Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit

In Microsoft Entra ID können Sie einer Verwaltungseinheit Benutzer, Gruppen oder Geräte hinzufügen, um den Bereich der Rollenberechtigungen zu begrenzen. Das Hinzufügen einer Gruppe zu einer Verwaltungseinheit versetzt die Gruppe selbst, aber nicht die Mitglieder der Gruppe in den Verwaltungsbereich der Verwaltungseinheit. Weitere Informationen zu den Aktionen, die von Bereichsadministratoren ausgeführt werden können, finden Sie unter Verwaltungseinheiten in Microsoft Entra ID.

In diesem Artikel wird beschrieben, wie Sie Verwaltungseinheiten manuell Benutzer, Gruppen oder Geräte hinzufügen. Weitere Informationen darüber, wie Sie Benutzende oder Geräte mithilfe von Regeln dynamisch zu Verwaltungseinheiten hinzufügen können, finden Sie unter Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit Regeln für dynamische Mitgliedergruppen.

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
  • Gehen Sie wie folgt vor, um vorhandene Benutzer, Gruppen oder Geräte hinzuzufügen:
    • Administrator für privilegierte Rollen
  • Gehen Sie wie folgt vor, um neue Gruppen zu erstellen:
    • Gruppenadministrator (auf die Verwaltungseinheit oder das gesamte Verzeichnis beschränkt)
  • Microsoft Graph PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Microsoft Entra Admin Center

Sie können Benutzer, Gruppen oder Geräte über das Microsoft Entra Admin Center zu Verwaltungseinheiten hinzufügen. Sie können Benutzer auch per Massenvorgang hinzufügen oder eine neue Gruppe in einer Verwaltungseinheit erstellen.

Hinzufügen eines einzelnen Benutzers, einer Gruppe oder eines Geräts zu Verwaltungseinheiten

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität.

  3. Navigieren Sie zu einem der folgenden Elemente:

    • Benutzer>Alle Benutzer
    • Gruppen>Alle Gruppen
    • Geräte>Alle Geräte
  4. Wählen Sie den Benutzer, die Gruppe oder das Gerät aus, den/die/das Sie zu einer Verwaltungseinheit hinzufügen möchten.

  5. Wählen Sie Verwaltungseinheiten aus.

  6. Wählen Sie die Option Der Verwaltungseinheit zuweisen aus.

  7. Wählen Sie im Bereich Auswählen die Verwaltungseinheiten und dann Alle Gruppen aus.

    Screenshot der Seite „Verwaltungseinheiten“ zum Hinzufügen eines Benutzers zu einer Verwaltungseinheit

Hinzufügen von Benutzern, Gruppen oder Geräten zu einer einzelnen Verwaltungseinheit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer, Gruppen oder Geräte hinzufügen möchten.

  4. Wählen Sie eines der folgenden Szenarien aus:

    • Benutzer
    • Gruppen
    • Geräte
  5. Wählen Sie Mitglied hinzufügen, Hinzufügen oder Gerät hinzufügen aus.

  6. Wählen Sie im Bereich Auswählen die Benutzer, Gruppen oder Geräte aus, die Sie der Verwaltungseinheit hinzufügen möchten, und wählen Sie dann Auswählen aus.

    Screenshot zum Hinzufügen mehrerer Geräte zu einer Verwaltungseinheit

Hinzufügen von Benutzer*innen zu einer Verwaltungseinheit in einem Massenvorgang

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, zu der Sie Benutzer hinzufügen möchten.

  4. Wählen Sie User>Bulk operations>Bulk add members (Benutzer > Massenvorgang > Massenhinzufügen von Mitgliedern) aus.

    Screenshot der Seite „Benutzer“ zum Zuweisen von Benutzern zu einer Verwaltungseinheit per Massenvorgang

  5. Laden Sie im Bereich Massenhinzufügen von Mitgliedern die Vorlage durch Komma getrennte Werte (CSV) herunter.

  6. Bearbeiten Sie die heruntergeladene CSV-Vorlage mit der Liste der Benutzer*innen, die Sie hinzufügen möchten.

    Fügen Sie in jeder Zeile einen Benutzerprinzipalnamen (UPN) hinzu. Entfernen Sie auf keinen Fall die beiden ersten Zeilen der Vorlage.

  7. Speichern Sie die Änderungen, und laden Sie die CSV-Datei hoch.

    Screenshot einer bearbeiteten CSV-Datei für das Hinzufügen von Benutzern zu einer Verwaltungseinheit per Massenvorgang

  8. Klicken Sie auf Submit (Senden).

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, in der Sie eine neue Gruppe erstellen möchten.

  4. Wählen Sie Gruppen aus.

  5. Wählen Sie Neue Gruppe aus, und führen Sie die Schritte zum Erstellen einer neuen Gruppe aus.

    Screenshot der Seite „Verwaltungseinheiten“ zum Erstellen einer neuen Gruppe in einer Verwaltungseinheit

PowerShell

Verwenden Sie den Befehl New-MgDirectoryAdministrativeUnitMemberByRef, um einer Verwaltungseinheit Benutzer:innen, Gruppen oder Geräte hinzuzufügen oder eine neue Gruppe in einer Verwaltungseinheit zu erstellen.

Hinzufügen von Benutzern zu einer Verwaltungseinheit

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Zuweisen von Gruppen zu einer Verwaltungseinheit

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Hinzufügen von Geräten zu einer Verwaltungseinheit

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Microsoft Graph-API

Verwenden Sie die API zum Hinzufügen eines Mitglieds, um einer Verwaltungseinheit Benutzer, Gruppen oder Geräte hinzuzufügen oder eine neue Gruppe in einer Verwaltungseinheit zu erstellen.

Hinzufügen von Benutzern zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Beispiel

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Zuweisen von Gruppen zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Beispiel

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Hinzufügen von Geräten zu einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Text

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Erstellen einer neuen Gruppe in einer Verwaltungseinheit

Anforderung

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Text

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Nächste Schritte