Um eine präzisere administrative Steuerung zu ermöglichen, können Sie Benutzer*innen in Microsoft Entra ID eine Microsoft Entra-Rolle mit einem auf einzelne oder mehrere Verwaltungseinheiten beschränkten Bereich zuweisen. PowerShell-Beispielskripts für häufige Aufgaben finden Sie unter Arbeiten mit Verwaltungseinheiten.
Allgemein
Warum kann ich keine Verwaltungseinheit erstellen?
Nur ein globaler Administrator oder ein Administrator für privilegierte Rollen kann in Microsoft Entra ID eine Verwaltungseinheit erstellen. Stellen Sie sicher, dass dem Benutzer, der versucht, die Verwaltungseinheit zu erstellen, die Rolle Globaler Administrator oder Administrator für privilegierte Rollen zugewiesen ist.
Ich habe einer Verwaltungseinheit eine Gruppe hinzugefügt. Warum werden die Mitglieder der Gruppe trotzdem nicht angezeigt?
Wenn Sie einer Verwaltungseinheit eine Gruppe hinzufügen, führt dies nicht dazu, dass ihr alle Mitglieder der Gruppe hinzugefügt werden. Die Benutzer müssen der Verwaltungseinheit direkt zugewiesen werden.
Ich habe gerade ein Mitglied der Verwaltungseinheit hinzugefügt (oder daraus entfernt). Warum wird das Mitglied nicht (oder noch) auf der Benutzeroberfläche angezeigt?
Manchmal kann es nach dem Hinzufügen oder Entfernen von einem oder mehreren Mitgliedern der Verwaltungseinheit einige Minuten dauern, bis die Änderung auf der Seite Verwaltungseinheiten angezeigt wird. Alternativ können Sie auch direkt zu den Eigenschaften der zugehörigen Ressource wechseln und überprüfen, ob die Aktion abgeschlossen wurde. Weitere Informationen zu Mitgliedern in Verwaltungseinheiten finden Sie unter Auflisten von Benutzern oder Gruppen in einer Verwaltungseinheit.
Ich bin ein delegierter Kennwortadministrator für eine Verwaltungseinheit. Warum kann ich das Kennwort eines bestimmten Benutzers nicht zurücksetzen?
Als Administrator einer Verwaltungseinheit können Sie nur die Kennwörter für Benutzer zurücksetzen, die Ihrer Verwaltungseinheit zugewiesen sind. Stellen Sie sicher, dass der Benutzer, dessen Kennwort nicht zurückgesetzt werden kann, zu der Verwaltungseinheit gehört, der Sie zugewiesen sind. Wenn der Benutzer zur gleichen Verwaltungseinheit gehört, Sie aber das Kennwort des Benutzers trotzdem nicht zurücksetzen können, überprüfen Sie die dem Benutzer zugewiesenen Rollen.
Um eine Rechteerweiterung zu verhindern, kann ein Administrator einer Verwaltungseinheit das Kennwort eines Benutzers nicht zurücksetzen, der einer Rolle mit organisationsweitem Geltungsbereich zugewiesen ist.
Wozu sind Verwaltungseinheiten erforderlich? Könnten wir einen Bereich nicht auch mithilfe von Sicherheitsgruppen definieren?
Für Sicherheitsgruppen gibt es ein bestehendes Zweck- und Autorisierungsmodell. Beispielsweise kann ein Benutzeradministrator die Mitgliedschaft aller Sicherheitsgruppen in der Microsoft Entra-Organisation verwalten. Die Rolle kann Gruppen verwenden, um den Zugriff auf Anwendungen wie Salesforce zu verwalten. Ein Benutzeradministrator sollte nicht in der Lage sein, das eigentliche Delegierungsmodell zu verwalten. Dies wäre jedoch der Fall, wenn Sicherheitsgruppen auf die Unterstützung von Ressourcengruppierungsszenarien ausgeweitet würden.
Verwaltungseinheiten (wie Organisationseinheiten in Windows Server Active Directory) sollen eine Möglichkeit darstellen, die Verwaltung einer Vielzahl von Verzeichnisobjekten in Bereiche zu unterteilen. Sicherheitsgruppen selbst können Mitglieder von Ressourcenbereichen sein. Die Verwendung von Sicherheitsgruppen zum Definieren einer Gruppe von Sicherheitsgruppen, die ein Administrator verwalten kann, könnte zu Verwirrung führen.
Was bedeutet es, eine Gruppe zu einer Verwaltungseinheit hinzuzufügen?
Das Hinzufügen einer Gruppe zu einer Verwaltungseinheit versetzt die Gruppe selbst in den Verwaltungsbereich der Verwaltungseinheit, nicht aber die Mitglieder der Gruppe. Weitere Informationen finden Sie unter Verwaltungseinheiten in Microsoft Entra ID.
Kann eine Ressource (Benutzer, Gruppe oder Gerät) mehreren Verwaltungseinheiten angehören?
Ja. Eine Ressource (Benutzer oder Gruppe) kann in mehr als einer Verwaltungseinheit Mitglied sein. Die Ressource kann von allen organisationsweiten Administratoren und von Administratoren einer Verwaltungseinheit verwaltet werden, die über Berechtigungen für die Ressource verfügen.
Sind Verwaltungseinheiten in B2C-Organisationen verfügbar?
Nein. Verwaltungseinheiten sind nicht für B2C-Organisationen verfügbar.
Werden geschachtelte Verwaltungseinheiten unterstützt?
Nein. Geschachtelte Verwaltungseinheiten werden nicht unterstützt.
Werden Verwaltungseinheiten in PowerShell und in der Graph-API unterstützt?
Ja. Entsprechende Informationen zur Unterstützung von Verwaltungseinheiten finden Sie in der Dokumentation zu PowerShell-Cmdlets und in Beispielskripts.
Informationen zur Unterstützung in Microsoft Graph finden Sie unter Ressourcentyp „administrativeUnit“.
Dynamische Verwaltungseinheiten (Vorschau)
Ich habe gerade eine Regel für die dynamische Mitgliedschaft für eine Verwaltungseinheit gespeichert, aber es wurden noch keine Benutzer aufgefüllt.
Das erste Update einer Verwaltungseinheit kann je nach Größe Ihres Mandanten und der aktuellen Microsoft Entra ID-Auslastung einige Minuten dauern.
Nach dem Erstellen einer Regel für die dynamische Mitgliedschaft im Microsoft Entra Admin Center mithilfe des Regel-Generators und dem Versuch, zu speichern, wird die Fehlermeldung „Fehler beim Aktualisieren der Eigenschaften der administrativen Einheit“ angezeigt.
Das bedeutet in der Regel, dass ein Problem mit den angegebenen Eigenschaftswerten vor liegt. Vergewissern Sie sich, dass die angegebenen Eigenschaftswerte einen richtigen Werttyp (boolesch, Zeichenfolge oder Zeichenfolgensammlung) haben. Weitere Informationen finden Sie in den zulässigen Werten für die einzelnen Operatoren für Benutzer oder Geräte.
Dieser Fehler kann auch auftreten, wenn eine Person ohne Microsoft Entra ID P1-Lizenz versucht, ein Update in der Verwaltungseinheit zu speichern.
Wie kann ich zusätzlich zur aktuellen Regel für die dynamische Mitgliedschaft ein einzelnes Mitglied zu einer Verwaltungseinheit hinzufügen?
Um einen einzelnen Benutzer hinzuzufügen, fügen Sie der Regel für die dynamische Mitgliedschaft einen entsprechenden Ausdruck mit dem Abfrageoperator OR hinzu.
Ich bin globaler Administrator, kann aber keine Mitglieder für eine Verwaltungseinheit hinzufügen oder entfernen.
Wenn eine Verwaltungseinheit für die dynamische Mitgliedschaft konfiguriert wurde, müssen Sie die Regeln für die dynamische Mitgliedschaft bearbeiten, um die Mitgliedschaft zu ändern.
Wie viele Verwaltungseinheiten mit Regeln für die dynamische Mitgliedschaft kann ich in einem Mandanten erstellen?
Bei der Vorschauversion darf die Gesamtzahl der dynamischen Gruppen und dynamischen Verwaltungseinheiten zusammen 5.000 nicht überschreiten.
Gibt es eine Beschränkung für die Anzahl von Zeichen in einer Regel für die dynamische Mitgliedschaft?
Ja. 3.072 Zeichen
Kann ich Verwaltungseinheiten mit Regeln für die dynamische Mitgliedschaft im Microsoft 365 Admin Center erstellen?
Nein.
Verwaltungseinheiten mit eingeschränkter Verwaltung (Vorschau)
Ich bin der Besitzer einer Gruppe, die Mitglied einer eingeschränkten Verwaltungseinheit ist. Was bedeutet das für meine Berechtigungen?
Als ihr Besitzer können Sie eine geschützte Gruppe nicht nur auf dem Besitz basierend verwalten. Für die Verwaltung geschützter Ressourcen muss derzeit eine Rolle im Bereich der eingeschränkten Verwaltungseinheit der geschützten Ressource zugewiesen sein.
Wie sind meine Microsoft 365-Ressourcen durch die Verwendung eingeschränkter Verwaltungsverwaltungseinheiten betroffen?
Derzeit wird der Schutz von Microsoft Entra-Ressourcen in eingeschränkten Verwaltungseinheiten unterstützt. Ressourcen, die außerhalb von Microsoft Entra ID verwaltet werden, werden nicht unterstützt.
Ich kann ein Mitglied einer eingeschränkten Verwaltungseinheit nicht ändern.
Der Benutzer, die Gruppe oder das Gerät ist Mitglied der eingeschränkten Verwaltungseinheit. Die Verwaltungsrechte sind auf Administratoren begrenzt, die auf diese Verwaltungseinheit beschränkt sind.