Microsoft Entra 管理单元:故障排除和常见问题解答

若要在 Microsoft Entra ID 中实现更精细的管理控制,可将用户分配到范围限定为一个或多个管理单元的 Microsoft Entra ID 角色。 有关常见任务的示例 PowerShell 脚本,请参阅使用管理单元

常规

我为何无法创建管理单元?

你必须至少分配有“特权角色管理员”角色才能在 Microsoft Entra ID 中创建管理单元。 请进行检查以确保尝试创建管理单元的用户分配有“特权角色管理员”角色。

我向管理单元中添加了一个组。 为什么组成员仍然没有显示在其中?

向管理单元中添加组时,不会导致将组的所有成员添加到该管理单元。 用户必须直接分配到管理单元。

我刚刚添加(或删除)了管理单元的成员。 为什么成员未显示(或仍然显示)在用户界面中?

有时候,添加或删除管理单元的一个或多个成员的操作可能需要几分钟才能反映在“管理单元”窗格上。 此外,你可以直接访问关联资源的属性,查看该操作是否已完成。 有关管理单元中的成员的详细信息,请参阅列出管理单元中的用户、组或设备

我是某个管理单元上的委托密码管理员。 我为何无法重置特定用户的密码?

作为管理单元的管理员,你只能为分配到你的管理单元的用户重置密码。 请确保其密码重置失败的用户属于已分配给你的管理单元。 如果用户属于同一管理单元,但你仍无法重置其密码,请检查分配给该用户的角色。

为了防止特权提升,其权限范围为某个管理单元的管理员不能重置其角色权限范围为组织的用户的密码。

为何需要使用管理单元? 为何不能使用安全组作为定义作用域的方式?

安全组已有用途和授权模型。 例如,用户管理员可以管理 Microsoft Entra 组织中所有安全组的成员身份。 角色可以使用组来管理对应用程序(例如 Salesforce)的访问权限。 用户管理员不应该能够管理委托模型本身,但如果安全组已扩展为支持“资源分组”方案,则会导致他们能够管理。

管理单元(例如 Windows Server Active Directory 中的组织单位)的目标是提供一种方式对范围广泛的目录对象的管理进行作用域限定。 安全组本身可以是资源作用域的成员。 使用安全组来定义管理员可以管理的安全组集可能会造成混淆。

向管理单元添加组意味着什么?

将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 有关详细信息,请参阅 Microsoft Entra ID 中的管理单元

一个资源(用户、组或设备)是否可以是多个管理单元的成员?

可以,一个资源可以是多个管理单元的成员。 资源可由所有对该资源具有权限且权限范围为整个组织或管理单元的管理员进行管理。

B2C 组织中是否有可用的管理单元?

否,管理单元不可用于 B2C 组织。

是否支持嵌套的管理单元?

否,不支持嵌套的管理单元。

PowerShell 和 Microsoft Graph API 中是否支持管理单元?

是。 你可以在 PowerShell cmdlet 文档示例脚本中找到对管理单元的支持。

查找 Microsoft Graph 中对 administrativeUnit 资源类型的支持。

动态管理单元

我刚刚保存了管理单元的动态成员资格组规则,但还没有看到任何填充的用户。

管理单元的初始更新可能需要几分钟时间,具体取决于你的租户大小和当前 Microsoft Entra ID 负载。

使用规则生成器在 Microsoft Entra 管理中心创建动态成员资格组规则并尝试保存后,我收到错误消息“无法更新管理单元属性”。

这通常意味着提供的属性值存在问题。 确认所提供的属性值具有正确的值类型(布尔、字符串或字符串集合)。 有关详细信息,请参阅用户设备的每个运算符允许的值。

如果没有 Microsoft Entra ID P1 许可证的人员尝试将更新保存到管理单元,也可能导致此错误。

除了当前动态成员资格组规则以外,如何向管理单元添加单个成员?

若要添加单个用户,请向动态成员资格组规则添加包含 OR 查询运算符的相应表达式。

我是特权角色管理员,但我无法添加或移除管理单元的成员。

已将管理单元配置为动态成员资格组后,必须编辑动态成员资格组规则才能更改成员资格。

一个租户中可以创建多少个具有动态成员资格组规则的管理单元?

动态成员资格组和动态管理单元的组合总数不能超过 15,000 个。

动态成员资格组规则中的字符数是否有限制?

是的。 3072 个字符。

能否在 Microsoft 365 管理中心创建具有动态成员资格组规则的管理单元?

否。

受限管理单元(预览版)

我是属于受限管理单元成员的组的所有者。 我的权限受到什么影响?

作为受保护组的所有者,你无法仅根据所有权对其进行管理。 如需管理受保护的资源,目前需要在受保护资源的受限管理单元范围内分配角色。

使用受限管理单元对我的 Microsoft 365 资源有何影响?

目前,支持保护受限管理管理单元中的 Microsoft Entra 资源。 不支持在 Microsoft Entra ID 外托管的资源。

我无法修改受限管理单元的成员。

用户、组或设备是受限管理单元的成员。 管理权限仅限于作用域为该管理单元的管理员。