若要在 Microsoft Entra ID 中实现更精细的管理控制,可将用户分配到范围限定为一个或多个管理单元的 Microsoft Entra ID 角色。 有关常见任务的示例 PowerShell 脚本,请参阅使用管理单元。
你必须至少分配有“特权角色管理员”角色才能在 Microsoft Entra ID 中创建管理单元。 请进行检查以确保尝试创建管理单元的用户分配有“特权角色管理员”角色。
向管理单元中添加组时,不会导致将组的所有成员添加到该管理单元。 用户必须直接分配到管理单元。
有时候,添加或删除管理单元的一个或多个成员的操作可能需要几分钟才能反映在“管理单元”窗格上。 此外,你可以直接访问关联资源的属性,查看该操作是否已完成。 有关管理单元中的成员的详细信息,请参阅列出管理单元中的用户、组或设备。
作为管理单元的管理员,你只能为分配到你的管理单元的用户重置密码。 请确保其密码重置失败的用户属于已分配给你的管理单元。 如果用户属于同一管理单元,但你仍无法重置其密码,请检查分配给该用户的角色。
为了防止特权提升,其权限范围为某个管理单元的管理员不能重置其角色权限范围为组织的用户的密码。
安全组已有用途和授权模型。 例如,用户管理员可以管理 Microsoft Entra 组织中所有安全组的成员身份。 角色可以使用组来管理对应用程序(例如 Salesforce)的访问权限。 用户管理员不应该能够管理委托模型本身,但如果安全组已扩展为支持“资源分组”方案,则会导致他们能够管理。
管理单元(例如 Windows Server Active Directory 中的组织单位)的目标是提供一种方式对范围广泛的目录对象的管理进行作用域限定。 安全组本身可以是资源作用域的成员。 使用安全组来定义管理员可以管理的安全组集可能会造成混淆。
将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 有关详细信息,请参阅 Microsoft Entra ID 中的管理单元。
可以,一个资源可以是多个管理单元的成员。 资源可由所有对该资源具有权限且权限范围为整个组织或管理单元的管理员进行管理。
否,管理单元不可用于 B2C 组织。
否,不支持嵌套的管理单元。
是。 你可以在 PowerShell cmdlet 文档和示例脚本中找到对管理单元的支持。
查找 Microsoft Graph 中对 administrativeUnit 资源类型的支持。
管理单元的初始更新可能需要几分钟时间,具体取决于你的租户大小和当前 Microsoft Entra ID 负载。
这通常意味着提供的属性值存在问题。 确认所提供的属性值具有正确的值类型(布尔、字符串或字符串集合)。 有关详细信息,请参阅用户或设备的每个运算符允许的值。
如果没有 Microsoft Entra ID P1 许可证的人员尝试将更新保存到管理单元,也可能导致此错误。
若要添加单个用户,请向动态成员资格组规则添加包含 OR 查询运算符的相应表达式。
已将管理单元配置为动态成员资格组后,必须编辑动态成员资格组规则才能更改成员资格。
动态成员资格组和动态管理单元的组合总数不能超过 15,000 个。
是的。 3072 个字符。
否。
作为受保护组的所有者,你无法仅根据所有权对其进行管理。 如需管理受保护的资源,目前需要在受保护资源的受限管理单元范围内分配角色。
目前,支持保护受限管理管理单元中的 Microsoft Entra 资源。 不支持在 Microsoft Entra ID 外托管的资源。
用户、组或设备是受限管理单元的成员。 管理权限仅限于作用域为该管理单元的管理员。