Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa
In Microsoft Entra ID è possibile aggiungere utenti, gruppi o dispositivi a un'unità amministrativa per limitare l'ambito delle autorizzazioni del ruolo. L'aggiunta di un gruppo a un'unità amministrativa comporta l'inserimento del gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non dei membri del gruppo. Per altri dettagli sulle operazioni che gli amministratori con ambito possono eseguire, vedere Unità amministrative in Microsoft Entra ID.
Questo articolo descrive come aggiungere manualmente utenti, gruppi o dispositivi alle unità amministrative. Per informazioni su come aggiungere utenti o dispositivi alle unità amministrative in modo dinamico usando le regole, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.
Prerequisiti
- Licenza microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrative
- Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
- Per aggiungere utenti, gruppi o dispositivi esistenti:
- Amministratore dei ruoli con privilegi
- Per creare nuovi gruppi:
- Amministratore gruppi (con ambito per l'unità amministrativa o l'intera directory)
- PowerShell di Microsoft Graph
- Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Interfaccia di amministrazione di Microsoft Entra
È possibile aggiungere utenti, gruppi o dispositivi alle unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile aggiungere utenti in un'operazione in blocco o creare un nuovo gruppo in un'unità amministrativa.
Aggiungere un singolo utente, gruppo o dispositivo alle unità amministrative
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità.
Andare su uno dei seguenti:
- Utenti>Tutti gli utenti
- Gruppi>Tutti i gruppi
- Dispositivi>Tutti i dispositivi
Selezionare l'utente, il gruppo o il dispositivo da aggiungere alle unità amministrative.
Selezionare Unità amministrative.
Selezionare Assegna all'unità amministrativa.
Nel riquadro Seleziona selezionare le unità amministrative e quindi selezionare Seleziona.
Aggiungere utenti, gruppi o dispositivi a una singola unità amministrativa
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori Unità di amministrazione.>
Selezionare l'unità amministrativa a cui si vogliono aggiungere utenti, gruppi o dispositivi.
Selezionare una delle opzioni seguenti:
- Utenti
- Gruppi
- Dispositivi
Selezionare Aggiungi membro, Aggiungi o Aggiungi dispositivo.
Nel riquadro Seleziona selezionare gli utenti, i gruppi o i dispositivi da aggiungere all'unità amministrativa e quindi selezionare Seleziona.
Aggiungere utenti a un'unità amministrativa in un'operazione in blocco
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori Unità di amministrazione.>
Selezionare l'unità amministrativa a cui si desidera aggiungere utenti.
Selezionare Utenti>Operazioni>bulk Aggiungere membri in blocco.
Nel riquadro Aggiungi membri in blocco scaricare il modello di valori delimitati da virgole (CSV).
Modificare il modello CSV scaricato con l'elenco di utenti da aggiungere.
Aggiungere un nome dell'entità utente (UPN) in ogni riga. Non rimuovere le prime due righe del modello.
Salvare le modifiche e caricare il file CSV.
Selezionare Invia.
Creare un nuovo gruppo in un'unità amministrativa
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.
Passare a Ruoli identità>e amministratori Unità di amministrazione.>
Selezionare l'unità amministrativa in cui si vuole creare un nuovo gruppo.
Seleziona Gruppi.
Selezionare Nuovo gruppo e completare i passaggi per creare un nuovo gruppo.
PowerShell
Usare il comando New-MgDirectoryAdministrativeUnitMemberByRef per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.
Aggiungere utenti a un'unità amministrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Aggiungere gruppi a un'unità amministrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Aggiungere dispositivi a un'unità amministrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId
Creare un nuovo gruppo in un'unità amministrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
"@odata.type" = "#microsoft.graph.group"
description = "{group-description}"
displayName = "{group-name}"
groupTypes = @(
"Unified"
)
mailEnabled = $false
mailNickname = "{group-name}"
securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params
API di Microsoft Graph
Usare l'API Aggiungi un membro per aggiungere utenti, gruppi o dispositivi a un'unità amministrativa o creare un nuovo gruppo in un'unità amministrativa.
Aggiungere utenti a un'unità amministrativa
Richiesta
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Testo
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}
Esempio
{
"@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}
Aggiungere gruppi a un'unità amministrativa
Richiesta
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Testo
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}
Esempio
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}
Aggiungere dispositivi a un'unità amministrativa
Richiesta
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref
Testo
{
"@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}
Creare un nuovo gruppo in un'unità amministrativa
Richiesta
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/
Testo
{
"@odata.type": "#Microsoft.Graph.Group",
"description": "{Example group description}",
"displayName": "{Example group name}",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "{examplegroup}",
"securityEnabled": false
}