Q: 我为何无法创建管理单元？

只有“全局管理员”或“特权角色管理员”能够在 Microsoft Entra ID 中创建管理单元。 请进行检查以确保尝试创建管理单元的用户分配有“全局管理员”或“特权角色管理员”角色。

Q: 我向管理单元中添加了一个组。 为什么组成员仍然没有显示在其中？

向管理单元中添加组时，不会导致将组的所有成员添加到该管理单元。 用户必须直接分配到管理单元。

Q: 我刚刚添加（或删除）了管理单元的成员。 为什么成员未显示（或仍然显示）在用户界面中？

有时候，添加或删除管理单元的一个或多个成员的操作可能需要几分钟才能反映在“管理单元”窗格上。 此外，你可以直接访问关联资源的属性，查看该操作是否已完成。 有关管理单元中的成员的详细信息，请参阅 列出管理单元中的用户、组或设备 。

Q: 我是某个管理单元上的委托密码管理员。 我为何无法重置特定用户的密码？

作为管理单元的管理员，你只能为分配到你的管理单元的用户重置密码。 请确保其密码重置失败的用户属于已分配给你的管理单元。 如果用户属于同一管理单元，但你仍无法重置其密码，请检查分配给该用户的角色。 为了防止特权提升，其权限范围为某个管理单元的管理员不能重置其角色权限范围为组织的用户的密码。

Q: 为何需要使用管理单元？ 为何不能使用安全组作为定义作用域的方式？

安全组已有用途和授权模型。 例如，用户管理员可以管理 Microsoft Entra 组织中所有安全组的成员身份。 角色可以使用组来管理对应用程序（例如 Salesforce）的访问权限。 用户管理员不应该能够管理委托模型本身，但如果安全组已扩展为支持“资源分组”方案，则会导致他们能够管理。 管理单元（例如 Windows Server Active Directory 中的组织单位）的目标是提供一种方式对范围广泛的目录对象的管理进行作用域限定。 安全组本身可以是资源作用域的成员。 使用安全组来定义管理员可以管理的安全组集可能会造成混淆。

Q: 向管理单元添加组意味着什么？

将组添加到管理单元会将该组本身纳入管理单元的管理范围，但不包括该组的成员。 有关详细信息，请参阅 Microsoft Entra ID 中的管理单元 。

Q: 一个资源（用户、组或设备）是否可以是多个管理单元的成员？

可以，一个资源可以是多个管理单元的成员。 资源可由所有对该资源具有权限且权限范围为整个组织或管理单元的管理员进行管理。

Q: B2C 组织中是否有可用的管理单元？

没有，管理单元不可用于 B2C 组织。

Q: 是否支持嵌套的管理单元？

否，不支持嵌套的管理单元。

Q: PowerShell 和图形 API 中是否支持管理单元？

是。 你可以在 PowerShell cmdlet 文档 和 示例脚本 中找到对管理单元的支持。 查找 Microsoft Graph 中对 administrativeUnit 资源类型 的支持。

Question 1

我为何无法创建管理单元？

Accepted Answer

只有“全局管理员”或“特权角色管理员”能够在 Microsoft Entra ID 中创建管理单元。请进行检查以确保尝试创建管理单元的用户分配有“全局管理员”或“特权角色管理员”角色。

Question 2

我向管理单元中添加了一个组。 为什么组成员仍然没有显示在其中？

Accepted Answer

向管理单元中添加组时，不会导致将组的所有成员添加到该管理单元。用户必须直接分配到管理单元。

Question 3

我刚刚添加（或删除）了管理单元的成员。 为什么成员未显示（或仍然显示）在用户界面中？

Accepted Answer

有时候，添加或删除管理单元的一个或多个成员的操作可能需要几分钟才能反映在“管理单元”窗格上。此外，你可以直接访问关联资源的属性，查看该操作是否已完成。有关管理单元中的成员的详细信息，请参阅列出管理单元中的用户、组或设备。

Question 4

我是某个管理单元上的委托密码管理员。 我为何无法重置特定用户的密码？

Accepted Answer

作为管理单元的管理员，你只能为分配到你的管理单元的用户重置密码。请确保其密码重置失败的用户属于已分配给你的管理单元。如果用户属于同一管理单元，但你仍无法重置其密码，请检查分配给该用户的角色。

为了防止特权提升，其权限范围为某个管理单元的管理员不能重置其角色权限范围为组织的用户的密码。

Question 5

为何需要使用管理单元？ 为何不能使用安全组作为定义作用域的方式？

Accepted Answer

安全组已有用途和授权模型。例如，用户管理员可以管理 Microsoft Entra 组织中所有安全组的成员身份。角色可以使用组来管理对应用程序（例如 Salesforce）的访问权限。用户管理员不应该能够管理委托模型本身，但如果安全组已扩展为支持“资源分组”方案，则会导致他们能够管理。

管理单元（例如 Windows Server Active Directory 中的组织单位）的目标是提供一种方式对范围广泛的目录对象的管理进行作用域限定。安全组本身可以是资源作用域的成员。使用安全组来定义管理员可以管理的安全组集可能会造成混淆。

Question 6

向管理单元添加组意味着什么？

Accepted Answer

将组添加到管理单元会将该组本身纳入管理单元的管理范围，但不包括该组的成员。有关详细信息，请参阅 Microsoft Entra ID 中的管理单元。

Question 7

一个资源（用户、组或设备）是否可以是多个管理单元的成员？

Accepted Answer

可以，一个资源可以是多个管理单元的成员。资源可由所有对该资源具有权限且权限范围为整个组织或管理单元的管理员进行管理。

Question 8

B2C 组织中是否有可用的管理单元？

Accepted Answer

没有，管理单元不可用于 B2C 组织。

Question 9

是否支持嵌套的管理单元？

Accepted Answer

否，不支持嵌套的管理单元。

Question 10

PowerShell 和图形 API 中是否支持管理单元？

Accepted Answer

是。你可以在 PowerShell cmdlet 文档和示例脚本中找到对管理单元的支持。

查找 Microsoft Graph 中对 administrativeUnit 资源类型的支持。

Question 11

我刚刚为管理单元保存了动态成员身份规则，但还没有看到任何填充的用户。

Accepted Answer

管理单元的初始更新可能需要几分钟时间，具体取决于你的租户大小和当前 Microsoft Entra ID 负载。

Question 12

使用规则生成器在 Microsoft Entra 管理中心创建动态成员身份规则并尝试保存后，我收到错误“无法更新管理单元属性”。

Accepted Answer

这通常意味着提供的属性值存在问题。确认所提供的属性值具有正确的值类型（布尔、字符串或字符串集合）。有关详细信息，请参阅用户或设备的每个运算符允许的值。

如果没有 Microsoft Entra ID P1 许可证的人员尝试将更新保存到管理单元，也可能导致此错误。

Question 13

除了当前动态成员身份规则以外，如何向管理单元添加单个成员？

Accepted Answer

若要添加单个用户，请向动态成员身份规则添加包含 OR 查询运算符的相应表达式。

Question 14

我是全局管理员，但无法添加或删除管理单元的成员。

Accepted Answer

已将管理单元配置为动态成员身份后，必须编辑动态成员身份规则才能更改成员身份。

Question 15

我可以在一个租户中创建多少个具有动态成员身份规则的管理单元？

Accepted Answer

对于预览版，动态组和动态管理单元的总数不能超过 5000 个。

Question 16

动态成员身份规则中的字符数是否有限制？

Accepted Answer

是的。 3072 个字符。

Question 17

能否在 Microsoft 365 管理中心创建具有动态成员身份规则的管理单元？

Accepted Answer

Question 18

我是属于受限管理单元成员的组的所有者。 我的权限受到什么影响？

Accepted Answer

作为受保护组的所有者，你无法仅根据所有权对其进行管理。如需管理受保护的资源，目前需要在受保护资源的受限管理单元范围内分配角色。

Question 19

使用受限管理单元对我的 Microsoft 365 资源有何影响？

Accepted Answer

目前，支持保护受限管理管理单元中的 Microsoft Entra 资源。不支持在 Microsoft Entra ID 外托管的资源。

Question 20

我无法修改受限管理单元的成员。

Accepted Answer

用户、组或设备是受限管理单元的成员。管理权限仅限于作用域为该管理单元的管理员。

Microsoft Entra 管理单元：故障排除和常见问题解答

常规

我为何无法创建管理单元？

我向管理单元中添加了一个组。为什么组成员仍然没有显示在其中？

我刚刚添加（或删除）了管理单元的成员。为什么成员未显示（或仍然显示）在用户界面中？

我是某个管理单元上的委托密码管理员。我为何无法重置特定用户的密码？

为何需要使用管理单元？为何不能使用安全组作为定义作用域的方式？

向管理单元添加组意味着什么？

一个资源（用户、组或设备）是否可以是多个管理单元的成员？

B2C 组织中是否有可用的管理单元？

是否支持嵌套的管理单元？

PowerShell 和图形 API 中是否支持管理单元？

动态管理单元（预览版）

我刚刚为管理单元保存了动态成员身份规则，但还没有看到任何填充的用户。

使用规则生成器在 Microsoft Entra 管理中心创建动态成员身份规则并尝试保存后，我收到错误“无法更新管理单元属性”。

除了当前动态成员身份规则以外，如何向管理单元添加单个成员？

我是全局管理员，但无法添加或删除管理单元的成员。

我可以在一个租户中创建多少个具有动态成员身份规则的管理单元？

动态成员身份规则中的字符数是否有限制？

能否在 Microsoft 365 管理中心创建具有动态成员身份规则的管理单元？

受限管理单元（预览版）

我是属于受限管理单元成员的组的所有者。我的权限受到什么影响？

使用受限管理单元对我的 Microsoft 365 资源有何影响？

我无法修改受限管理单元的成员。

后续步骤

其他资源

Microsoft Entra 管理单元：故障排除和常见问题解答

常规

我为何无法创建管理单元？

我向管理单元中添加了一个组。 为什么组成员仍然没有显示在其中？

我刚刚添加（或删除）了管理单元的成员。 为什么成员未显示（或仍然显示）在用户界面中？

我是某个管理单元上的委托密码管理员。 我为何无法重置特定用户的密码？

为何需要使用管理单元？ 为何不能使用安全组作为定义作用域的方式？

向管理单元添加组意味着什么？

一个资源（用户、组或设备）是否可以是多个管理单元的成员？

B2C 组织中是否有可用的管理单元？

是否支持嵌套的管理单元？

PowerShell 和图形 API 中是否支持管理单元？

动态管理单元（预览版）

我刚刚为管理单元保存了动态成员身份规则，但还没有看到任何填充的用户。

使用规则生成器在 Microsoft Entra 管理中心创建动态成员身份规则并尝试保存后，我收到错误“无法更新管理单元属性”。

除了当前动态成员身份规则以外，如何向管理单元添加单个成员？

我是全局管理员，但无法添加或删除管理单元的成员。

我可以在一个租户中创建多少个具有动态成员身份规则的管理单元？

动态成员身份规则中的字符数是否有限制？

能否在 Microsoft 365 管理中心创建具有动态成员身份规则的管理单元？

受限管理单元（预览版）

我是属于受限管理单元成员的组的所有者。 我的权限受到什么影响？

使用受限管理单元对我的 Microsoft 365 资源有何影响？

我无法修改受限管理单元的成员。

后续步骤

其他资源

我向管理单元中添加了一个组。为什么组成员仍然没有显示在其中？

我刚刚添加（或删除）了管理单元的成员。为什么成员未显示（或仍然显示）在用户界面中？

我是某个管理单元上的委托密码管理员。我为何无法重置特定用户的密码？

为何需要使用管理单元？为何不能使用安全组作为定义作用域的方式？

我是属于受限管理单元成员的组的所有者。我的权限受到什么影响？