Creare o eliminare unità amministrative

Articolo
01/03/2025

Importante

Le unità amministrative di gestione con restrizioni sono attualmente disponibili in versione di prova. Vedere le condizioni del prodotto per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Le unità amministrative consentono di suddividere l'organizzazione in qualsiasi unità desiderata e quindi assegnare amministratori specifici che possono gestire solo i membri di tale unità. Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori di ogni istituto di istruzione in un'università di grandi dimensioni, in modo da poter controllare l'accesso, gestire gli utenti e impostare i criteri solo nella School of Engineering.

Questo articolo descrive come creare o eliminare unità amministrative per limitare l'ambito delle autorizzazioni per i ruoli in Microsoft Entra ID.

Prerequisiti

Licenza Microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrativa
Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
Ruolo di amministratore privilegiato
modulo Microsoft Graph per PowerShell quando si utilizza PowerShell
Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Creare un'unità amministrativa

È possibile creare una nuova unità amministrativa usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Entra PowerShell o Microsoft Graph.

Consiglio (if "Tip" refers to advice or suggestion).

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore del ruolo con privilegi .
Passare a Identità>Ruoli & amministratori>Unità amministrative.
Selezionare e aggiungere.
Nella casella Nome, immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.
Se non vuoi che gli amministratori a livello di tenant abbiano accesso a questa Unità amministrativa di gestione con restrizioni, imposta l'opzione su Sì. Per altre informazioni, vedere unità amministrative di gestione con restrizioni.
Facoltativamente, nella scheda Assegna ruoli, selezionare un ruolo e quindi selezionare gli utenti a cui assegnare il ruolo nell'ambito di questa unità amministrativa.
Nella scheda 'Rivedi e crea', esaminare l'unità amministrativa e le assegnazioni di ruolo.
Selezionare il pulsante Crea.

Usare il comando Connect-MgGraph per accedere al tenant e fornire il consenso alle autorizzazioni necessarie.

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

Usare il comando New-MgDirectoryAdministrativeUnit per creare una nuova unità amministrativa.

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

Usare il comando New-MgBetaDirectoryAdministrativeUnit per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà IsMemberManagementRestricted su $true.

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

Utilizzare l'API Create administrativeUnit per creare una nuova unità amministrativa.

Richiesta

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

Corpo

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

Usare l'API Create administrativeUnit (beta) per creare una nuova unità amministrativa di gestione con restrizioni. Impostare la proprietà isMemberManagementRestricted su true.

Richiesta

POST https://graph.microsoft.com/beta/administrativeUnits

Corpo

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

Eliminare un'unità amministrativa

In Microsoft Entra ID è possibile eliminare un'unità amministrativa che non è più necessaria come unità di ambito per i ruoli amministrativi. Prima di eliminare l'unità amministrativa, è necessario rimuovere eventuali assegnazioni di ruolo con tale ambito di unità amministrativa.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore del ruolo con privilegi .
Passare a Identità>Ruoli & amministratori>Unità amministrative.
Selezionare l'unità amministrativa da eliminare.
Selezionare Ruoli e amministratorie quindi aprire un ruolo per visualizzare le assegnazioni di ruolo.
Rimuovere tutte le assegnazioni di ruolo all'interno dell'ambito dell'unità amministrativa.
Passare a Identità>Ruoli & amministratori>Unità amministrative.
Aggiungere un segno di spunta accanto all'unità amministrativa da eliminare.
Selezionare Elimina.
Per confermare che si vuole eliminare l'unità amministrativa, selezionare Sì.

Usare il comando Remove-MgDirectoryAdministrativeUnit per eliminare un'unità amministrativa.

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

Usare l'API Delete administrativeUnit per eliminare un'unità amministrativa.

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

Condividi tramite

Creare o eliminare unità amministrative

Prerequisiti

Creare un'unità amministrativa

Eliminare un'unità amministrativa

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive