Megosztás a következőn keresztül:


Felügyeleti egységek a Microsoft Entra-azonosítóban

Ez a cikk a Microsoft Entra ID felügyeleti egységeinek leírását ismerteti. A felügyeleti egység egy olyan Microsoft Entra-erőforrás, amely más Microsoft Entra-erőforrások tárolója lehet. A felügyeleti egységek csak felhasználókat, csoportokat vagy eszközöket tartalmazhatnak.

A felügyeleti egységek a szerepkörök engedélyeit a szervezet Ön által meghatározott részeire korlátozzák. Lehetősége van például felügyeleti egységek segítségével az ügyfélszolgálati rendszergazda szerepkört regionális támogatási szakembereknek delegálni, hogy csak az általuk kiszolgált régió felhasználóit tudják kezelni Vegye figyelembe, hogy ha olyan felhasználóhoz rendel szerepkört, aki nem tagja egy felügyeleti egységnek, a szerepkör hatóköre a teljes bérlő.

A felhasználók több felügyeleti egység tagjai lehetnek. Hozzáadhat például felhasználókat a felügyeleti egységekhez földrajzi hely és osztás szerint; Megan Bowen lehet a "Seattle" és a "Marketing" felügyeleti egységek.

Központi telepítési forgatókönyv

Hasznos lehet korlátozni a felügyeleti hatókört olyan szervezetek felügyeleti egységeinek használatával, amelyek bármilyen független részlegből állnak. Vegyük példaként egy nagy egyetemet, amely számos autonóm iskolából áll (School of Business, School of Engineering stb.). Minden iskola rendelkezik egy informatikai rendszergazdai csapattal, akik szabályozzák a hozzáférést, kezelik a felhasználókat, és szabályzatokat állítanak be az iskolájukhoz.

Egy központi rendszergazda a következőt teheti:

  • Hozzon létre egy felügyeleti egységet a School of Business számára.
  • Töltse ki a felügyeleti egységet csak a diákok és a személyzet a School of Business.
  • Hozzon létre egy szerepkört rendszergazdai engedélyekkel csak a Microsoft Entra-felhasználók felett a School of Business felügyeleti egységben.
  • Adja hozzá az üzleti iskola informatikai csapatát a szerepkörhöz a hatókörével együtt.

Képernyőkép az Eszközök és felügyeleti egységek lapról az Eltávolítás a felügyeleti egységből beállítással.

Megszorítások

Íme néhány a felügyeleti egységekre vonatkozó korlátozások közül.

  • A felügyeleti egységek nem ágyazhatók be.
  • A felügyeleti egységek jelenleg nem érhetők el Microsoft Entra ID-kezelés.

Csoportok

Ha hozzáad egy csoportot egy felügyeleti egységhez, azzal magát a csoportot a felügyeleti egység felügyeleti hatókörébe helyezi, a csoport tagjait azonban nem . Más szóval a felügyeleti egységre hatókörrel rendelkező rendszergazdák kezelhetik a csoport tulajdonságait, például a csoport nevét vagy tagságát, de nem kezelhetik a csoporton belüli felhasználók vagy eszközök tulajdonságait (kivéve, ha ezek a felhasználók és eszközök külön vannak hozzáadva a felügyeleti egység tagjaiként).

Egy csoportokat tartalmazó felügyeleti egységre hatókörrel rendelkező felhasználói rendszergazda például a következőket teheti és nem teheti meg:

Engedélyek Megteheti
A csoport nevének kezelése
A csoporttagság kezelése
A csoport egyes tagjainak felhasználói tulajdonságainak kezelése
A csoport egyes tagjainak felhasználói hitelesítési módszereinek kezelése
A csoport egyes tagjainak jelszavainak alaphelyzetbe állítása

Ahhoz, hogy a felhasználói rendszergazda kezelje a csoport egyes tagjainak felhasználói tulajdonságait vagy felhasználói hitelesítési módszereit, a csoporttagokat (felhasználókat) közvetlenül a felügyeleti egység tagjaiként kell hozzáadni.

Licenckövetelmények

A felügyeleti egységek használatához Microsoft Entra ID P1 licencre van szükség minden olyan felügyeleti egység rendszergazdájához, aki a felügyeleti egység hatókörén keresztül címtárszerepkörökkel rendelkezik, és egy Ingyenes Microsoft Entra-licencre minden felügyeleti egység tagjához. A felügyeleti egységek létrehozása ingyenes Microsoft Entra-azonosítós licenccel érhető el. Ha a felügyeleti egységekhez dinamikus tagsági csoportokra vonatkozó szabályokat használ, minden felügyeleti egységhez Microsoft Entra-azonosítójú P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

Felügyeleti egységek kezelése

A felügyeleti egységeket a Microsoft Entra felügyeleti központ, a PowerShell-parancsmagok és szkriptek vagy a Microsoft Graph API használatával kezelheti. További információk:

A felügyeleti egységek tervezése

Felügyeleti egységek használatával logikailag csoportosíthatja a Microsoft Entra-erőforrásokat. Egy olyan szervezet, amelynek informatikai részlege globálisan szétszórva van, olyan felügyeleti egységeket hozhat létre, amelyek meghatározzák a releváns földrajzi határokat. Egy másik forgatókönyvben, amikor egy globális szervezet működése részben autonóm alszervezetekkel rendelkezik, a felügyeleti egységek képviselhetik az alszervezeteket.

A felügyeleti egységek létrehozásának feltételeit a szervezet egyedi követelményei vezérlik. A felügyeleti egységek gyakran definiálják a Microsoft 365-szolgáltatások struktúráját. Javasoljuk, hogy a felügyeleti egységeket a Microsoft 365-szolgáltatásokban való használatukkal készítse elő. A felügyeleti egységek maximális értékét akkor kaphatja meg, ha a Microsoft 365-ben közös erőforrásokat társíthat egy felügyeleti egységhez.

A szervezet felügyeleti egységeinek létrehozása a következő szakaszokban várható:

  1. Kezdeti bevezetés: A szervezet a kezdeti feltételek alapján elkezdi létrehozni a felügyeleti egységeket, és a feltételek pontosításakor a felügyeleti egységek száma megnő.
  2. Metszés: A feltételek meghatározása után a már nem szükséges felügyeleti egységek törlődnek.
  3. Stabilizálás: A szervezeti struktúra definiálva van, és a felügyeleti egységek száma rövid távon nem fog jelentősen változni.

Jelenleg támogatott forgatókönyvek

Emelt szintű szerepkör-rendszergazdaként a Microsoft Entra Felügyeleti központban a következőkre használhatja:

  • Felügyeleti egységek létrehozása
  • Felhasználók, csoportok vagy eszközök hozzáadása felügyeleti egységek tagjaiként
  • Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági csoportokra vonatkozó szabályokkal
  • Rendszergazdai egység hatókörű rendszergazdai szerepkörökhöz rendelje hozzá az informatikai személyzetet.

A felügyeleti egységek hatókörébe tartozó rendszergazdák a Microsoft 365 Felügyeleti központ használhatják a felügyeleti egységekben lévő felhasználók alapszintű felügyeletéhez. A felügyeleti egység hatókörével rendelkező csoportadminisztrátor a PowerShell, a Microsoft Graph és a Microsoft 365 Felügyeleti központ használatával kezelheti a csoportokat.

A felügyeleti egységek csak a felügyeleti engedélyekre vonatkoznak. Nem akadályozzák meg, hogy a tagok vagy rendszergazdák az alapértelmezett felhasználói engedélyeiket használják a felügyeleti egységen kívüli felhasználók, csoportok vagy erőforrások böngészéséhez. A Microsoft 365 Felügyeleti központ a hatókörrel rendelkező rendszergazda felügyeleti egységén kívül eső felhasználók szűrve lesznek. A Microsoft Entra Felügyeleti központban, a PowerShellben és más Microsoft-szolgáltatások azonban tallózhat más felhasználók között.

Feljegyzés

A Microsoft 365 Felügyeleti központ csak az ebben a szakaszban leírt funkciók érhetők el. A felügyeleti egység hatókörével rendelkező Microsoft Entra-szerepkörökhöz nem érhetők el szervezeti szintű funkciók.

A következő szakaszok a felügyeleti egységek forgatókönyveinek aktuális támogatását ismertetik.

Felügyeleti egységek kezelése

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Felügyeleti egységek létrehozása vagy törlése
Tagok hozzáadása vagy eltávolítása
Rendszergazdai egység hatókörű rendszergazdák hozzárendelése
Felhasználók vagy eszközök dinamikus hozzáadása vagy eltávolítása szabályok alapján
Csoportok dinamikus hozzáadása vagy eltávolítása szabályok alapján

Felhasználók kezelése

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
A felhasználói tulajdonságok, jelszavak felügyeleti egységre kiterjedő kezelése
A felhasználói licencek felügyeleti egységre kiterjedő kezelése
A felhasználói bejelentkezések felügyeleti egységre kiterjedő blokkolása és blokkolásának feloldása
A felhasználói többtényezős hitelesítési hitelesítő adatok felügyeleti egységre kiterjedő kezelése

Csoportkezelés

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Csoportok felügyeleti egységre kiterjedő létrehozása és törlése
A Microsoft 365-csoportok csoporttulajdonságainak és tagságának felügyeleti egységre kiterjedő kezelése
A csoporttulajdonságok és a tagság felügyeleti egységre kiterjedő kezelése az összes többi csoport esetében
Csoportlicencek felügyeleti egységre kiterjedő kezelése

Eszközfelügyelet

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Eszközök engedélyezése, letiltása vagy törlése
BitLocker helyreállítási kulcsok olvasása

Az intune-beli eszközök kezelése jelenleg nem támogatott.

Következő lépések