Vytvoření nebo odstranění jednotek pro správu

  • Článek

Důležité

Jednotky pro správu s omezeným přístupem jsou aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi Beta, Preview nebo které ještě nejsou vydány v obecné dostupnosti.

Jednotky pro správu umožňují rozdělit organizaci na libovolné jednotky a přiřadit konkrétní správce, kteří můžou spravovat pouze členy daných jednotek. Pomocí jednotek pro správu můžete například delegovat oprávnění správcům každé školy ve velké univerzitě, aby mohli řídit přístup, spravovat uživatele a nastavovat zásady jenom ve škole technického oddělení.

Tento článek popisuje, jak vytvořit nebo odstranit jednotky pro správu, které omezují rozsah oprávnění role v Microsoft Entra ID.

Požadavky

  • Licence Microsoft Entra ID P1 nebo P2 pro každého správce jednotek pro správu
  • Bezplatné licence Microsoft Entra ID pro členy jednotek pro správu
  • Privilegovaná role Správa istrator
  • Modul Microsoft.Graph při použití Prostředí Microsoft Graph PowerShell
  • Modul Azure AD PowerShell při použití PowerShellu
  • Modul AzureADPreview při použití PowerShellu a omezených jednotek pro správu
  • Správa souhlas při používání Graph Exploreru pro rozhraní Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Vytvoření jednotky pro správu

Novou jednotku pro správu můžete vytvořit pomocí Centra pro správu Microsoft Entra, PowerShellu nebo Microsoft Graphu.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům> Správa jednotek.

    Snímek obrazovky se stránkou Správa istrativní jednotky

  3. Vyberte Přidat.

  4. Do pole Název zadejte název jednotky pro správu. Volitelně můžete přidat popis jednotky pro správu.

  5. Pokud nechcete, aby správci na úrovni tenanta měli přístup k této jednotce pro správu, nastavte přepínač Omezená jednotka pro správu na Ano. Další informace naleznete v tématu Omezené jednotky pro správu.

    Snímek obrazovky se stránkou Přidat jednotku pro správu a polem Název pro zadání názvu jednotky pro správu

  6. Volitelně můžete na kartě Přiřadit role vybrat roli a pak vybrat uživatele, kterým se role přiřadí s tímto oborem jednotky pro správu.

    Snímek obrazovky s podoknem Přidat přiřazení pro přidání přiřazení rolí s tímto oborem jednotky pro správu

  7. Na kartě Zkontrolovat a vytvořit zkontrolujte jednotku správy a všechna přiřazení rolí.

  8. Vyberte tlačítko Vytvořit.

PowerShell

Pomocí příkazu Připojení-MgGraph se přihlaste ke svému tenantovi a odsouhlaste požadovaná oprávnění.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Pomocí příkazu New-MgDirectory Správa istrativeUnit vytvořte novou jednotku pro správu.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Pomocí příkazu New-MgBetaDirectory Správa istrativeUnit vytvořte novou jednotku pro správu s omezeným přístupem. Nastavte vlastnost IsMemberManagementRestricted na $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

K vytvoření nové jednotky pro správu použijte rozhraní API create administrativeUnit.

Žádost

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Text

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Pomocí rozhraní API create administrativeUnit (beta) vytvořte novou jednotku pro správu s omezeným přístupem. Nastavte vlastnost isMemberManagementRestricted na true.

Žádost

POST https://graph.microsoft.com/beta/administrativeUnits

Text

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Odstranění jednotky pro správu

V Microsoft Entra ID můžete odstranit jednotku pro správu, kterou už nepotřebujete jako jednotku oboru pro role pro správu. Před odstraněním jednotky pro správu byste měli odebrat všechna přiřazení rolí s tímto oborem jednotek pro správu.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům> Správa jednotek.

  3. Vyberte jednotku pro správu, kterou chcete odstranit.

  4. Vyberte Role a správci a otevřete roli, abyste zobrazili přiřazení rolí.

  5. Odeberte všechna přiřazení rolí s oborem jednotek pro správu.

  6. Přejděte k rolím identit>a správcům> Správa jednotek.

  7. Přidejte značku zaškrtnutí vedle jednotky pro správu, kterou chcete odstranit.

  8. Vyberte Odstranit.

    Snímek obrazovky s tlačítkem Odstranit jednotku pro správu a potvrzovací okno

  9. Pokud chcete potvrdit, že chcete odstranit jednotku pro správu, vyberte Ano.

PowerShell

Pomocí příkazu Remove-MgDirectory Správa istrativeUnit odstraňte jednotku pro správu.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Microsoft Graph API

K odstranění jednotky pro správu použijte rozhraní API delete administrativeUnit.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Další kroky