向管理单元添加用户、组或设备

在 Microsoft Entra ID 中,可将用户、组或设备添加到管理单元,以限制角色权限的范围。 将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 有关范围内的管理员可以执行哪些操作的其他详细信息,请参阅 Microsoft Entra ID 中的管理单元

本文介绍如何将用户、组或设备手动添加到管理单元。

先决条件

  • 每个管理单元管理员都具有 Microsoft Entra ID P1 或 P2 许可证
  • 管理单元成员具有 Microsoft Entra ID 免费许可证
  • 添加现有用户、组或设备:
    • 特权角色管理员或全局管理员
  • 若要创建新组,请执行以下操作:
    • 组管理员(范围为管理单元或整个目录)或全局管理员
  • Microsoft Graph PowerShell

有关详细信息,请参阅使用 PowerShell 的先决条件

Microsoft Entra 管理中心

可以使用 Microsoft Entra 管理中心将用户、组或设备添加到管理单元。 你还可以在批量操作中添加用户或在管理单元中创建新组。

向管理单元添加单个用户、组或设备

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”。

  3. 浏览到以下位置之一:

    • “用户”>“所有用户”
    • “组”>“所有组”
    • “设备”>“所有设备”
  4. 选择要添加到管理单元的用户、组或设备。

  5. 选择“管理单元”。

  6. 选择“分配给管理单元”。

  7. 在“选择”窗格中选择管理单元,然后选择“选择”。

    Screenshot of the Administrative units page for adding a user to an administrative unit.

向单个管理单元添加用户、组或设备

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要向其中添加用户、组或设备的管理单元。

  4. 选择以下方案之一:

    • 用户
    • 设备
  5. 选择“添加成员”、“添加”或“添加设备”。

  6. 在“选择”窗格中,选择要添加到管理单元的用户、组或设备,然后选择“选择”。

    Screenshot of adding multiple devices to an administrative unit.

通过批量操作将用户添加到管理单元

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要向其中添加用户的管理单元。

  4. 选择“用户”>“批量操作”>“批量添加成员” 。

    Screenshot of the Users page for assigning users to an administrative unit as a bulk operation.

  5. 在“批量添加成员”窗格中,下载逗号分隔值 (CSV) 模板。

  6. 使用要添加的用户的列表编辑下载的 CSV 模板。

    在每行中添加一个用户主体名称 (UPN)。 请勿删除模板的前两行。

  7. 保存更改并上传 CSV 文件。

    Screenshot of an edited CSV file for adding users to an administrative unit in bulk.

  8. 选择提交

在管理单元中创建新组

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“管理单元”。

  3. 选择要在其中创建新组的管理单元。

  4. 选择“组”。

  5. 选择“新建组”并完成创建新组的步骤。

    Screenshot of the Administrative units page for creating a new group in an administrative unit.

PowerShell

使用 Invoke-MgGraphRequest 命令将用户、组或设备添加到管理单元或在管理单元中创建新组。

向管理单元添加用户

Invoke-MgGraphRequest -Method POST -Uri https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": "https://microsoftgraph.chinacloudapi.cn/v1.0/users/{USER_ID}"
       }'

向管理单元添加组

Invoke-MgGraphRequest -Method POST -Uri https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://microsoftgraph.chinacloudapi.cn/v1.0/groups/{GROUP_ID}
       }'

向管理单元添加设备

Invoke-MgGraphRequest -Method POST -Uri https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.id": https://microsoftgraph.chinacloudapi.cn/v1.0/devices/{DEVICE_ID}
       }'

在管理单元中创建新组

$exampleGroup = Invoke-MgGraphRequest -Method POST -Uri https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{ADMIN_UNIT_ID}/members/ -Body '{
         "@odata.type": "#Microsoft.Graph.Group",
         "description": "{Example group description}",
         "displayName": "{Example group name}",
         "groupTypes": [
              "Unified"
          ],
         "mailEnabled": true,
          "mailNickname": "{exampleGroup}",
          "securityEnabled": false
       }'

Microsoft Graph API

使用添加成员 API 将用户、组或设备添加到管理单元或在管理单元中创建新组。

向管理单元添加用户

请求

POST https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://microsoftgraph.chinacloudapi.cn/v1.0/users/{user-id}"
}

示例

{
    "@odata.id":"https://microsoftgraph.chinacloudapi.cn/v1.0/users/john@example.com"
}

向管理单元添加组

请求

POST https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://microsoftgraph.chinacloudapi.cn/v1.0/groups/{group-id}"
}

示例

{
    "@odata.id":"https://microsoftgraph.chinacloudapi.cn/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

向管理单元添加设备

请求

POST https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

正文

{
    "@odata.id":"https://microsoftgraph.chinacloudapi.cn/v1.0/devices/{device-id}"
}

在管理单元中创建新组

请求

POST https://microsoftgraph.chinacloudapi.cn/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

正文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

后续步骤