创建或删除管理单元

2025-04-30

重要

受限管理管理单元目前处于预览状态。有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款，请参阅产品条款。

管理单元允许将组织细分为所需的任何单元，然后分配只能管理该单元成员的特定管理员。例如，可以使用管理单元将权限委派给大型大学每个学校的管理员，以便他们只能在工程学院控制访问权限、管理用户和设置策略。

本文介绍如何创建或删除管理单元，以限制Microsoft Entra ID 中的角色权限范围。

先决条件

对于每个管理单元管理员，需拥有 Microsoft Entra ID P1 或 P2 许可证。
Microsoft Entra ID 免费许可证适用于管理单元成员
特权角色管理员角色
使用 PowerShell 时的 Microsoft Graph PowerShell 模块
将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅使用 PowerShell 或 Graph 资源管理器的先决条件。

创建管理单元

可以使用 Microsoft Entra 管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 创建新的管理单元。

以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>角色和管理员>管理单元。
选择 “添加”。
在 “名称 ”框中，输入管理单元的名称。（可选）添加管理单元的说明。
如果不希望租户级管理员能够访问此管理单元，请将 受限管理单元 切换为 “是”。有关详细信息，请参阅受限管理管理单元。
（可选）在“ 分配角色 ”选项卡上，选择一个角色，然后选择将角色分配给此管理单元范围的用户。
在“查看 + 创建”选项卡上，查看管理单元和任何角色分配。
选择“创建”按钮。

使用 Connect-MgGraph 命令登录到租户并同意所需的权限。

Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"

使用 New-MgDirectoryAdministrativeUnit 命令创建新的管理单元。

$params = @{
    DisplayName = "Seattle District Technical Schools"
    Description = "Seattle district technical schools administration"
    Visibility = "HiddenMembership"
}
$adminUnitObj = New-MgDirectoryAdministrativeUnit -BodyParameter $params

使用 New-MgBetaDirectoryAdministrativeUnit 命令创建新的受限管理管理单元。将 IsMemberManagementRestricted 属性设置为 $true。

$params = @{
    DisplayName = "Contoso Executive Division"
    Description = "Contoso Executive Division administration"
    Visibility = "HiddenMembership"
    IsMemberManagementRestricted = $true
}
$restrictedAU = New-MgBetaDirectoryAdministrativeUnit -BodyParameter $params

使用 “创建 managementUnit API” 创建新的管理单元。

请求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits

正文

{
  "displayName": "North America Operations",
  "description": "North America Operations administration"
}

使用 Create managementUnit （beta） API 创建新的受限管理管理单元。将 isMemberManagementRestricted 属性设置为 true。

请求

POST https://graph.microsoft.com/beta/administrativeUnits

正文

{ 
  "displayName": "Contoso Executive Division",
  "description": "This administrative unit contains executive accounts of Contoso Corp.", 
  "isMemberManagementRestricted": true
}

删除管理单元

在 Microsoft Entra ID 中，可以删除不再需要作为管理角色范围单元的管理单元。删除管理单元之前，应删除具有该管理单元范围的任何角色分配。

以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>角色与管理员>管理单元。
选择要删除的管理单元。
选择“角色和管理员”，并打开一个角色查看角色分配。
删除具有管理单元范围的所有角色分配。
浏览到 Entra ID>角色和管理员>管理员单位。
在要删除的管理单元旁边添加复选标记。
选择 “删除”。
若要确认要删除管理单元，请选择“是”。

使用 Remove-MgDirectoryAdministrativeUnit 命令删除管理单元。

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Seattle District Technical Schools'"
Remove-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnitObj.Id

使用 Delete managementUnit API 删除管理单元。

DELETE https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}

通过

创建或删除管理单元

先决条件

创建管理单元

删除管理单元

后续步骤

反馈

其他资源