管理単位の作成または削除

重要

制限付き管理の管理単位は現在プレビュー段階です。 ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される法律条項については、「製品条項」を参照してください。

管理単位を使用すると、組織を任意の単位に分割し、その単位のメンバーのみを管理できる特定の管理者を割り当てることができます。 たとえば、管理単位を使用して、大規模な大学の各学校の管理者にアクセス許可を委任して、アクセスの制御、ユーザーの管理、およびエンジニアリングの学校でのみポリシーを設定することができます。

この記事では、Microsoft Entra ID で管理単位を作成または削除して、ロールのアクセス許可のスコープを制限する方法について説明します。

前提条件

  • 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
  • 管理単位メンバーの Microsoft Entra ID Free ライセンス
  • 特権ロール管理者ロール
  • Microsoft Graph PowerShell を使用する場合、Microsoft.Graph モジュール
  • PowerShell を使う場合の Azure AD PowerShell モジュール
  • PowerShell と制限付き管理単位を使用する場合の AzureADPreview モジュール
  • 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)

詳細については、「PowerShell または Graph エクスプローラーを使用するための前提条件」をご覧ください。

管理単位を作成する

Microsoft Entra 管理センター、PowerShell、または Microsoft Graph を使用して、新しい管理単位を作成できます。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID]>[役割と管理者]>[管理単位] に移動します。

    [管理単位] ページのスクリーンショット。

  3. [追加] を選択します。

  4. [名前] ボックスに、管理単位の名前を入力します。 必要に応じて、管理単位の説明を追加します。

  5. テナント レベルの管理者がこの管理単位にアクセスできないようにするには、[制限付き管理単位] トグルを [はい] に設定します。 詳細については、「制限付き管理単位」を参照してください。

    [管理単位の追加] ページと、管理単位の名前を入力するための [名前] ボックスを示すスクリーンショット。

  6. オプションの[ ロールの割り当て ] タブで、ロールを選択し、この管理単位のスコープでロールを割り当てるユーザーを選択します。

    この管理単位スコープを使用してロールの割り当てを追加するための [割り当ての追加] ペインを示すスクリーンショット。

  7. [ 確認 + 作成 ] タブで、管理単位とロールの割り当てを確認します。

  8. [作成] ボタンを選択します。

PowerShell

Connect-MgGraph コマンドを使用してテナントにサインインし、必要なアクセス許可に同意します。

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

New-MgDirectoryAdministrativeUnit コマンドを使用して、新しい管理単位を作成します。

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

新しい制限付き管理単位を作成するには、New-MgBetaDirectoryAdministrativeUnit コマンドを使用します。 IsMemberManagementRestricted プロパティを $trueに設定します。

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

Create administrativeUnit API を使用して、新しい管理単位を作成します。

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Body

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

新しい制限付き管理単位を作成するには、Create administrativeUnit (ベータ) API を使用します。 isMemberManagementRestricted プロパティを trueに設定します。

要求

POST https://graph.microsoft.com/beta/administrativeUnits

Body

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

管理単位を削除する

Microsoft Entra ID では、管理ロールのスコープの単位として不要になった管理単位を削除できます。 管理単位を削除する前に、その管理単位のスコープを持つすべてのロールの割り当てを削除する必要があります。

Microsoft Entra 管理センター

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID]>[役割と管理者]>[管理単位] に移動します。

  3. 削除する管理単位を選択します。

  4. [ロールと管理者] を選択し、ロールを開くと、ロールの割り当てが表示されます。

  5. 管理単位のスコープを持つすべてのロールの割り当てを削除します。

  6. [ID]>[役割と管理者]>[管理単位] に移動します。

  7. 削除する管理単位の横にチェック マークを付けます。

  8. [削除] を選択します。

    管理単位の [削除] ボタンと確認ウィンドウのスクリーンショット。

  9. 管理単位の削除を確認するには、 [はい] を選択します。

PowerShell

Remove-MgDirectoryAdministrativeUnit コマンドを使用して、管理単位を削除します。

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Microsoft Graph API

Delete administrativeUnit API を使用して、管理単位を削除します。

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

次のステップ