Ajouter des utilisateurs, des groupes ou des appareils à une unité administrative

  • Article

Dans Microsoft Entra ID, vous pouvez ajouter des utilisateurs, des groupes ou des appareils à une unité administrative pour limiter l’étendue des autorisations de rôle. L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. Pour plus d’informations sur ce que les administrateurs étendus peuvent faire, consultez Unités administratives dans Microsoft Entra ID.

Cet article explique comment ajouter manuellement des utilisateurs, des groupes ou des appareils aux unités administratives. Pour plus d’informations sur la façon d’ajouter des utilisateurs ou des appareils à des unités administratives de manière dynamique à l’aide de règles, consultez Gérer les utilisateurs ou les appareils pour une unité administrative avec des règles d’appartenance dynamique.

Prérequis

  • Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
  • Licences Microsoft Entra ID gratuites pour les membres de l’unité administrative
  • Pour ajouter des utilisateurs, des groupes ou des appareils existants :
    • Administrateur de rôle privilégié ou Administrateur général
  • Pour créer des groupes :
    • Administrateur de groupes (limité à l’unité administrative ou à l’annuaire entier) ou Administrateur général
  • Microsoft Graph PowerShell
  • Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour l’API Microsoft Graph

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Vous pouvez ajouter des utilisateurs, des groupes ou des appareils à des unités administratives à l’aide du centre d’administration Microsoft Entra. Vous pouvez également ajouter des utilisateurs dans une opération en bloc ou créer un groupe dans une unité administrative.

Ajouter un seul utilisateur, un groupe ou un appareil à des unités administratives

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité.

  3. Accédez à l’un des menus suivants :

    • Utilisateurs>Tous les utilisateurs
    • Groupes>Tous les groupes
    • Appareils>Tous les appareils

  4. Sélectionnez l’utilisateur, le groupe ou l’appareil que vous souhaitez ajouter aux unités administratives.

  5. Sélectionnez Unités administratives.

  6. Sélectionnez Affecter à l’unité administrative.

  7. Dans le volet Sélectionner, sélectionnez les unités administratives, puis sélectionnez Sélectionner.

    Screenshot of the Administrative units page for adding a user to an administrative unit.

Ajouter des utilisateurs, des groupes ou des appareils à une seule unité administrative

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Unités administratives.

  3. Sélectionnez l’unité administrative à laquelle vous voulez ajouter des utilisateurs, des groupes ou des appareils.

  4. Sélectionnez l’un des suivants :

    • Utilisateurs
    • Groupes
    • Appareils

  5. Sélectionnez Ajouter un membre, Ajouter ou Ajouter un appareil.

  6. Dans le volet Sélectionner, sélectionnez des utilisateurs, des groupes ou des appareils à ajouter à l’unité administrative, puis sélectionnez Sélectionner.

    Screenshot of adding multiple devices to an administrative unit.

Ajouter des utilisateurs à une unité administrative dans une opération en bloc

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Unités administratives.

  3. Sélectionnez l’unité administrative à laquelle vous souhaitez ajouter des utilisateurs.

  4. Sélectionnez Utilisateurs>Opérations en bloc>Ajouter des membres en bloc.

    Screenshot of the Users page for assigning users to an administrative unit as a bulk operation.

  5. Dans le volet Ajouter des membres en bloc, téléchargez le modèle CSV (valeurs séparées par des virgules).

  6. Modifiez le modèle CSV téléchargé avec la liste des utilisateurs à ajouter.

    Ajoutez un nom d’utilisateur principal (UPN) dans chaque ligne. Ne supprimez pas les deux premières lignes du modèle.

  7. Enregistrez vos modifications et chargez le fichier CSV.

    Screenshot of an edited CSV file for adding users to an administrative unit in bulk.

  8. Sélectionnez Soumettre.

Créer un groupe dans une unité administrative

  1. Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.

  2. Accédez à Identité>Rôles et administrateurs>Unités administratives.

  3. Sélectionnez l’unité administrative dans laquelle vous souhaitez créer un groupe.

  4. Sélectionnez Groupes.

  5. Sélectionnez Nouveau groupe et suivez les étapes de création d’un groupe.

    Screenshot of the Administrative units page for creating a new group in an administrative unit.

PowerShell

Utilisez la commande Invoke-MgGraphRequest pour ajouter des utilisateurs, groupes ou appareils à une unité administrative ou créer un groupe dans une unité administrative.

Ajouter des utilisateurs à une unité administrative

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": "https://graph.microsoft.com/v1.0/users/{USER_ID}"
       }'

Ajouter des groupes à une unité administrative

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/groups/{GROUP_ID}
       }'

Ajouter des appareils à une unité administrative

Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://graph.microsoft.com/v1.0/devices/{DEVICE_ID}
       }'

Créer un groupe dans une unité administrative

$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://graph.microsoft.com/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.type": "#Microsoft.Graph.Group",
         "description": "{Example group description}",
         "displayName": "{Example group name}",
         "groupTypes": [
              "Unified"
          ],
         "mailEnabled": true,
          "mailNickname": "{exampleGroup}",
          "securityEnabled": false
       }'

API Microsoft Graph

Utilisez l’API Ajouter un membre pour ajouter des utilisateurs, groupes ou appareils à une unité administrative ou créer un groupe dans une unité administrative.

Ajouter des utilisateurs à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corps

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

Exemple

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

Ajouter des groupes à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

Corps

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

Exemple

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

Ajouter des appareils à une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

body

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

Créer un groupe dans une unité administrative

Requête

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

Corps

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

Étapes suivantes