共用方式為

將使用者、群組或裝置新增至管理單位

  • 發行項

在 Microsoft Entra 識別符中,您可以將使用者、群組或裝置新增至系統管理單位,以限制角色許可權的範圍。 將群組新增至管理單位會將群組本身納入管理單位的管理範圍,而「不」是群組的成員。 如需範圍系統管理員可以執行之作業的其他詳細數據,請參閱 Microsoft Entra 識別碼中的系統管理單位。

本文說明如何手動將使用者、群組或裝置新增至系統管理單位。 如需如何使用規則動態將使用者或裝置新增至系統管理單位的資訊,請參閱 使用動態成員資格規則管理管理單位的使用者或裝置。

必要條件

  • 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
  • 管理單位成員需具備 Microsoft Entra ID 免費授權
  • 若要新增現有的使用者、群組或裝置:
    • 特殊權限角色管理員
  • 若要建立新的群組:
    • 群組管理員(範圍設定為系統管理單位或整個目錄)
  • Microsoft Graph/PowerShell
  • 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件

Microsoft Entra 系統管理中心

您可以使用 Microsoft Entra 系統管理中心,將使用者、群組或裝置新增至系統管理單位。 您也可以在大量作業中新增使用者,或在系統管理單位中建立新的群組。

將單一使用者、群組或裝置新增至系統管理單位

提示

本文中的步驟可能略有不同,具體取決於您從哪個入口網站展開作業。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]

  3. 瀏覽下列其中一項:

    • [使用者]> [所有使用者]
    • [群組]> [所有群組]
    • [裝置]>[所有裝置]

  4. 選取您要新增至系統管理單位的使用者、群組或裝置。

  5. 選取 [管理單位]

  6. 選取 [指派給管理單位]。

  7. 在 [ 選取 ] 窗格中,選取系統管理單位,然後選取 [ 選取]。

    [系統管理單位] 頁面的螢幕快照,用於將使用者新增至系統管理單位。

將使用者、群組或裝置新增至單一管理單位

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要新增使用者、群組或裝置的系統管理單位。

  4. 選取下列其中一項:

    • 使用者
    • 群組
    • 裝置

  5. 選取 [新增成員]、[新增] 或 [新增裝置]。

  6. 在 [選取] 窗格中,選取您要新增至系統管理單位的使用者、群組或裝置,然後選取 [選取]。

    將多個裝置新增至系統管理單位的螢幕快照。

將使用者新增至大量作業中的管理單位

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要新增用戶的系統管理單位。

  4. 選取 [使用者>大量作業>大量新增成員]。

    [使用者] 頁面的螢幕快照,用於將使用者指派給系統管理單位做為大量作業。

  5. 在 [ 大量新增成員 ] 窗格中,下載逗號分隔值 (CSV) 範本。

  6. 編輯下載的 CSV 範本,其中包含您想要新增的使用者清單。

    在每個資料列中新增一個使用者主體名稱 (UPN)。 請勿移除範本的前兩個資料列。

  7. 儲存變更並上傳 CSV 檔案。

    已編輯 CSV 檔案的螢幕快照,可將使用者大量新增至系統管理單位。

  8. 選取 [提交]

在管理單位中建立新的群組

  1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]

  3. 選取您要在 中建立新群組的系統管理單位。

  4. 選取群組

  5. 選取 [新增群組 ],然後完成建立新群組的步驟。

    在系統管理單位中建立新群組的 [系統管理單位] 頁面螢幕快照。

PowerShell

使用 New-MgDirectoryAdministrativeUnitMemberByRef 命令,將使用者、群組或裝置新增至系統管理單位,或在管理單位中建立新的群組。

將使用者新增至系統管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

將群組新增至管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

將裝置新增至管理單位

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

在管理單位中建立新的群組

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Microsoft Graph API

使用 [ 新增成員 API] 將使用者、群組或裝置新增至系統管理單位,或在管理單位中建立新的群組。

將使用者新增至系統管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

範例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

將群組新增至管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

範例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

將裝置新增至管理單位

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

在管理單位中建立新的群組

Request

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

本文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

下一步