Yönetim birimleri oluşturma veya silme

  • Makale

Önemli

Kısıtlı yönetim yönetim birimleri şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan yasal koşullar için Ürün Koşulları'na bakın.

Yönetim birimleri, kuruluşunuzu istediğiniz alt bölümlere ayırmanızı sağlayarak yalnızca bu birimlerin üyelerini yöneten belirli yöneticiler atamanıza olanak tanır. Örneğin, yönetim birimlerini kullanarak büyük bir üniversitedeki her okulun yöneticilerine izinleri devredebilir, böylece erişimi denetleyebilir, kullanıcıları yönetebilir ve yalnızca Mühendislik Fakültesi'nde ilkeler ayarlayabilirsiniz.

Bu makalede, Microsoft Entra Id'de rol izinlerinin kapsamını kısıtlamak için yönetim birimlerinin nasıl oluşturulacağı veya silineceği açıklanır.

Önkoşullar

  • Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
  • Yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları
  • Ayrıcalıklı Rol Yönetici istrator rolü
  • Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
  • PowerShell kullanırken Azure AD PowerShell modülü
  • PowerShell ve kısıtlı yönetim yönetim birimleri kullanılırken AzureADPreview modülü
  • Microsoft Graph API için Graph Explorer kullanırken onay Yönetici

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Yönetim birimi oluşturma

Microsoft Entra yönetim merkezini, PowerShell'i veya Microsoft Graph'ı kullanarak yeni bir yönetim birimi oluşturabilirsiniz.

Microsoft Entra yönetim merkezi

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

    Screenshot of the Administrative units page.

  3. Ekle'yi seçin.

  4. Ad kutusuna yönetim biriminin adını girin. İsteğe bağlı olarak, yönetim biriminin açıklamasını ekleyin.

  5. Kiracı düzeyinde yöneticilerin bu yönetim birimine erişebilmesini istemiyorsanız Kısıtlı yönetim yönetim birimi iki durumlu düğmesini Evet olarak ayarlayın. Daha fazla bilgi için bkz . Kısıtlı yönetim yönetim birimleri.

    Screenshot showing the Add administrative unit page and the Name box for entering the name of the administrative unit.

  6. İsteğe bağlı olarak, Rol ata sekmesinde bir rol seçin ve ardından bu yönetim birimi kapsamıyla rolün atanacak kullanıcıları seçin.

    Screenshot showing the Add assignments pane to add role assignments with this administrative unit scope.

  7. Gözden Geçir + oluştur sekmesinde yönetim birimini ve rol atamalarını gözden geçirin.

  8. Oluştur düğmesini seçin.

PowerShell

Kiracınızda oturum açmak ve gerekli izinleri kabul etmek için Bağlan-MgGraph komutunu kullanın.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Yeni bir yönetim birimi oluşturmak için New-MgDirectory Yönetici istrativeUnit komutunu kullanın.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Yeni bir kısıtlı yönetim yönetim birimi oluşturmak için New-MgBetaDirectory Yönetici istrativeUnit komutunu kullanın. IsMemberManagementRestricted özelliğini $true olarak ayarlayın.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Microsoft Graph API

Yeni bir yönetim birimi oluşturmak için Create administrativeUnit API'sini kullanın.

İstek

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Gövde

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Yeni bir kısıtlı yönetim yönetim birimi oluşturmak için Create administrativeUnit (beta) API'sini kullanın. isMemberManagementRestricted özelliğini true olarak ayarlayın.

İstek

POST https://graph.microsoft.com/beta/administrativeUnits

Gövde

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Yönetim birimini silme

Microsoft Entra Id'de, artık yönetim rolleri için bir kapsam birimi olarak ihtiyacınız olmayan bir yönetim birimini silebilirsiniz. Yönetim birimini silmeden önce, bu yönetim birimi kapsamına sahip rol atamalarını kaldırmanız gerekir.

Microsoft Entra yönetim merkezi

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

  3. Silmek istediğiniz yönetim birimini seçin.

  4. Roller ve yöneticiler'i seçin ve rol atamalarını görüntülemek için bir rol açın.

  5. Yönetim birimi kapsamına sahip tüm rol atamalarını kaldırın.

  6. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

  7. Silmek istediğiniz yönetim biriminin yanına bir onay işareti ekleyin.

  8. Sil'i seçin.

    Screenshot of the administrative unit Delete button and confirmation window.

  9. Yönetim birimini silmek istediğinizi onaylamak için Evet'i seçin.

PowerShell

Bir yönetim birimini silmek için Remove-MgDirectory Yönetici istrativeUnit komutunu kullanın.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Microsoft Graph API

Yönetim birimini silmek için Delete administrativeUnit API'sini kullanın.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Sonraki adımlar