系統管理單位可讓您將組織細分為您想要的任何單位,然後指派只能管理該單位成員的特定系統管理員。 例如,您可以使用系統管理單位,將許可權委派給大型大學每個學校的系統管理員,以便他們只能控制存取權、管理使用者,以及只在工程學院設定原則。
本文說明如何建立或刪除系統管理單位,以限制Microsoft Entra ID 中的角色許可權範圍。
先決條件
- 每個管理單位系統管理員都需具備 Microsoft Entra ID P1 或 P2 授權
- Microsoft Entra ID 的管理單位成員免費授權
- 高級權限角色管理員
- 使用 PowerShell 時Microsoft Graph PowerShell 模組
- 使用 Graph Explorer 執行 Microsoft Graph API 時的系統管理員同意
如需詳細資訊,請參閱 使用PowerShell或 Graph 總管的必要條件。
建立管理單位
您可以使用 Microsoft Entra 系統管理中心、Microsoft Entra PowerShell 或 Microsoft Graph 來建立新的管理單位。
以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>角色和系統管理員>系統管理員單位。
![[系統管理單位] 頁面的螢幕快照。](media/admin-units-manage/nav-to-admin-units.png)
選取 [新增]。
在 [ 名稱] 方塊中,輸入管理單位的名稱。 選擇性地新增管理單位的描述。
如果您不想讓租戶層級系統管理員能夠存取此管理單位,請將
[受限制的管理單位] 切換為 [是]。 如需詳細資訊,請參閱 受限制的管理管理單位。 ![顯示 [新增管理單位] 頁面和 [名稱] 方塊以輸入管理單位名稱的螢幕快照。](media/admin-units-manage/add-new-admin-unit.png)
可選地,在 指派角色 索引標籤中,選擇一個角色,然後選擇要使用這個管理單位範圍指派該角色的使用者。
![此螢幕快照顯示 [新增指派] 窗格,以新增具有此管理單位範圍的角色指派。](media/admin-units-manage/assign-roles-admin-unit.png)
在 檢閱 + 建立 標籤上,檢閱管理單位和任何角色指派。
選取建立按鈕。
![[系統管理單位] 頁面的螢幕快照。](media/admin-units-manage/nav-to-admin-units.png#lightbox)
![顯示 [新增管理單位] 頁面和 [名稱] 方塊以輸入管理單位名稱的螢幕快照。](media/admin-units-manage/add-new-admin-unit.png#lightbox)
![此螢幕快照顯示 [新增指派] 窗格,以新增具有此管理單位範圍的角色指派。](media/admin-units-manage/assign-roles-admin-unit.png#lightbox)
刪除管理單位
在 Microsoft Entra ID 中,您可以刪除不再需要作為管理角色範圍的管理單位。 刪除管理單位之前,您應該移除具有該管理單位範圍的任何角色指派。
以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>角色和系統管理員>系統管理員單位。
選取您想要刪除的系統管理單位。
選取 [角色和系統管理員],然後開啟角色以檢視角色指派。
移除具有管理單位範圍的所有角色指派。
流覽至 Entra ID>角色和系統管理員>系統管理員單位。
在您要刪除的管理單位旁勾選勾號。
選取 [刪除]。
![系統管理單位 [刪除] 按鈕和確認視窗的螢幕快照。](media/admin-units-manage/select-admin-unit-to-delete.png)
若要確認您想要刪除管理單位,請選取 [ 是]。
![系統管理單位 [刪除] 按鈕和確認視窗的螢幕快照。](media/admin-units-manage/select-admin-unit-to-delete.png#lightbox)