Felügyeleti egységek létrehozása vagy törlése
Fontos
A korlátozott felügyeleti felügyeleti egységek jelenleg előzetes verzióban érhetők el. A bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-szolgáltatásokra vonatkozó jogi feltételekért tekintse meg a termékfeltételeket.
A felügyeleti egységekkel a szervezetet bármilyen egységekre feloszthatja, majd rendszergazdákat rendelhet hozzájuk, akik csak az adott egység tagjait kezelhetik. A felügyeleti egységek használatával például engedélyeket delegálhat egy nagy egyetem minden iskolájának rendszergazdáinak, így csak a Mérnöki Karon szabályozhatják a hozzáférést, kezelhetik a felhasználókat, és házirendeket állíthatnak be.
Ez a cikk azt ismerteti, hogyan hozhat létre vagy törölhet felügyeleti egységeket a szerepkör-engedélyek hatókörének korlátozásához a Microsoft Entra ID-ban.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- A Microsoft Entra ID ingyenes licencei a felügyeleti egység tagjai számára
- Privileged Role Rendszergazda istrator szerepkör
- Microsoft.Graph modul a Microsoft Graph PowerShell használatakor
- Azure AD PowerShell-modul a PowerShell használatakor
- AzureADPreview modul a PowerShell és a korlátozott felügyeleti felügyeleti egységek használatakor
- Rendszergazda hozzájárulás a Graph Explorer microsoft graph API-hoz való használatakor
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Felügyeleti egység létrehozása
Új felügyeleti egységet a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph használatával hozhat létre.
Microsoft Entra felügyeleti központ
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza a Hozzáadás lehetőséget.
A Név mezőbe írja be a felügyeleti egység nevét. Szükség esetén adja meg a felügyeleti egység leírását.
Ha nem szeretné, hogy a bérlői szintű rendszergazdák hozzáférhessenek ehhez a felügyeleti egységhez, állítsa a Korlátozott felügyeleti felügyeleti egység kapcsolót Igen értékre. További információ: Korlátozott felügyeleti felügyeleti egységek.
Ha szeretné, a Szerepkörök hozzárendelése lapon válasszon ki egy szerepkört, majd jelölje ki a szerepkört hozzárendelni kívánt felhasználókat ezzel a felügyeleti egység hatókörével.
A Véleményezés + létrehozás lapon tekintse át a felügyeleti egységet és a szerepkör-hozzárendeléseket.
Válassza a Létrehozás gombot.
PowerShell
A Csatlakozás-MgGraph paranccsal jelentkezzen be a bérlőbe, és járuljon hozzá a szükséges engedélyekhez.
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
Új felügyeleti egység létrehozásához használja a New-MgDirectory Rendszergazda istrativeUnit parancsot.
$params = @{
DisplayName = "Seattle District Technical Schools"
Description = "Seattle district technical schools administration"
Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params
A New-MgBetaDirectory Rendszergazda istrativeUnit paranccsal hozzon létre egy új korlátozott felügyeleti felügyeleti egységet. Állítsa be a tulajdonságot a IsMemberManagementRestricted következőre $true: .
$params = @{
DisplayName = "Contoso Executive Division"
Description = "Contoso Executive Division administration"
Visibility = "HiddenMembership"
IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
A Create administrativeUnit API használatával hozzon létre egy új felügyeleti egységet.
Kérés
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
Törzs
{
"displayName": "North America Operations",
"description": "North America Operations administration"
}
A Create administrativeUnit (bétaverzió) API használatával hozzon létre egy új korlátozott felügyeleti felügyeleti egységet. Állítsa be a tulajdonságot a isMemberManagementRestricted következőre true: .
Kérés
POST https://graph.microsoft.com/beta/administrativeUnits
Törzs
{
"displayName": "Contoso Executive Division",
"description": "This administrative unit contains executive accounts of Contoso Corp.",
"isMemberManagementRestricted": true
}
Felügyeleti egység törlése
A Microsoft Entra ID-ban törölheti azokat a felügyeleti egységeket, amelyekre már nincs szüksége a felügyeleti szerepkörök hatókörének egységeként. A felügyeleti egység törlése előtt el kell távolítania az adott felügyeleti egység hatókörével rendelkező szerepkör-hozzárendeléseket.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza ki a törölni kívánt felügyeleti egységet.
Válassza a Szerepkörök és rendszergazdák lehetőséget, majd nyisson meg egy szerepkört a szerepkör-hozzárendelések megtekintéséhez.
Távolítsa el az összes szerepkör-hozzárendelést a felügyeleti egység hatókörével.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Jelölje be a törölni kívánt felügyeleti egység melletti pipát.
Válassza a Törlés lehetőséget.
A felügyeleti egység törlésének megerősítéséhez válassza az Igen lehetőséget.
PowerShell
A Remove-MgDirectory Rendszergazda istrativeUnit paranccsal törölhet egy felügyeleti egységet.
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id
Microsoft Graph API
Rendszergazdai egység törléséhez használja a Delete administrativeUnit API-t .
DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}