Ajouter des utilisateurs, des groupes ou des appareils à une unité administrative
Dans Microsoft Entra ID, vous pouvez ajouter des utilisateurs, des groupes ou des appareils à une unité administrative pour limiter l’étendue des autorisations de rôle. L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. Pour plus d’informations sur ce que les administrateurs étendus peuvent faire, consultez Unités administratives dans Microsoft Entra ID.
Cet article explique comment ajouter manuellement des utilisateurs, des groupes ou des appareils aux unités administratives. Pour plus d’informations sur la façon d’ajouter des utilisateurs ou des appareils à des unités administratives de manière dynamique à l’aide de règles, consultez Gérer les utilisateurs ou les appareils pour une unité administrative avec des règles pour les groupes d’appartenance dynamique.
Prérequis
- Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
- Licences Microsoft Entra ID gratuites pour les membres de l’unité administrative
- Pour ajouter des utilisateurs, des groupes ou des appareils existants :
- Administrateur de rôle privilégié
- Pour créer des groupes :
- Administrateur de groupes (limité à l’unité administrative ou à l’annuaire entier)
- Microsoft Graph PowerShell
- Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour l’API Microsoft Graph
Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.
Centre d’administration Microsoft Entra
Vous pouvez ajouter des utilisateurs, des groupes ou des appareils à des unités administratives à l’aide du centre d’administration Microsoft Entra. Vous pouvez également ajouter des utilisateurs dans une opération en bloc ou créer un groupe dans une unité administrative.
Ajouter un seul utilisateur, un groupe ou un appareil à des unités administratives
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité.
Accédez à l’un des menus suivants :
- Utilisateurs>Tous les utilisateurs
- Groupes>Tous les groupes
- Appareils>Tous les appareils
Sélectionnez l’utilisateur, le groupe ou l’appareil que vous souhaitez ajouter aux unités administratives.
Sélectionnez Unités administratives.
Sélectionnez Affecter à l’unité administrative.
Dans le volet Sélectionner, sélectionnez les unités administratives, puis sélectionnez Sélectionner.
Ajouter des utilisateurs, des groupes ou des appareils à une seule unité administrative
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative à laquelle vous voulez ajouter des utilisateurs, des groupes ou des appareils.
Sélectionnez l’un des suivants :
- Utilisateurs
- Groupes
- Appareils
Sélectionnez Ajouter un membre, Ajouter ou Ajouter un appareil.
Dans le volet Sélectionner, sélectionnez des utilisateurs, des groupes ou des appareils à ajouter à l’unité administrative, puis sélectionnez Sélectionner.
Ajouter des utilisateurs à une unité administrative dans une opération en bloc
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des utilisateurs.
Sélectionnez Utilisateurs>Opérations en bloc>Ajouter des membres en bloc.
Dans le volet Ajouter des membres en bloc, téléchargez le modèle CSV (valeurs séparées par des virgules).
Modifiez le modèle CSV téléchargé avec la liste des utilisateurs à ajouter.
Ajoutez un nom d’utilisateur principal (UPN) dans chaque ligne. Ne supprimez pas les deux premières lignes du modèle.
Enregistrez vos modifications et chargez le fichier CSV.
Sélectionnez Envoyer.
Créer un groupe dans une unité administrative
Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.
Accédez à Identité>Rôles et administrateurs>Unités administratives.
Sélectionnez l’unité administrative dans laquelle vous souhaitez créer un groupe.
Sélectionnez Groupes.
Sélectionnez Nouveau groupe et suivez les étapes de création d’un groupe.
PowerShell
Utilisez la commande New-MgDirectoryAdministrativeUnitMemberByRef pour ajouter des utilisateurs, groupes ou appareils à une unité administrative ou créer un groupe dans une unité administrative.
Ajouter des utilisateurs à une unité administrative
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Ajouter des groupes à une unité administrative
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Ajouter des appareils à une unité administrative
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Créer un groupe dans une unité administrative
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
API Microsoft Graph
Utilisez l’API Ajouter un membre pour ajouter des utilisateurs, groupes ou appareils à une unité administrative ou créer un groupe dans une unité administrative.
Ajouter des utilisateurs à une unité administrative
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Corps
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Exemple
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Ajouter des groupes à une unité administrative
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Corps
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Exemple
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Ajouter des appareils à une unité administrative
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
body
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Créer un groupe dans une unité administrative
Requête
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Corps
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}
Étapes suivantes
- Unités administratives dans Microsoft Entra ID
- Attribuer des rôles Microsoft Entra avec une étendue d’unité administrative
- Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenance dynamique
- Supprimer des utilisateurs, des groupes ou des appareils d’une unité administrative