Správa istrativní jednotky v Microsoft Entra ID
Tento článek popisuje jednotky pro správu v Microsoft Entra ID. Jednotka pro správu je prostředek Microsoft Entra, který může být kontejnerem pro další prostředky Microsoft Entra. Jednotka pro správu může obsahovat pouze uživatele, skupiny nebo zařízení.
Jednotky pro správu omezují oprávnění v rámci role na libovolnou část vaší organizace, kterou definujete. Pomocí jednotek pro správu například můžete delegovat roli Správce technické podpory na regionální specialisty podpory, aby mohli spravovat uživatele pouze v oblasti, ve které zajišťují podporu.
Uživatelé můžou být členy více jednotek pro správu. Můžete například přidat uživatele do jednotek pro správu podle zeměpisné oblasti a rozdělení; Megan Bowen může být v administrativních jednotkách "Seattle" a "Marketing".
Scénář nasazení
Může být užitečné omezit rozsah správy pomocí jednotek pro správu v organizacích, které se skládají z nezávislých divizí jakéhokoli druhu. Představte si příklad velké univerzity, která se skládá z mnoha autonomních škol (School of Business, School of Engineering atd.). Každá škola má tým správců IT, kteří řídí přístup, spravují uživatele a nastavují zásady pro svou školu.
Centrální správce může:
- Vytvořte administrativní jednotku pro školu firmy.
- Naplňte administrativní jednotku pouze studenty a pedagogy v rámci školy pro firmy.
- Vytvořte roli s oprávněními správce jenom pro uživatele Microsoft Entra v jednotce pro správu školy firmy.
- Přidejte tým IT obchodní školy do role spolu s jeho oborem.
Omezení
Tady jsou některá omezení pro jednotky pro správu.
- Správa istrativní jednotky nelze vnořit.
- Správa istrativní jednotky momentálně nejsou k dispozici v Zásady správného řízení id Microsoft Entra.
Skupiny
Přidání skupiny do jednotky pro správu přenese samotnou skupinu do oboru správy jednotky pro správu, ale ne členů skupiny. Jinými slovy, správce vymezený na jednotku pro správu může spravovat vlastnosti skupiny, jako je název skupiny nebo členství, ale nemůže spravovat vlastnosti uživatelů nebo zařízení v této skupině (pokud tito uživatelé a zařízení nejsou samostatně přidáni jako členové jednotky pro správu).
Například uživatel Správa istrator vymezený na jednotku pro správu, která obsahuje skupinu, může a nemůže provádět následující akce:
| Oprávnění | Může to udělat |
|---|---|
| Správa názvu skupiny | ✅ |
| Správa členství ve skupině | ✅ |
| Správa vlastností uživatele pro jednotlivé členy skupiny | ❌ |
| Správa metod ověřování uživatelů jednotlivých členů skupiny | ❌ |
| Resetování hesel jednotlivých členů skupiny | ❌ |
Aby mohl uživatel Správa istrator spravovat vlastnosti uživatele nebo metody ověřování uživatelů jednotlivých členů skupiny, musí být členové skupiny (uživatelé) přidáni přímo jako členové jednotky pro správu.
Požadavky na licenci
Použití jednotek pro správu vyžaduje licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu, který má přiřazené role adresáře v oboru jednotky pro správu, a licenci Microsoft Entra ID Free pro každého člena jednotky pro správu. Vytváření jednotek pro správu je k dispozici s licencí Microsoft Entra ID Free. Pokud používáte pravidla dynamického členství pro jednotky pro správu, každý člen jednotky pro správu vyžaduje licenci Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Správa jednotek pro správu
Jednotky pro správu můžete spravovat pomocí Centra pro správu Microsoft Entra, rutin a skriptů PowerShellu nebo rozhraní Microsoft Graph API. Další informace naleznete v tématu:
- Vytvoření nebo odstranění jednotek pro správu
- Přidání uživatelů, skupin nebo zařízení do jednotky pro správu
- Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel dynamického členství (Preview)
- Přiřazení rolí Microsoft Entra s oborem jednotek pro správu
- Práce s jednotkami pro správu: Popisuje, jak pracovat s jednotkami pro správu pomocí PowerShellu.
- podpora grafu Správa istrativních jednotek: Poskytuje podrobnou dokumentaci k Microsoft Graphu pro jednotky pro správu.
Plánování jednotek pro správu
Jednotky pro správu můžete použít k logickému seskupení prostředků Microsoft Entra. Organizace, jejíž ODDĚLENÍ IT je rozptýleno globálně, může vytvářet jednotky pro správu, které definují relevantní geografické hranice. V jiném scénáři, kdy globální organizace má v operacích dílčí uspořádání, které jsou částečně autonomní, mohou správní jednotky představovat podorganizace.
Kritéria, na kterých jsou vytvořeny jednotky pro správu, se řídí jedinečnými požadavky organizace. Správa istrativní jednotky představují běžný způsob definování struktury napříč službami Microsoftu 365. Doporučujeme připravit jednotky pro správu s jejich použitím napříč službami Microsoftu 365. Maximální hodnotu z jednotek pro správu můžete získat, když v rámci jednotky pro správu můžete přidružit společné prostředky v Microsoftu 365.
Můžete očekávat, že vytvoření jednotek pro správu v organizaci projde následujícími fázemi:
- Počáteční přijetí: Vaše organizace začne vytvářet jednotky pro správu na základě počátečních kritérií a počet jednotek pro správu se při upřesnění kritérií zvýší.
- Vyřazení: Po definování kritérií budou odstraněny jednotky pro správu, které už nejsou vyžadovány.
- Stabilizace: Vaše organizační struktura je definovaná a počet jednotek správy se v krátkodobém horizontu výrazně nezmění.
Aktuálně podporované scénáře
Jako globální Správa istrator nebo privilegovaná role Správa istrator můžete použít Centrum pro správu Microsoft Entra k:
- Vytvoření jednotek pro správu
- Přidání uživatelů, skupin nebo zařízení jako členů jednotek pro správu
- Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel dynamického členství (Preview)
- Přiřaďte pracovníky IT k rolím správců v oboru jednotek správy.
Správa istrativní správci můžou používat Centrum pro správu Microsoftu 365 pro základní správu uživatelů v jejich jednotkách pro správu. Správce skupiny s oborem jednotek pro správu může spravovat skupiny pomocí PowerShellu, Microsoft Graphu a Centrum pro správu Microsoftu 365.
Správa istrativní jednotky aplikují obor pouze na oprávnění pro správu. Nezabrání členům nebo správcům v používání jejich výchozích uživatelských oprávnění k procházení jiných uživatelů, skupin nebo prostředků mimo jednotku pro správu. V Centrum pro správu Microsoftu 365 se odfiltrují uživatelé mimo jednotky správy s vymezeným oborem. Můžete ale procházet další uživatele v Centru pro správu Microsoft Entra, PowerShellu a dalších služby Microsoft.
Poznámka:
V Centrum pro správu Microsoftu 365 jsou k dispozici pouze funkce popsané v této části. Pro roli Microsoft Entra s oborem jednotek pro správu nejsou k dispozici žádné funkce na úrovni organizace.
Následující části popisují aktuální podporu scénářů jednotek pro správu.
Správa istrativní správa jednotek
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Vytvoření nebo odstranění jednotek pro správu | ✅ | ✅ | ✅ |
| Přidání nebo odebrání členů | ✅ | ✅ | ✅ |
| Přiřazení správců s vymezeným oborem pro správu | ✅ | ✅ | ✅ |
| Dynamické přidávání nebo odebírání uživatelů nebo zařízení na základě pravidel (Preview) | ✅ | ✅ | ❌ |
| Dynamické přidávání nebo odebírání skupin na základě pravidel | ❌ | ❌ | ❌ |
Správa uživatelů
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Správa istrativní správa vlastností uživatele, hesel | ✅ | ✅ | ✅ |
| Správa istrativní správa uživatelských licencí v rámci jednotek | ✅ | ✅ | ✅ |
| Správa istrativní blokování s vymezeným oborem jednotek a odblokování přihlašování uživatelů | ✅ | ✅ | ✅ |
| Správa istrativní správa přihlašovacích údajů vícefaktorového ověřování uživatele | ✅ | ✅ | ❌ |
Správa skupin
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Správa istrativní vytváření a odstraňování skupin s vymezeným oborem jednotek | ✅ | ✅ | ✅ |
| Správa istrativní správa vlastností skupiny a členství ve skupinách Microsoftu 365 v rámci jednotek | ✅ | ✅ | ✅ |
| Správa istrativní správa vlastností skupiny a členství ve všech ostatních skupinách | ✅ | ✅ | ❌ |
| Správa istrativní správa licencování skupin v rámci jednotek | ✅ | ✅ | ❌ |
Správa zařízení
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Povolení, zakázání nebo odstranění zařízení | ✅ | ✅ | ❌ |
| Čtení obnovovacích klíčů BitLockeru | ✅ | ✅ | ❌ |
Správa zařízení v Intune se v tuto chvíli nepodporuje .