Aby uzyskać bardziej szczegółową kontrolę administracyjną w usłudze Microsoft Entra ID, możesz przypisać użytkowników do roli Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostki administracyjnej. Aby uzyskać przykładowe skrypty programu PowerShell dla typowych zadań, zobacz Praca z jednostkami administracyjnymi.
Ogólne
Dlaczego nie mogę utworzyć jednostki administracyjnej?
Tylko Administracja istrator globalny lub Administracja istrator ról uprzywilejowanych może utworzyć jednostkę administracyjną w usłudze Microsoft Entra ID. Upewnij się, że użytkownik, który próbuje utworzyć jednostkę administracyjną, ma przypisaną rolę Global Administracja istrator lub Privileged Role Administracja istrator.
Dodano grupę do jednostki administracyjnej. Dlaczego członkowie grupy nadal nie są tam widoczni?
Po dodaniu grupy do jednostki administracyjnej nie spowoduje to dodania do niej wszystkich członków grupy. Użytkownicy muszą być bezpośrednio przypisani do jednostki administracyjnej.
Właśnie dodałem (lub usunąłem) członka jednostki administracyjnej. Dlaczego element członkowski nie jest wyświetlany (lub nadal jest wyświetlany) w interfejsie użytkownika?
Czasami dodanie lub usunięcie co najmniej jednego członka jednostki administracyjnej może potrwać kilka minut, aby odzwierciedlić się w okienku jednostek Administracja istracyjnych. Alternatywnie możesz przejść bezpośrednio do właściwości skojarzonego zasobu i sprawdzić, czy akcja została ukończona. Aby uzyskać więcej informacji na temat członków w jednostkach administracyjnych, zobacz Wyświetlanie listy użytkowników, grup lub urządzeń w jednostce administracyjnej.
Jestem delegowanym Administracja istratorem haseł w jednostce administracyjnej. Dlaczego nie mogę zresetować hasła określonego użytkownika?
Jako administrator jednostki administracyjnej możesz zresetować hasła tylko dla użytkowników przypisanych do jednostki administracyjnej. Upewnij się, że użytkownik, którego resetowanie hasła kończy się niepowodzeniem, należy do jednostki administracyjnej, do której przypisano cię. Jeśli użytkownik należy do tej samej jednostki administracyjnej, ale nadal nie możesz zresetować hasła użytkownika, sprawdź role przypisane do użytkownika.
Aby zapobiec podwyższeniu uprawnień, administrator o zakresie jednostki administracyjnej nie może zresetować hasła użytkownika przypisanego do roli z zakresem całej organizacji.
Dlaczego niezbędne są jednostki administracyjne? Czy nie można użyć grup zabezpieczeń jako sposobu definiowania zakresu?
Grupy zabezpieczeń mają istniejący model przeznaczenia i autoryzacji. Użytkownik Administracja istrator może na przykład zarządzać członkostwem wszystkich grup zabezpieczeń w organizacji Microsoft Entra. Rola może używać grup do zarządzania dostępem do aplikacji, takich jak Salesforce. Użytkownik Administracja istrator nie powinien mieć możliwości zarządzania samym modelem delegowania, co byłoby wynikiem rozszerzenia grup zabezpieczeń w celu obsługi scenariuszy "grup zasobów".
Administracja istracyjne jednostki, takie jak jednostki organizacyjne w usłudze Active Directory systemu Windows Server, mają na celu zapewnienie możliwości administrowania szerokim zakresem obiektów katalogu. Same grupy zabezpieczeń mogą być członkami zakresów zasobów. Definiowanie zestawu grup zabezpieczeń, którymi administrator może zarządzać, może stać się mylące przy użyciu grup zabezpieczeń.
Co to znaczy dodać grupę do jednostki administracyjnej?
Dodanie grupy do jednostki administracyjnej powoduje przejście grupy do zakresu zarządzania jednostki administracyjnej, ale nie do członków grupy. Aby uzyskać więcej informacji, zobacz Administracja istrative units in Microsoft Entra ID (Jednostki Administracja istracyjne w identyfikatorze Entra firmy Microsoft).
Czy zasób (użytkownik, grupa lub urządzenie) może być członkiem więcej niż jednej jednostki administracyjnej?
Tak, zasób może być członkiem więcej niż jednej jednostki administracyjnej. Zasób może być zarządzany przez wszystkich administratorów obejmujących całą organizację i jednostkę administracyjną, którzy mają uprawnienia do zasobu.
Czy jednostki administracyjne są dostępne w organizacjach B2C?
Nie, jednostki administracyjne nie są dostępne dla organizacji B2C.
Czy są obsługiwane zagnieżdżone jednostki administracyjne?
Nie, zagnieżdżone jednostki administracyjne nie są obsługiwane.
Czy jednostki administracyjne są obsługiwane w programie PowerShell i interfejsie API programu Graph?
Tak. Obsługa jednostek administracyjnych znajduje się w dokumentacji poleceń cmdlet programu PowerShell i przykładowych skryptach.
Znajdź obsługę typu zasobu administrativeUnit w programie Microsoft Graph.
Dynamiczne jednostki administracyjne (wersja zapoznawcza)
Właśnie zapisano regułę członkostwa dynamicznego dla jednostki administracyjnej, ale nie widzę jeszcze żadnych użytkowników wypełnionych.
Początkowa aktualizacja jednostki administracyjnej może potrwać kilka minut w zależności od rozmiaru dzierżawy i bieżącego obciążenia identyfikatora Entra firmy Microsoft.
Po utworzeniu reguły członkostwa dynamicznego w centrum administracyjnym firmy Microsoft Entra przy użyciu konstruktora reguł i próbie zapisania występuje błąd "Nie można zaktualizować właściwości jednostki administracyjnej".
Zwykle oznacza to, że występuje problem z podanymi wartościami właściwości. Upewnij się, że podane wartości właściwości mają prawidłowy typ wartości (wartość logiczna, ciąg lub kolekcja ciągów). Aby uzyskać więcej informacji, zobacz dozwolone wartości dla każdego operatora dla użytkowników lub urządzeń.
Ten błąd może również spowodować, że osoba bez licencji Microsoft Entra ID P1 próbuje zapisać aktualizację w jednostce administracyjnej.
Jak dodać pojedynczy element członkowski do jednostki administracyjnej oprócz bieżącej reguły członkostwa dynamicznego?
Aby dodać pojedynczego użytkownika, dodaj odpowiednie wyrażenie z operatorem OR zapytania do reguły członkostwa dynamicznego.
Jestem administratorem globalnym Administracja istratorem, ale nie mogę dodawać ani usuwać członków dla jednostki administracyjnej.
Po skonfigurowaniu jednostki administracyjnej na potrzeby członkostwa dynamicznego należy edytować reguły członkostwa dynamicznego, aby zmienić członkostwo.
Ile jednostek administracyjnych z dynamicznymi regułami członkostwa można utworzyć w dzierżawie?
W wersji zapoznawczej łączna liczba grup dynamicznych i dynamicznych jednostek administracyjnych łącznie nie może przekroczyć 5000.
Czy istnieje ograniczenie liczby znaków w regule członkostwa dynamicznego?
Tak. 3072 znaki.
Czy mogę utworzyć jednostki administracyjne z dynamicznymi regułami członkostwa w Centrum administracyjne platformy Microsoft 365?
L.p.
Jednostki administracyjne zarządzania z ograniczeniami (wersja zapoznawcza)
Jestem właścicielem grupy, która jest członkiem ograniczonej jednostki administracyjnej zarządzania. Jak mają wpływ moje uprawnienia?
Jako właściciel grupy chronionej nie będzie można zarządzać nią tylko na podstawie własności. Zarządzanie chronionymi zasobami wymaga obecnie przypisania roli w ograniczonym zakresie jednostki administracyjnej zarządzania chronionego zasobu.
Jak mają wpływ na moje zasoby platformy Microsoft 365 przy użyciu ograniczonych jednostek administracyjnych zarządzania?
Obecnie jest obsługiwane zabezpieczanie zasobów firmy Microsoft Entra w ograniczonych jednostkach administracyjnych zarządzania. Zasoby zarządzane poza identyfikatorem Entra firmy Microsoft nie są obsługiwane.
Nie mogę zmodyfikować członka jednostki administracyjnej zarządzania z ograniczeniami.
Użytkownik, grupa lub urządzenie jest członkiem jednostki administracyjnej zarządzania z ograniczeniami. Prawa do zarządzania są ograniczone do administratorów w zakresie tej jednostki administracyjnej.