Felügyeleti egységek a Microsoft Entra-azonosítóban
Ez a cikk a Microsoft Entra ID felügyeleti egységeinek leírását ismerteti. A felügyeleti egység egy olyan Microsoft Entra-erőforrás, amely más Microsoft Entra-erőforrások tárolója lehet. A felügyeleti egységek csak felhasználókat, csoportokat vagy eszközöket tartalmazhatnak.
A felügyeleti egységek a szerepkörök engedélyeit a szervezet Ön által meghatározott részeire korlátozzák. Lehetősége van például felügyeleti egységek segítségével az ügyfélszolgálati rendszergazda szerepkört regionális támogatási szakembereknek delegálni, hogy csak az általuk kiszolgált régió felhasználóit tudják kezelni Vegye figyelembe, hogy ha olyan felhasználóhoz rendel szerepkört, aki nem tagja egy felügyeleti egységnek, a szerepkör hatóköre a teljes bérlő.
A felhasználók több felügyeleti egység tagjai lehetnek. Hozzáadhat például felhasználókat a felügyeleti egységekhez földrajzi hely és osztás szerint; Megan Bowen lehet a "Seattle" és a "Marketing" felügyeleti egységek.
Központi telepítési forgatókönyv
Hasznos lehet korlátozni a felügyeleti hatókört olyan szervezetek felügyeleti egységeinek használatával, amelyek bármilyen független részlegből állnak. Vegyük példaként egy nagy egyetemet, amely számos autonóm iskolából áll (School of Business, School of Engineering stb.). Minden iskola rendelkezik egy informatikai rendszergazdai csapattal, akik szabályozzák a hozzáférést, kezelik a felhasználókat, és szabályzatokat állítanak be az iskolájukhoz.
Egy központi rendszergazda a következőt teheti:
- Hozzon létre egy felügyeleti egységet a School of Business számára.
- Töltse ki a felügyeleti egységet csak a diákok és a személyzet a School of Business.
- Hozzon létre egy szerepkört rendszergazdai engedélyekkel csak a Microsoft Entra-felhasználók felett a School of Business felügyeleti egységben.
- Adja hozzá az üzleti iskola informatikai csapatát a szerepkörhöz a hatókörével együtt.
Megszorítások
Íme néhány a felügyeleti egységekre vonatkozó korlátozások közül.
- A felügyeleti egységek nem ágyazhatók be.
- A felügyeleti egységek jelenleg nem érhetők el Microsoft Entra ID-kezelés.
Csoportok
Ha hozzáad egy csoportot egy felügyeleti egységhez, azzal magát a csoportot a felügyeleti egység felügyeleti hatókörébe helyezi, a csoport tagjait azonban nem . Más szóval a felügyeleti egységre hatókörrel rendelkező rendszergazdák kezelhetik a csoport tulajdonságait, például a csoport nevét vagy tagságát, de nem kezelhetik a csoporton belüli felhasználók vagy eszközök tulajdonságait (kivéve, ha ezek a felhasználók és eszközök külön vannak hozzáadva a felügyeleti egység tagjaiként).
Egy csoportokat tartalmazó felügyeleti egységre hatókörrel rendelkező felhasználói rendszergazda például a következőket teheti és nem teheti meg:
Engedélyek | Megteheti |
---|---|
A csoport nevének kezelése | ✅ |
A csoporttagság kezelése | ✅ |
A csoport egyes tagjainak felhasználói tulajdonságainak kezelése | ❌ |
A csoport egyes tagjainak felhasználói hitelesítési módszereinek kezelése | ❌ |
A csoport egyes tagjainak jelszavainak alaphelyzetbe állítása | ❌ |
Ahhoz, hogy a felhasználói rendszergazda kezelje a csoport egyes tagjainak felhasználói tulajdonságait vagy felhasználói hitelesítési módszereit, a csoporttagokat (felhasználókat) közvetlenül a felügyeleti egység tagjaiként kell hozzáadni.
Licenckövetelmények
A felügyeleti egységek használatához Microsoft Entra ID P1 licencre van szükség minden olyan felügyeleti egység rendszergazdájához, aki a felügyeleti egység hatókörén keresztül címtárszerepkörökkel rendelkezik, és egy Ingyenes Microsoft Entra-licencre minden felügyeleti egység tagjához. A felügyeleti egységek létrehozása ingyenes Microsoft Entra-azonosítós licenccel érhető el. Ha a felügyeleti egységekhez dinamikus tagsági csoportokra vonatkozó szabályokat használ, minden felügyeleti egységhez Microsoft Entra-azonosítójú P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.
Felügyeleti egységek kezelése
A felügyeleti egységeket a Microsoft Entra felügyeleti központ, a PowerShell-parancsmagok és szkriptek vagy a Microsoft Graph API használatával kezelheti. További információk:
- Felügyeleti egységek létrehozása vagy törlése
- Felhasználók, csoportok vagy eszközök hozzáadása felügyeleti egységhez
- Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági csoportokra vonatkozó szabályokkal
- Microsoft Entra-szerepkörök hozzárendelése felügyeleti egység hatókörével
- A felügyeleti egységek használata: A felügyeleti egységek PowerShell-lel való használatát ismerteti.
- Felügyeleti egység gráftámogatása: Részletes dokumentációt nyújt a Microsoft Graph-ról a felügyeleti egységekhez.
A felügyeleti egységek tervezése
Felügyeleti egységek használatával logikailag csoportosíthatja a Microsoft Entra-erőforrásokat. Egy olyan szervezet, amelynek informatikai részlege globálisan szétszórva van, olyan felügyeleti egységeket hozhat létre, amelyek meghatározzák a releváns földrajzi határokat. Egy másik forgatókönyvben, amikor egy globális szervezet működése részben autonóm alszervezetekkel rendelkezik, a felügyeleti egységek képviselhetik az alszervezeteket.
A felügyeleti egységek létrehozásának feltételeit a szervezet egyedi követelményei vezérlik. A felügyeleti egységek gyakran definiálják a Microsoft 365-szolgáltatások struktúráját. Javasoljuk, hogy a felügyeleti egységeket a Microsoft 365-szolgáltatásokban való használatukkal készítse elő. A felügyeleti egységek maximális értékét akkor kaphatja meg, ha a Microsoft 365-ben közös erőforrásokat társíthat egy felügyeleti egységhez.
A szervezet felügyeleti egységeinek létrehozása a következő szakaszokban várható:
- Kezdeti bevezetés: A szervezet a kezdeti feltételek alapján elkezdi létrehozni a felügyeleti egységeket, és a feltételek pontosításakor a felügyeleti egységek száma megnő.
- Metszés: A feltételek meghatározása után a már nem szükséges felügyeleti egységek törlődnek.
- Stabilizálás: A szervezeti struktúra definiálva van, és a felügyeleti egységek száma rövid távon nem fog jelentősen változni.
Jelenleg támogatott forgatókönyvek
Emelt szintű szerepkör-rendszergazdaként a Microsoft Entra Felügyeleti központban a következőkre használhatja:
- Felügyeleti egységek létrehozása
- Felhasználók, csoportok vagy eszközök hozzáadása felügyeleti egységek tagjaiként
- Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági csoportokra vonatkozó szabályokkal
- Rendszergazdai egység hatókörű rendszergazdai szerepkörökhöz rendelje hozzá az informatikai személyzetet.
A felügyeleti egységek hatókörébe tartozó rendszergazdák a Microsoft 365 Felügyeleti központ használhatják a felügyeleti egységekben lévő felhasználók alapszintű felügyeletéhez. A felügyeleti egység hatókörével rendelkező csoportadminisztrátor a PowerShell, a Microsoft Graph és a Microsoft 365 Felügyeleti központ használatával kezelheti a csoportokat.
A felügyeleti egységek csak a felügyeleti engedélyekre vonatkoznak. Nem akadályozzák meg, hogy a tagok vagy rendszergazdák az alapértelmezett felhasználói engedélyeiket használják a felügyeleti egységen kívüli felhasználók, csoportok vagy erőforrások böngészéséhez. A Microsoft 365 Felügyeleti központ a hatókörrel rendelkező rendszergazda felügyeleti egységén kívül eső felhasználók szűrve lesznek. A Microsoft Entra Felügyeleti központban, a PowerShellben és más Microsoft-szolgáltatások azonban tallózhat más felhasználók között.
Feljegyzés
A Microsoft 365 Felügyeleti központ csak az ebben a szakaszban leírt funkciók érhetők el. A felügyeleti egység hatókörével rendelkező Microsoft Entra-szerepkörökhöz nem érhetők el szervezeti szintű funkciók.
A következő szakaszok a felügyeleti egységek forgatókönyveinek aktuális támogatását ismertetik.
Felügyeleti egységek kezelése
Engedélyek | Microsoft Graph/PowerShell | Microsoft Entra felügyeleti központ | Microsoft 365 felügyeleti központ |
---|---|---|---|
Felügyeleti egységek létrehozása vagy törlése | ✅ | ✅ | ✅ |
Tagok hozzáadása vagy eltávolítása | ✅ | ✅ | ✅ |
Rendszergazdai egység hatókörű rendszergazdák hozzárendelése | ✅ | ✅ | ✅ |
Felhasználók vagy eszközök dinamikus hozzáadása vagy eltávolítása szabályok alapján | ✅ | ✅ | ❌ |
Csoportok dinamikus hozzáadása vagy eltávolítása szabályok alapján | ❌ | ❌ | ❌ |
Felhasználók kezelése
Engedélyek | Microsoft Graph/PowerShell | Microsoft Entra felügyeleti központ | Microsoft 365 felügyeleti központ |
---|---|---|---|
A felhasználói tulajdonságok, jelszavak felügyeleti egységre kiterjedő kezelése | ✅ | ✅ | ✅ |
A felhasználói licencek felügyeleti egységre kiterjedő kezelése | ✅ | ✅ | ✅ |
A felhasználói bejelentkezések felügyeleti egységre kiterjedő blokkolása és blokkolásának feloldása | ✅ | ✅ | ✅ |
A felhasználói többtényezős hitelesítési hitelesítő adatok felügyeleti egységre kiterjedő kezelése | ✅ | ✅ | ❌ |
Csoportkezelés
Engedélyek | Microsoft Graph/PowerShell | Microsoft Entra felügyeleti központ | Microsoft 365 felügyeleti központ |
---|---|---|---|
Csoportok felügyeleti egységre kiterjedő létrehozása és törlése | ✅ | ✅ | ✅ |
A Microsoft 365-csoportok csoporttulajdonságainak és tagságának felügyeleti egységre kiterjedő kezelése | ✅ | ✅ | ✅ |
A csoporttulajdonságok és a tagság felügyeleti egységre kiterjedő kezelése az összes többi csoport esetében | ✅ | ✅ | ❌ |
Csoportlicencek felügyeleti egységre kiterjedő kezelése | ✅ | ✅ | ❌ |
Eszközfelügyelet
Engedélyek | Microsoft Graph/PowerShell | Microsoft Entra felügyeleti központ | Microsoft 365 felügyeleti központ |
---|---|---|---|
Eszközök engedélyezése, letiltása vagy törlése | ✅ | ✅ | ❌ |
BitLocker helyreállítási kulcsok olvasása | ✅ | ✅ | ❌ |
Az intune-beli eszközök kezelése jelenleg nem támogatott.