Sdílet prostřednictvím


Jednotky pro správu v MICROSOFT Entra ID

Tento článek popisuje jednotky pro správu v Microsoft Entra ID. Jednotka pro správu je prostředek Microsoft Entra, který může být kontejnerem pro další prostředky Microsoft Entra. Jednotka pro správu může obsahovat pouze uživatele, skupiny nebo zařízení.

Jednotky pro správu omezují oprávnění v rámci role na libovolnou část vaší organizace, kterou definujete. Pomocí jednotek pro správu například můžete delegovat roli Správce technické podpory na regionální specialisty podpory, aby mohli spravovat uživatele pouze v oblasti, ve které zajišťují podporu. Všimněte si, že pokud přiřadíte roli uživateli, který není členem jednotky pro správu, bude obor role celý tenant.

Uživatelé můžou být členy více jednotek pro správu. Můžete například přidat uživatele do jednotek pro správu podle zeměpisné oblasti a rozdělení; Megan Bowen může být v administrativních jednotkách "Seattle" a "Marketing".

Scénář nasazení

Může být užitečné omezit rozsah správy pomocí jednotek pro správu v organizacích, které se skládají z nezávislých divizí jakéhokoli druhu. Představte si příklad velké univerzity, která se skládá z mnoha autonomních škol (School of Business, School of Engineering atd.). Každá škola má tým správců IT, kteří řídí přístup, spravují uživatele a nastavují zásady pro svou školu.

Centrální správce může:

  • Vytvořte administrativní jednotku pro školu firmy.
  • Naplňte administrativní jednotku pouze studenty a pedagogy v rámci školy pro firmy.
  • Vytvořte roli s oprávněními správce jenom pro uživatele Microsoft Entra v jednotce pro správu školy firmy.
  • Přidejte tým IT obchodní školy do role spolu s jeho oborem.

Snímek obrazovky se stránkou Zařízení a jednotky pro správu s možností Odebrat z jednotky pro správu

Omezení

Tady jsou některá omezení pro jednotky pro správu.

Skupiny

Přidání skupiny do jednotky pro správu přenese samotnou skupinu do oboru správy jednotky pro správu, ale ne členů skupiny. Jinými slovy, správce vymezený na jednotku pro správu může spravovat vlastnosti skupiny, jako je název skupiny nebo členství, ale nemůže spravovat vlastnosti uživatelů nebo zařízení v této skupině (pokud tito uživatelé a zařízení nejsou samostatně přidáni jako členové jednotky pro správu).

Správce uživatelů, který má obor například na jednotku pro správu, která obsahuje skupinu, může a nemůže provést následující akce:

Oprávnění Může to udělat
Správa názvu skupiny
Správa členství ve skupině
Správa vlastností uživatele pro jednotlivé členy skupiny
Správa metod ověřování uživatelů jednotlivých členů skupiny
Resetování hesel jednotlivých členů skupiny

Aby správce uživatelů mohl spravovat vlastnosti uživatele nebo metody ověřování uživatelů jednotlivých členů skupiny, musí být členové skupiny (uživatelé) přidáni přímo jako členové jednotky pro správu.

Požadavky na licenci

Použití jednotek pro správu vyžaduje licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu, který má přiřazené role adresáře v oboru jednotky pro správu, a licenci Microsoft Entra ID Free pro každého člena jednotky pro správu. Vytváření jednotek pro správu je k dispozici s licencí Microsoft Entra ID Free. Pokud používáte pravidla pro dynamické skupiny členství pro jednotky pro správu, každý člen jednotky pro správu vyžaduje licenci Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.

Správa jednotek pro správu

Jednotky pro správu můžete spravovat pomocí Centra pro správu Microsoft Entra, rutin a skriptů PowerShellu nebo rozhraní Microsoft Graph API. Další informace naleznete v tématu:

Plánování jednotek pro správu

Jednotky pro správu můžete použít k logickému seskupení prostředků Microsoft Entra. Organizace, jejíž ODDĚLENÍ IT je rozptýleno globálně, může vytvářet jednotky pro správu, které definují relevantní geografické hranice. V jiném scénáři, kdy globální organizace má v operacích dílčí uspořádání, které jsou částečně autonomní, mohou správní jednotky představovat podorganizace.

Kritéria, na kterých jsou vytvořeny jednotky pro správu, se řídí jedinečnými požadavky organizace. Jednotky pro správu představují běžný způsob definování struktury napříč službami Microsoftu 365. Doporučujeme připravit jednotky pro správu s jejich použitím napříč službami Microsoftu 365. Maximální hodnotu z jednotek pro správu můžete získat, když v rámci jednotky pro správu můžete přidružit společné prostředky v Microsoftu 365.

Můžete očekávat, že vytvoření jednotek pro správu v organizaci projde následujícími fázemi:

  1. Počáteční přijetí: Vaše organizace začne vytvářet jednotky pro správu na základě počátečních kritérií a počet jednotek pro správu se při upřesnění kritérií zvýší.
  2. Vyřazení: Po definování kritérií budou odstraněny jednotky pro správu, které už nejsou vyžadovány.
  3. Stabilizace: Vaše organizační struktura je definovaná a počet jednotek správy se v krátkodobém horizontu výrazně nezmění.

Aktuálně podporované scénáře

Jako správce privilegovaných rolí můžete použít Centrum pro správu Microsoft Entra k následujícím akcím:

  • Vytvoření jednotek pro správu
  • Přidání uživatelů, skupin nebo zařízení jako členů jednotek pro správu
  • Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel pro dynamické skupiny členství
  • Přiřaďte pracovníky IT k rolím správců v oboru jednotek správy.

Správci s oborem jednotek pro správu můžou používat Centrum pro správu Microsoftu 365 pro základní správu uživatelů v jejich jednotkách pro správu. Správce skupiny s oborem jednotek pro správu může spravovat skupiny pomocí PowerShellu, Microsoft Graphu a Centrum pro správu Microsoftu 365.

Jednotky pro správu používají obor pouze na oprávnění pro správu. Nezabrání členům nebo správcům v používání jejich výchozích uživatelských oprávnění k procházení jiných uživatelů, skupin nebo prostředků mimo jednotku pro správu. V Centrum pro správu Microsoftu 365 se odfiltrují uživatelé mimo jednotky správy s vymezeným oborem. Můžete ale procházet další uživatele v Centru pro správu Microsoft Entra, PowerShellu a dalších služby Microsoft.

Poznámka:

V Centrum pro správu Microsoftu 365 jsou k dispozici pouze funkce popsané v této části. Pro roli Microsoft Entra s oborem jednotek pro správu nejsou k dispozici žádné funkce na úrovni organizace.

Následující části popisují aktuální podporu scénářů jednotek pro správu.

Správa jednotek pro správu

Oprávnění Microsoft Graph / PowerShell Centrum pro správu Microsoft Entra Centrum pro správu Microsoft 365
Vytvoření nebo odstranění jednotek pro správu
Přidání nebo odebrání členů
Přiřazení správců s vymezeným oborem pro správu
Dynamické přidávání nebo odebírání uživatelů nebo zařízení na základě pravidel
Dynamické přidávání nebo odebírání skupin na základě pravidel

Správa uživatelů

Oprávnění Microsoft Graph / PowerShell Centrum pro správu Microsoft Entra Centrum pro správu Microsoft 365
Správa uživatelských vlastností, hesel v oboru jednotek správy
Správa uživatelských licencí v rámci jednotek správy
Blokování s vymezenou jednotkou správy a odblokování přihlašování uživatelů
Správa vícefaktorových přihlašovacích údajů vícefaktorového ověřování uživatelů v oboru správy

Správa skupin

Oprávnění Microsoft Graph / PowerShell Centrum pro správu Microsoft Entra Centrum pro správu Microsoft 365
Vytváření a odstraňování skupin s vymezeným oborem správy
Správa vlastností skupiny a členství v rámci jednotek pro správu pro skupiny Microsoftu 365
Správa vlastností skupiny a členství v rámci jednotek správy pro všechny ostatní skupiny
Správa licencování skupin v rámci jednotek správy

Správa zařízení

Oprávnění Microsoft Graph / PowerShell Centrum pro správu Microsoft Entra Centrum pro správu Microsoft 365
Povolení, zakázání nebo odstranění zařízení
Čtení obnovovacích klíčů BitLockeru

Správa zařízení v Intune se v tuto chvíli nepodporuje .

Další kroky