將使用者、群組或裝置新增至管理單位
在 Microsoft Entra 識別符中,您可以將使用者、群組或裝置新增至系統管理單位,以限制角色許可權的範圍。 將群組新增至管理單位會將群組本身納入管理單位的管理範圍,而「不」是群組的成員。 如需範圍系統管理員可以執行之作業的其他詳細數據,請參閱 Microsoft Entra 識別碼中的系統管理單位。
本文說明如何手動將使用者、群組或裝置新增至系統管理單位。 如需如何使用規則動態將使用者或裝置新增至系統管理單位的資訊,請參閱 使用動態成員資格規則管理管理單位的使用者或裝置。
必要條件
- 每個管理單位的管理員需具備 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員需具備 Microsoft Entra ID 免費授權
- 若要新增現有的使用者、群組或裝置:
- 特殊權限角色管理員
- 若要建立新的群組:
- 群組管理員(範圍設定為系統管理單位或整個目錄)
- Microsoft Graph/PowerShell
- 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件。
Microsoft Entra 系統管理中心
您可以使用 Microsoft Entra 系統管理中心,將使用者、群組或裝置新增至系統管理單位。 您也可以在大量作業中新增使用者,或在系統管理單位中建立新的群組。
將單一使用者、群組或裝置新增至系統管理單位
提示
本文中的步驟可能略有不同,具體取決於您從哪個入口網站展開作業。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]。
瀏覽下列其中一項:
- [使用者]> [所有使用者]
- [群組]> [所有群組]
- [裝置]>[所有裝置]
選取您要新增至系統管理單位的使用者、群組或裝置。
選取 [管理單位]。
選取 [指派給管理單位]。
在 [ 選取 ] 窗格中,選取系統管理單位,然後選取 [ 選取]。
將使用者、群組或裝置新增至單一管理單位
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
選取您要新增使用者、群組或裝置的系統管理單位。
選取下列其中一項:
- 使用者
- 群組
- 裝置
選取 [新增成員]、[新增] 或 [新增裝置]。
在 [選取] 窗格中,選取您要新增至系統管理單位的使用者、群組或裝置,然後選取 [選取]。
將使用者新增至大量作業中的管理單位
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
選取您要新增用戶的系統管理單位。
選取 [使用者>大量作業>大量新增成員]。
在 [ 大量新增成員 ] 窗格中,下載逗號分隔值 (CSV) 範本。
編輯下載的 CSV 範本,其中包含您想要新增的使用者清單。
在每個資料列中新增一個使用者主體名稱 (UPN)。 請勿移除範本的前兩個資料列。
儲存變更並上傳 CSV 檔案。
選取 [提交]。
在管理單位中建立新的群組
以至少群組管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[管理單位]。
選取您要在 中建立新群組的系統管理單位。
選取群組。
選取 [新增群組 ],然後完成建立新群組的步驟。
PowerShell
使用 New-MgDirectoryAdministrativeUnitMemberByRef 命令,將使用者、群組或裝置新增至系統管理單位,或在管理單位中建立新的群組。
將使用者新增至系統管理單位
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
將群組新增至管理單位
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
將裝置新增至管理單位
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
在管理單位中建立新的群組
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
Microsoft Graph API
使用 [ 新增成員 API] 將使用者、群組或裝置新增至系統管理單位,或在管理單位中建立新的群組。
將使用者新增至系統管理單位
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
範例
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
將群組新增至管理單位
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
範例
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
將裝置新增至管理單位
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
本文
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
在管理單位中建立新的群組
Request
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
本文
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應