分配管理单元范围的 Azure AD 角色

若要在 Azure Active Directory (Azure AD) 中实现更精细的管理控制,可以分配范围限定为一个或多个管理单元的 Azure AD 角色。 当在管理单元的范围内分配 Azure AD 角色时,角色权限仅在管理管理单元本身的成员时才适用,并且不适用于租户范围的设置或配置。

例如,在管理单元的作用域中分配了组管理员角色的管理员可以管理作为管理单元成员的组,但他们不能管理租户中的其他组。 它们也不能管理与组相关的租户级别设置,例如过期策略或组命名策略。

本文描述了如何将 Azure AD 角色分配到管理单元范围。

先决条件

  • 每个管理单元管理员都有 Azure AD Premium P1 或 P2 许可证
  • 管理单元成员有 Azure AD 免费许可证
  • 特权角色管理员或全局管理员
  • 使用 PowerShell 时需要 AzureAD 模块
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

可以分配管理单元范围的角色

可以为以下 Azure AD 角色分配管理单元范围。 此外,可以为任何自定义角色分配管理单元范围,只要自定义角色的权限包括至少一个与用户、组或设备相关的权限。

角色 说明
身份验证管理员 其访问权限仅限于查看、设置和重置所分配的管理单元中任何非管理员用户的身份验证方法信息。
云设备管理员 用于在 Azure AD 中管理设备的有限访问权限。
组管理员 只能在分配的管理单元中管理组的所有方面。
支持管理员 只能重置所分配的管理单元中非管理员的密码。
许可证管理员 只能在管理单元内分配、删除和更新许可证分配。
密码管理员 只能重置所分配的管理单元中非管理员的密码。
SharePoint 管理员 只能在指定的管理单元中管理 Microsoft 365 组。 对于在管理单元中与 Microsoft365 组关联的 SharePoint 站点,还可以使用 Microsoft365 管理中心更新站点属性(站点名称、URL 和外部共享策略)。 无法使用 SharePoint 管理中心或 SharePoint API 来管理网站。
Teams 管理员 只能在指定的管理单元中管理 Microsoft 365 组。 可以在 Microsoft 365 管理中心内管理与指定管理单元中的组关联的团队成员。 无法使用 Teams 管理中心。
Teams 设备管理员 可在 Teams 认证的设备上执行管理相关任务。
用户管理员 只能在所分配的管理单元内管理用户和组的所有方面,包括重置受限管理员的密码。
<自定义角色> 可以根据自定义角色的定义,执行应用于用户、组或设备的操作。

如果分配了管理单元范围,某些角色权限将仅适用于非管理员用户。 换句话说,管理单元范围内的帮助台管理员仅在这些用户没有管理员角色时,才能为管理单元中的用户重置密码。 当某个操作的目标为其他管理员时,将限制下列权限:

  • 读取和修改用户身份验证方法,或重置用户密码
  • 修改敏感用户属性,如电话号码、备用电子邮件地址或 OAuth 密钥
  • 删除或还原用户帐户

可以分配管理单元范围的安全主体

可以将以下安全主体分配给具有管理单元范围的角色:

  • 用户
  • 可分配 Azure AD 角色的组
  • 服务主体

服务主体和来宾用户

服务主体和来宾用户将无法使用作用域为管理单元的角色分配,除非他们还分配了读取对象的相应权限。 这是因为默认情况下服务主体和来宾用户不会被授予目录读取权限,这是执行管理操作所必需的。 若要使服务主体或来宾用户能够使用作用域为管理单元的角色分配,必须分配租户范围内的目录读取者角色(或其他角色,该角色包括读取权限)。

目前无法分配作用域为管理单元的目录读取权限。 有关用户的默认权限的详细信息,请参阅默认用户权限

为角色分配管理单元范围

可以使用 Azure 门户、PowerShell 或 Microsoft Graph 为 Azure AD 角色分配管理单元范围。

Azure 门户

  1. 登录到 Azure 门户

  2. 选择“Azure Active Directory”>“管理单元”,然后选择要向其分配用户角色范围的管理单元 。

  3. 在左侧窗格中,选择“角色和管理员”以列出所有可用的角色。

    “角色和管理员”窗格的屏幕截图,用于选择要分配角色范围的管理单元。

  4. 选择要分配的角色,然后选择“添加分配”。

  5. 在“添加分配”窗格中,选择要分配给该角色的一个或多个用户。

    选择要限定范围的角色,然后选择“添加分配”

注意

若要使用 Azure AD Privileged Identity Management (PIM) 在管理单元上分配角色,请参阅在 PIM 中分配 Azure AD 角色

PowerShell

使用 New-AzureADMSRoleAssignment 命令和 DirectoryScopeId 参数分配具有管理单元范围的角色。

$user = Get-AzureADUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-AzureADMSAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $directoryScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API

使用添加 scopedRoleMember API 分配具有管理单元作用域的角色。

请求

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

正文

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

列出管理单元范围的角色分配

可以使用 Azure 门户、PowerShell 或 Microsoft Graph 查看 Azure AD 角色的管理单元范围分配列表。

Azure 门户

可在 Azure AD 的“管理单元”部分中查看使用管理单元范围创建的所有角色分配。

  1. 登录到 Azure 门户

  2. 选择“Azure Active Directory”>“管理单元”,然后选择要查看的角色分配列表的管理单元 。

  3. 选择“角色和管理员”,然后打开一个角色查看该管理单元中的分配。

PowerShell

使用 命令列出具有管理单元范围的角色分配。

$adminUnit = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-AzureADMSScopedRoleMembership -Id $adminUnit.Id | fl *

Microsoft Graph API

使用列出 scopedRoleMembers API 列出具有管理单元作用域的角色分配。

请求

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

正文

{}

后续步骤