建立或刪除管理單位
重要
管理受限的管理單位目前為預覽。 請參閱產品條款,了解適用於 Azure 功能搶鮮版 (Beta)、預覽版,或尚未正式發行之版本的法律條款。
管理單位可讓您將組織細分為想要的任何單位,然後指派只能管理該單位成員的特定系統管理員。 例如,您可以使用管理單位,將權限委派給大型大學的每個學校管理員,使得他們只可以在工程學院控制存取權、管理使用者及設定原則。
本文描述如何建立或刪除管理單位,以限制 Microsoft Entra ID 中角色權限的範圍。
必要條件
- 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員需具備 Microsoft Entra ID 免費授權
- 特殊權限角色管理員角色
- 使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組
- 使用 PowerShell 時的 Azure AD PowerShell 模組
- 使用 PowerShell 和管理受限的管理單位時的 AzureADPreview 模組
- 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件。
建立管理單位
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph 來建立新的管理單位。
Microsoft Entra 系統管理中心
提示
本文中的步驟可能略有不同,具體取決於您從哪個入口網站展開作業。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
![此螢幕擷取畫面顯示 [管理單位] 頁面。](media/admin-units-manage/nav-to-admin-units.png)
選取 [新增]。
在 [名稱] 方塊中,輸入管理單位的名稱。 選擇性地新增管理單位的描述。
如果您不想讓租用戶層級管理員存取此管理單位,請將管理受限的管理單位切換為是。 如需詳細資訊,請參閱管理受限的管理單位。
![此螢幕擷取畫面顯示 [新增管理單位] 頁面和 [名稱] 方塊,用於輸入管理單位的名稱。](media/admin-units-manage/add-new-admin-unit.png)
選擇性地在 [指派角色] 索引標籤上,選取角色,然後選取要指派此管理單位範圍角色的使用者。
![此螢幕擷取畫面顯示 [新增指派] 窗格,以使用此管理單位範圍新增角色指派。](media/admin-units-manage/assign-roles-admin-unit.png)
在 [檢閱 + 建立] 索引標籤上,檢閱管理單位和任何角色指派。
選取建立按鈕。
PowerShell
使用 Connect-MgGraph 命令來登入您的租使用者,並同意所需的權限。
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
使用 New-MgDirectoryAdministrativeUnit 命令來建立新的管理單位。
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
使用 New-MgBetaDirectoryAdministrativeUnit 命令來建立新的管理受限的管理單位。 將 IsMemberManagementRestricted 屬性設為 $true。
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
使用 Create administrativeUnit API 來建立新的管理單位。
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
本文
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
使用 建立 administrativeUnit (搶鮮版) API 來建立新的管理受限的管理單位。 將 isMemberManagementRestricted 屬性設為 true。
Request
POST https://graph.microsoft.com/beta/administrativeUnits
本文
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
刪除系統管理單位
在 Microsoft Entra ID 中,您可以以管理角色的範圍單位的形式,將不再需要的管理單位刪除。 刪除管理單位之前,您應該移除具有該管理單位範圍的任何角色指派。
Microsoft Entra 系統管理中心
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
選取您要刪除的管理單位。
選取 [角色和系統管理員],然後開啟角色,即可檢視角色指派。
移除具有管理單位範圍的所有角色指派。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
在您要刪除的管理單位旁邊新增核取記號。
選取 [刪除]。
![此螢幕擷取畫面顯示管理單位 [刪除] 按鈕和確認視窗。](media/admin-units-manage/select-admin-unit-to-delete.png)
若要確認您要刪除管理單位,請選取 [是]。
PowerShell
使用 Remove-MgDirectoryAdministrativeUnit 命令來刪除管理單位。
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
使用 Delete administrativeUnit API 來刪除管理單位。
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}