群組管理員 (範圍設定為管理單位或整個目錄)
  • Microsoft Graph/PowerShell
  • 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件

Microsoft Entra 系統管理中心

您可以使用 Microsoft Entra 系統管理中心將使用者、群組或裝置新增至管理單位。 您也可以在大量作業中新增使用者,或在管理單位中建立新的群組。

將單一使用者、群組或裝置新增至管理單位

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]

  3. 瀏覽下列其中一項:

    • [使用者]>[所有使用者]
    • [群組]>[所有群組]
    • [裝置]>[所有裝置]

  4. 選取您要新增至管理單位的使用者、群組或裝置。

  5. 選取 [管理單位]

  6. 選取 [指派至管理單位]

  7. 在 [選取] 窗格中,選取管理單位,然後選取 [選取]

    [管理單位] 頁面的螢幕擷取畫面,用於將使用者新增至管理單位。

將使用者、群組或裝置新增至單一的管理單位

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要新增使用者、群組或裝置的管理單位。

  4. 選取下列其中一項:

    • 使用者
    • 群組
    • 裝置

  5. 選取 [新增成員]、[新增] 或 [新增裝置]

  6. 在 [選取] 窗格中,選取您要新增至管理單位的使用者、群組或裝置,然後選取 [選取]

    將多個裝置新增至管理單位的螢幕擷取畫面。

在大量作業中將使用者新增至管理單位

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要新增使用者的管理單位。

  4. 選取 [使用者] > [大量作業] > [大量新增成員]

    [使用者] 頁面的螢幕擷取畫面,用於以大量作業形式將使用者指派給管理單位。

  5. 在 [大量新增成員] 窗格中,下載逗號分隔值 (CSV) 範本。

  6. 編輯下載的 CSV 範本,加上使用您要新增的使用者清單。

    在每個資料列中新增一個使用者主體名稱 (UPN)。 請勿移除範本的前兩個資料列。

  7. 儲存變更並上傳 CSV 檔案。

    螢幕擷取畫面顯示編輯的 CSV 檔案,用於將使用者大量新增至管理單位。

  8. 選取 [提交]

在管理單位中建立新的群組

  1. 至少以群組管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要在其中建立新群組的管理單位。

  4. 選取群組

  5. 選取 [新增群組],然後完成建立新群組的步驟。

    [管理單位] 頁面的螢幕擷取畫面,用於在管理單位中建立新的群組。

PowerShell

使用 New-MgDirectoryAdministrativeUnitMemberByRef 命令,將使用者、群組或裝置新增至管理單位,或在管理單位中建立新群組。

將使用者新增至管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

將群組新增至管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

將裝置新增至管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

在管理單位中建立新的群組

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Microsoft Graph API

使用新增成員 API,將使用者、群組或裝置新增至管理單位,或在管理單位中建立新群組。

將使用者新增至管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

範例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

將群組新增至管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

範例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

將裝置新增至管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

在管理單位中建立新的群組

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

本文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

下一步