Azure Active Directory：如果分配给管理单元，“用户管理员”不能删除用户

Question

我在 Azure Active Directory 中创建了一些受限管理员。这些应该只能管理某些用户。为此，我将应管理的用户添加到管理单元，并为管理员赋予了管理单元的“用户管理员”角色。他们现在可以按预期编辑/管理用户的所有方面。但是，他们不能删除用户。

这应该是可能的。以下是 Microsoft 对用户管理员角色的描述：

“具有此角色的用户可以创建和管理用户的各个方面和 团体。此外，此角色还包括管理支持的能力 票证并监控服务运行状况。一些限制适用。为了 例如，此角色不允许删除全局管理员。 用户帐户管理员可以更改用户、帮助台的密码 管理员，以及仅限其他用户帐户管理员”。

管理单元中的用户当然不是管理员。

如果我为整个 AAD 租户分配管理员“用户管理员”角色，那么他们可以删除用户。

这里微软也明确说明，有了这个角色你应该有权删除用户：https://docs.microsoft.com/de-de/azure/active-directory/roles/permissions-reference#user-administrator

如果您将这个角色分配给一个行政单位，有没有人明白为什么这个角色不能正常工作？

提前致谢

Answer 1

管理单元中的用户管理员可以管理用户和组的方方面面，当然也包括从管理单元中删除用户。

但不能删除租户范围内的用户，因为用户是在租户范围内创建的，但授予用户的管理员范围仅限于一个或多个管理单位。

另外，你只是在管理单元中添加了用户，而不是在管理单元中创建用户，所以你绝对不能在租户范围内删除用户。因此，如果要删除租户范围内的用户，只能授予用户租户范围内的用户管理员角色。

Answer 2

您必须是特权角色管理员或全局管理员才能添加或删除管理单元成员 (source)。

目录级别的用户管理员是不够的。自定义角色可能是另一种选择。

在目录中创建和删除用户是不同的范围。