Creare o eliminare unità amministrative
Importante
Le unità amministrative di gestione con restrizioni sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per i prodotti per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Le unità amministrative consentono di suddividere l'organizzazione in qualsiasi unità desiderata e quindi assegnare amministratori specifici che possono gestire solo i membri di tale unità. Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori di ogni istituto di istruzione in un'università di grandi dimensioni, in modo da poter controllare l'accesso, gestire gli utenti e impostare i criteri solo nella School of Engineering.
Questo articolo descrive come creare o eliminare unità amministrative per limitare l'ambito delle autorizzazioni per i ruoli in Microsoft Entra ID.
Prerequisiti
- Licenza microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrative
- Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
- Ruolo con privilegi Amministrazione istrator
- Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
- Modulo di Azure AD PowerShell quando si usa PowerShell
- Modulo AzureADPreview quando si usano PowerShell e le unità amministrative di gestione con restrizioni
- Amministrazione consenso quando si usa Graph Explorer per l'API Microsoft Graph
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Creare un'unità amministrativa
È possibile creare una nuova unità amministrativa usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o Microsoft Graph.
Interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Selezionare Aggiungi.
Nella casella Nome immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.
Se non si vuole che gli amministratori a livello di tenant possano accedere a questa unità amministrativa, impostare l'unità amministrativa gestione con restrizioni su Sì. Per altre informazioni, vedere Unità amministrative di gestione con restrizioni.
Facoltativamente, nella scheda Assegna ruoli selezionare un ruolo e quindi selezionare gli utenti a cui assegnare il ruolo con questo ambito di unità amministrativa.
Nella scheda Rivedi e crea esaminare l'unità amministrativa e le assegnazioni di ruolo.
Selezionare il pulsante Crea.
PowerShell
Usare il comando Connessione-MgGraph per accedere al tenant e fornire il consenso alle autorizzazioni necessarie.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Usare il comando New-MgDirectory Amministrazione istrativeUnit per creare una nuova unità amministrativa.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
Usare il comando New-MgBetaDirectory Amministrazione istrativeUnit per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà IsMemberManagementRestricted
su $true
.
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
API di Microsoft Graph
Usare l'API Create administrativeUnit per creare una nuova unità amministrativa.
Richiesta
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Corpo
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
Usare l'API Create administrativeUnit (beta) per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà isMemberManagementRestricted
su true
.
Richiesta
POST https://graph.microsoft.com/beta/administrativeUnits
Corpo
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Eliminare un'unità amministrativa
In Microsoft Entra ID è possibile eliminare un'unità amministrativa che non è più necessaria come unità di ambito per i ruoli amministrativi. Prima di eliminare l'unità amministrativa, è necessario rimuovere eventuali assegnazioni di ruolo con tale ambito di unità amministrativa.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Selezionare l'unità amministrativa da eliminare.
Selezionare Ruoli e amministratori e quindi aprire un ruolo per visualizzare le assegnazioni di ruolo.
Rimuovere tutte le assegnazioni di ruolo con l'ambito dell'unità amministrativa.
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Aggiungere un segno di spunta accanto all'unità amministrativa da eliminare.
Selezionare Elimina.
Per confermare che si vuole eliminare l'unità amministrativa, selezionare Sì.
PowerShell
Usare il comando Remove-MgDirectory Amministrazione istrativeUnit per eliminare un'unità amministrativa.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
API di Microsoft Graph
Usare l'API Delete administrativeUnit per eliminare un'unità amministrativa.
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}