Для более детального административного управления в идентификаторе Microsoft Entra можно назначить пользователей роли Microsoft Entra с областью, ограниченной одной или несколькими административными единицами. Примеры сценариев PowerShell для распространенных задач см. в разделе Работа с административными единицами.
Для создания административной единицы в идентификаторе Microsoft Entra ID необходимо назначить по крайней мере роль администратора привилегированных ролей. Убедитесь, что пользователю, пытающемуся создать административную единицу, назначена роль администратора привилегированных ролей.
При добавлении группы в административную единицу это не приводит ко всем участникам группы, добавляемых в нее. Пользователей нужно назначать административной единице напрямую.
Я только что добавил (или удалил) члена административной единицы. Почему он не отображается (или продолжает отображаться) в пользовательском интерфейсе?
Иногда добавление или удаление одного или нескольких членов административной единицы отображается на панели Административные единицы через несколько минут. Кроме того, вы можете перейти непосредственно к свойствам связанного ресурса и определить, было ли выполнено соответствующее действие. Дополнительные сведения об участниках в административных единицах см. в статье Вывод списка пользователей, групп или устройств в административной единице.
Мне делегированы права администратора паролей в административной единице. Почему я не могу сбросить пароль определенного пользователя?
Администратор административной единицы может сбрасывать пароли только для пользователей, назначенных в вашу административную единицу. Убедитесь в том, что пользователь, для которого не удается сбросить пароль, относится к той административной единице, в которую вас назначили. Если пользователь относится к той же административной единице, но вы все равно не можете сбросить его пароль, проверьте роли, назначенные пользователю.
Чтобы не повышались привилегии, администратор административной единицы не может сбрасывать пароли пользователей, назначенных роли, для которой областью распространения является вся организация.
Зачем нужны административные единицы? Разве нельзя использовать группы безопасности как способ определения области?
Группы безопасности имеют существующую модель назначения и авторизации. Например, администратор пользователя может управлять членством во всех группах безопасности в организации Microsoft Entra. Эта роль может использовать группы для управления доступом к таким приложениям, как Salesforce. Администратор пользователя не должен управлять самой моделью делегирования, что будет результатом, если группы безопасности были расширены для поддержки сценариев групп ресурсов.
Административные единицы, такие как подразделения в Windows Server Active Directory, предназначены для обеспечения возможности администрирования широкого спектра объектов каталога. Сами группы безопасности могут быть членами областей ресурсов. Использовать группы безопасности для определения набора групп безопасности, которыми может управлять администратор, может быть непросто.
Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Дополнительные сведения см. в разделе "Административные единицы" в идентификаторе Microsoft Entra.
Может ли ресурс (пользователь, группа или устройство) быть участником нескольких административных единиц?
Да, ресурс может быть членом сразу нескольких административных единиц. Ресурсом могут управлять все администраторы организации и административной единицы, имеющие разрешения в отношении этого ресурса.
Нет, административные единицы недоступны для организаций B2C.
Нет, вложенные административные единицы не поддерживаются.
Да. Информацию о поддержке административных единиц см. в документации по командлетам PowerShell и в примерах сценариев.
См. статью Тип ресурса administrativeUnit в Microsoft Graph.
Я только что сохранил правило для динамических групп членства для административной единицы, но я пока не вижу пользователей, заполненных.
Начальное обновление административной единицы может занять несколько минут в зависимости от размера клиента и текущей нагрузки идентификатора Microsoft Entra.
После создания правила для динамических групп членства в Центре администрирования Microsoft Entra с помощью построителя правил и попытки сохранить я получаю ошибку "Не удалось обновить свойства административной единицы".
Обычно это означает, что возникает проблема с заданными значениями свойств. Убедитесь, что предоставленные значения свойств имеют правильный тип значения (логическое значение, строка или коллекция строк). Дополнительные сведения см. в разделе "Допустимые значения" для каждого оператора для пользователей или устройств.
Эта ошибка также может привести к тому, что пользователь без лицензии Microsoft Entra ID P1 пытается сохранить обновление в административной единице.
Как добавить одного члена в административную единицу в дополнение к текущему правилу для динамических групп членства?
Чтобы добавить одного пользователя, добавьте соответствующее выражение с OR
оператором запроса в правило для динамических групп членства.
Я администратор привилегированных ролей, но я не могу добавлять или удалять участников для административной единицы.
Если для динамических групп членства настроена административная единица, необходимо изменить правила для динамических групп членства, чтобы изменить членство.
Сколько административных единиц с правилами для динамических групп членства можно создать в клиенте?
Общее количество динамических групп членства и динамических административных единиц в сочетании не может превышать 15 000.
Да. 3072 символов.
Можно ли создавать административные единицы с правилами для динамических групп членства в Центр администрирования Microsoft 365?
№
Я являюсь владельцем группы, являющейся членом административной единицы ограниченного управления. Как затрагиваются мои разрешения?
Как владелец защищенной группы вы не сможете управлять им только на основе владения. Управление защищенными ресурсами в настоящее время требует назначения роли в области ограниченного административного подразделения управления защищенного ресурса.
Как влияют ресурсы Microsoft 365 с помощью административных единиц управления с ограниченным доступом?
В настоящее время поддерживается защита ресурсов Microsoft Entra в ограниченных административных единицах управления. Ресурсы, управляемые за пределами идентификатора Microsoft Entra, не поддерживаются.
Пользователь, группа или устройство является членом административной единицы управления с ограниченным доступом. Права управления ограничены администраторами, на которые распространяется эта административная единица.