Verwaltungseinheiten in Microsoft Entra ID
In diesem Artikel werden Verwaltungseinheiten in Microsoft Entra ID beschrieben. Eine Verwaltungseinheit ist eine Microsoft Entra-Ressource, die ein Container für andere Microsoft Entra-Ressourcen sein kann. Eine Verwaltungseinheit kann nur Benutzer, Gruppen oder Geräte enthalten.
Mit Verwaltungseinheiten können Sie die Berechtigungen einer Rolle auf einen beliebigen von Ihnen zu definierenden Bereich in Ihrer Organisation beschränken. Mit Verwaltungseinheiten könnten Sie beispielsweise die Rolle Helpdesk-Administrator an regionale Supportspezialisten delegieren, damit diese nur in der von ihnen unterstützten Region Benutzer verwalten können. Beachten Sie, dass der Geltungsbereich der Rolle der gesamte Mandant ist, wenn Sie Benutzenden, die nicht Mitglied einer Verwaltungseinheit sind, eine Rolle zuweisen.
Benutzer können Mitglieder mehrerer Verwaltungseinheiten sein. Sie können beispielsweise Benutzer nach geografischem Standort und Abteilung zu Verwaltungseinheiten hinzufügen. Megan Bowen könnte z. B. den Verwaltungseinheiten „Seattle“ und „Marketing“ angehören.
Bereitstellungsszenario
Das Einschränken des Verwaltungsbereichs mithilfe von Verwaltungseinheiten kann in Organisationen hilfreich sein, die aus beliebigen unabhängigen Abteilungen bestehen. Stellen Sie sich beispielsweise eine große Universität vor, die sich aus vielen eigenständigen Fakultäten (Wirtschaftswissenschaften, Technik usw.) zusammensetzt. Die einzelnen Fakultäten verfügen jeweils über ein Team von IT-Administratoren, die den Zugriff steuern, Benutzer verwalten und Richtlinien für ihre Fakultät festlegen.
Ein zentraler Administrator könnte folgende Aktionen ausführen:
- Erstellen einer Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“
- Füllen der Verwaltungseinheit nur mit Studierenden und Mitarbeitern innerhalb des Fachbereichs Wirtschaft.
- Erstellen Sie eine Rolle mit Administratorberechtigungen nur für Microsoft Entra-Benutzer*innen in der Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“.
- Hinzufügen des IT-Teams des Fachbereichs Wirtschaft zur Rolle, zusammen mit dem Bereich.
Einschränkungen
Im Folgenden finden Sie einige Einschränkungen für Verwaltungseinheiten.
- Verwaltungseinheiten können nicht geschachtelt werden.
- Verwaltungseinheiten sind derzeit nicht in Microsoft Entra ID Governance verfügbar.
Gruppen
Das Hinzufügen einer Gruppe zu einer Verwaltungseinheit versetzt die Gruppe selbst, aber nicht die Mitglieder der Gruppe in den Verwaltungsbereich der Verwaltungseinheit. Anders ausgedrückt kann ein Administrator, der für die Verwaltungseinheit zuständig ist, Eigenschaften der Gruppe verwalten, z. B. den Gruppennamen oder die Mitgliedschaft. Er kann jedoch keine Eigenschaften der Benutzer oder Geräte innerhalb dieser Gruppe verwalten (sofern diese Benutzer und Geräte nicht separat als Mitglieder der Verwaltungseinheit hinzugefügt werden).
Beispielsweise kann ein Benutzeradministrator mit einer Verwaltungseinheit, die eine Gruppe enthält, folgende Aufgaben ausführen bzw. nicht ausführen:
| Berechtigungen | Möglich |
|---|---|
| Verwalten des Namens der Gruppe | ✅ |
| Verwalten der Mitgliedschaft der Gruppe | ✅ |
| Verwalten der Benutzereigenschaften für einzelne Mitglieder der Gruppe | ❌ |
| Verwalten der Benutzerauthentifizierungsmethoden einzelner Mitglieder der Gruppe | ❌ |
| Zurücksetzen der Kennwörter einzelner Mitglieder der Gruppe | ❌ |
Damit der Benutzeradministrator die Benutzereigenschaften oder Benutzerauthentifizierungsmethoden einzelner Mitglieder der Gruppe verwalten kann, müssen die Gruppenmitglieder (Benutzer) direkt als Mitglieder der Verwaltungseinheit hinzugefügt werden.
Lizenzanforderungen
Die Verwendung von Verwaltungseinheiten erfordert eine Microsoft Entra ID P1-Lizenz für sämtliche Administrator*innen einer Verwaltungseinheit, denen Verzeichnisrollen über den Bereich der Verwaltungseinheit zugewiesen sind, sowie eine Microsoft Entra ID Free-Lizenz für jedes Mitglied der Verwaltungseinheit. Das Erstellen von Verwaltungseinheiten ist mit einer Microsoft Entra ID Free-Lizenz verfügbar. Wenn Sie Regeln für dynamische Mitgliedergruppen für Verwaltungseinheiten verwenden, benötigt jedes Mitglied einer Verwaltungseinheit eine Microsoft Entra ID P1-Lizenz. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Verwalten von Verwaltungseinheiten
Sie können Verwaltungseinheiten verwalten, indem Sie das Microsoft Entra Admin Center, PowerShell-Cmdlets und -Skripts oder Microsoft Graph-API verwenden. Weitere Informationen finden Sie unter:
- Erstellen oder Löschen von Verwaltungseinheiten
- Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit
- Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)
- Zuweisen von Microsoft Entra-Rollen mit Verwaltungseinheitsbereich
- Verwenden von Verwaltungseinheiten: Enthält Informationen zur Verwendung von Verwaltungseinheiten über PowerShell.
- Ressourcentyp „administrativeUnit“: Enthält eine ausführliche Dokumentation zu Microsoft Graph für Verwaltungseinheiten.
Planen Ihrer Verwaltungseinheiten
Sie können Verwaltungseinheiten verwenden, um Microsoft Entra-Ressourcen in logische Gruppen einzuteilen. Eine Organisation mit einer global verteilten IT-Abteilung erstellt möglicherweise Verwaltungseinheiten, die relevante geografische Begrenzungen definieren. In einem anderen Szenario verfügt eine globale Organisation über verschiedene Unterorganisationen, die in ihrem Betrieb halbautonom sind. Hier können Verwaltungseinheiten die Unterorganisationen darstellen.
Die Kriterien für die Erstellung von Verwaltungseinheiten richten sich nach den besonderen Anforderungen eines Unternehmens. Verwaltungseinheiten sind eine gängige Methode, um die Struktur in Microsoft 365-Diensten zu definieren. Wir empfehlen, bei der Vorbereitung der Verwaltungseinheiten deren Verwendung über Microsoft 365-Dienste hinweg im Blick zu haben. Um Verwaltungseinheiten optimal zu nutzen, könnten Sie in Microsoft 365-Diensten gemeinsame Ressourcen in einer Verwaltungseinheit verknüpfen.
Sie können davon ausgehen, dass die Erstellung von Verwaltungseinheiten in der Organisation die folgenden Phasen durchläuft:
- Anfängliche Einführung: Ihre Organisation beginnt anhand anfänglicher Kriterien mit der Erstellung von Verwaltungseinheiten. Mit zunehmender Verfeinerung der Kriterien nimmt dann auch die Anzahl von Verwaltungseinheiten zu.
- Bereinigung: Nach der Definition der Kriterien werden nicht mehr benötigte Verwaltungseinheiten gelöscht.
- Stabilisierung: Die Struktur Ihrer Organisation ist definiert, und die Anzahl von Verwaltungseinheiten wird sich kurzfristig nicht stark verändern.
Derzeit unterstützte Szenarien
Als Administrator für privilegierte Rollen können Sie das Microsoft Entra Admin Center für Folgendes verwenden:
- Erstellen von Verwaltungseinheiten
- Hinzufügen von Benutzern, Gruppen oder Geräten als Mitglieder von Verwaltungseinheiten
- Verwalten von Benutzenden oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)
- Zuweisen von IT-Mitarbeitern zu Administratorrollen für den Bereich einer Verwaltungseinheit.
Administratoren, die für eine Verwaltungseinheit zuständig sind, können das Microsoft 365 Admin Center für die grundlegende Verwaltung von Benutzern in ihren Verwaltungseinheiten verwenden. Ein Gruppenadministrator mit Verwaltungseinheitsbereich kann Gruppen mithilfe von PowerShell, Microsoft Graph und den Microsoft 365 Admin Centern verwalten.
Verwaltungseinheiten wenden den Bereich nur auf Verwaltungsberechtigungen an. Verwaltungseinheiten verhindern nicht, dass Mitglieder oder Administratoren ihre Standardbenutzerberechtigungen verwenden, um zu anderen Benutzern, Gruppen oder Ressourcen außerhalb der Verwaltungseinheit zu navigieren. Im Microsoft 365 Admin Center werden Benutzer außerhalb der Verwaltungseinheiten eines bereichsbezogenen Administrators herausgefiltert. Sie können aber zu anderen Benutzern im Microsoft Entra Admin Center, in PowerShell und in anderen Microsoft-Diensten navigieren.
Hinweis
Nur die in diesem Abschnitt beschriebenen Features sind im Microsoft 365 Admin Center verfügbar. Für eine Microsoft Entra-Rolle, die auf den Bereich einer Verwaltungseinheit bezogen ist, stehen keine Features auf Organisationsebene zur Verfügung.
In den folgenden Abschnitten wird die aktuelle Unterstützung für Szenarien mit Verwaltungseinheiten beschrieben.
Verwalten von Verwaltungseinheiten
| Berechtigungen | Microsoft Graph/PowerShell | Microsoft Entra Admin Center | Microsoft 365 Admin Center |
|---|---|---|---|
| Erstellen oder Löschen von Verwaltungseinheiten | ✅ | ✅ | ✅ |
| Hinzufügen oder Entfernen von Mitgliedern | ✅ | ✅ | ✅ |
| Zuweisen von Administratoren für den Bereich von Verwaltungseinheiten | ✅ | ✅ | ✅ |
| Dynamisches Hinzufügen oder Entfernen von Benutzern oder Geräten basierend auf Regeln | ✅ | ✅ | ❌ |
| Dynamisches Hinzufügen oder Entfernen von Gruppen basierend auf Regeln | ❌ | ❌ | ❌ |
Benutzerverwaltung
| Berechtigungen | Microsoft Graph/PowerShell | Microsoft Entra Admin Center | Microsoft 365 Admin Center |
|---|---|---|---|
| Verwalten von Benutzereigenschaften und Kennwörtern für den Bereich von Verwaltungseinheiten | ✅ | ✅ | ✅ |
| Verwalten von Benutzerlizenzen für den Bereich von Verwaltungseinheiten | ✅ | ✅ | ✅ |
| Blockieren und Aufheben der Blockierung von Benutzeranmeldungen für den Bereich von Verwaltungseinheiten | ✅ | ✅ | ✅ |
| Auf die Verwaltungseinheit ausgerichtete Verwaltung von Anmeldeinformationen für die mehrstufige Authentifizierung | ✅ | ✅ | ❌ |
Gruppenverwaltung
| Berechtigungen | Microsoft Graph/PowerShell | Microsoft Entra Admin Center | Microsoft 365 Admin Center |
|---|---|---|---|
| Bereichsbezogene Erstellung und Löschung von Gruppen in der Verwaltungseinheit | ✅ | ✅ | ✅ |
| Auf die Verwaltungseinheit bezogene Verwaltung von Gruppeneigenschaften und Gruppenmitgliedschaften für Microsoft 365-Gruppen | ✅ | ✅ | ✅ |
| Auf die Verwaltungseinheit bezogene Verwaltung von Gruppeneigenschaften und Gruppenmitgliedschaften für alle anderen Gruppen | ✅ | ✅ | ❌ |
| Verwalten der Gruppenlizenzierung für den Bereich von Verwaltungseinheiten | ✅ | ✅ | ❌ |
Geräteverwaltung
| Berechtigungen | Microsoft Graph/PowerShell | Microsoft Entra Admin Center | Microsoft 365 Admin Center |
|---|---|---|---|
| Aktivieren, Deaktivieren oder Löschen von Geräten | ✅ | ✅ | ❌ |
| Lesen von BitLocker-Wiederherstellungsschlüsseln | ✅ | ✅ | ❌ |
Die Verwaltung von Geräten in Intune wird derzeit nicht unterstützt.