unità Amministrazione istrative in Microsoft Entra ID
Questo articolo descrive le unità amministrative in Microsoft Entra ID. Un'unità amministrativa è una risorsa Microsoft Entra che può essere un contenitore per altre risorse di Microsoft Entra. Un'unità amministrativa può contenere solo utenti, gruppi o dispositivi.
Le unità amministrative limitano le autorizzazioni di un ruolo a qualsiasi parte dell'organizzazione definita dall'utente. È possibile, ad esempio, usare unità amministrative per delegare il ruolo Amministratore di supporto tecnico agli specialisti del supporto tecnico locale, in modo che possano gestire gli utenti solo nell'area che supportano.
Gli utenti possono essere membri di più unità amministrative. Ad esempio, è possibile aggiungere utenti alle unità amministrative per area geografica e divisione; Megan Bowen potrebbe trovarsi nelle unità amministrative "Seattle" e "Marketing".
Scenario di distribuzione
Può risultare utile limitare l'ambito amministrativo mediante le unità amministrative nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo. Si consideri l'esempio di una grande università costituita da molti istituti autonomi (Istituto di economia, Istituto di ingegneria e così via). Ogni istituto di istruzione ha un team di amministratori IT che controllano l'accesso, gestiscono gli utenti e impostano i criteri per l'istituto di istruzione.
Un amministratore centrale potrebbe:
- Creare un'unità amministrativa per la School of Business.
- Popolare l'unità amministrativa con solo studenti e personale all'interno della School of Business.
- Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Microsoft Entra nell'unità amministrativa School of Business.
- Aggiungere il team IT della business school al ruolo, insieme al relativo ambito.
Vincoli
Ecco alcuni dei vincoli per le unità amministrative.
- non è possibile annidare le unità Amministrazione istrative.
- unità Amministrazione istrative non sono attualmente disponibili in Microsoft Entra ID Governance.
Gruppi
L'aggiunta di un gruppo a un'unità amministrativa comporta l'inserimento del gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non dei membri del gruppo. In altre parole, un amministratore con ambito nell'unità amministrativa può gestire le proprietà del gruppo, ad esempio il nome del gruppo o l'appartenenza, ma non può gestire le proprietà degli utenti o dei dispositivi all'interno di tale gruppo (a meno che tali utenti e dispositivi non vengano aggiunti separatamente come membri dell'unità amministrativa).
Ad esempio, un utente Amministrazione istrator con ambito un'unità amministrativa che contiene un gruppo può e non può eseguire le operazioni seguenti:
Autorizzazioni | Può eseguire |
---|---|
Gestire il nome del gruppo | ✅ |
Gestire l'appartenenza al gruppo | ✅ |
Gestire le proprietà utente per i singoli membri del gruppo | ❌ |
Gestire i metodi di autenticazione utente dei singoli membri del gruppo | ❌ |
Reimpostare le password dei singoli membri del gruppo | ❌ |
Affinché l'utente Amministrazione istrator gestisca le proprietà utente o i metodi di autenticazione utente dei singoli membri del gruppo, i membri del gruppo (utenti) devono essere aggiunti direttamente come membri dell'unità amministrativa.
Requisiti di licenza
L'uso di unità amministrative richiede una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa a cui sono assegnati ruoli della directory nell'ambito dell'unità amministrativa e una licenza Microsoft Entra ID Free per ogni membro dell'unità amministrativa. La creazione di unità amministrative è disponibile con una licenza gratuita di Microsoft Entra ID. Se si usano regole di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza microsoft Entra ID P1. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.
Gestire le unità amministrative
È possibile gestire le unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra, i cmdlet e gli script di PowerShell o l'API Microsoft Graph. Per altre informazioni, vedi:
- Creare o eliminare unità amministrative
- Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa
- Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica (anteprima)
- Assegnare i ruoli di Microsoft Entra con ambito unità amministrativa
- Usare le unità amministrative: illustra come usare le unità amministrative usando PowerShell.
- supporto grafico unità Amministrazione istrative: fornisce documentazione dettagliata su Microsoft Graph per le unità amministrative.
Pianificare le unità amministrative
È possibile utilizzare le unità amministrative per raggruppare logicamente le risorse di Microsoft Entra. Un'organizzazione il cui reparto IT è dislocato in varie parti del mondo potrebbe creare unità amministrative che definiscono i limiti geografici rilevanti. Nel caso di un'organizzazione globale con sotto-organizzazioni semi-autonome nelle operazioni, le sotto-organizzazioni potrebbero essere rappresentate dalle unità amministrative.
I criteri in base ai quali creare le unità amministrative dipenderanno dai requisiti univoci di un'organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi Microsoft 365. È consigliabile preparare le unità amministrative tenendo in considerazione il loro utilizzo nei servizi di Microsoft 365. È possibile ottenere il valore massimo dalle unità amministrative quando è possibile associare risorse comuni tra Microsoft 365 in un'unità amministrativa.
La creazione di unità amministrative in un'organizzazione è in genere costituita dalle fasi seguenti:
- Adozione iniziale: L'organizzazione inizierà a creare unità amministrative in base ai criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati.
- Eliminazione: Dopo aver definito i criteri, le unità amministrative che non sono più necessarie verranno eliminate.
- Stabilizzazione: La struttura organizzativa è definita e il numero di unità amministrative non cambierà significativamente a breve termine.
Scenari attualmente supportati
Come ruolo con privilegi Amministrazione istrator, è possibile usare l'interfaccia di amministrazione di Microsoft Entra per:
- Creare unità amministrative
- Aggiungere utenti, gruppi o dispositivi come membri di unità amministrative
- Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica (anteprima)
- Assegnare il personale IT ai ruoli di amministratore con ambito di unità amministrativa.
Gli amministratori con ambito unità amministrativa possono usare l’interfaccia di amministrazione di Microsoft 365 per la gestione di base degli utenti nelle unità amministrative. Un amministratore di gruppo con ambito unità amministrativa può gestire i gruppi usando PowerShell, Microsoft Graph e le interfacce di amministrazione di Microsoft 365.
Le unità amministrative applicano l'ambito solo alle autorizzazioni di gestione. Non impediscono a membri o agli amministratori di usare le proprie autorizzazioni utente predefinite per esplorare altri utenti, gruppi o risorse all'esterno dell'unità amministrativa. Nella interfaccia di amministrazione di Microsoft 365 gli utenti esterni alle unità amministrative di un amministratore con ambito vengono filtrati. Tuttavia, è possibile esplorare altri utenti nell'interfaccia di amministrazione di Microsoft Entra, PowerShell e in altri servizi Microsoft.
Nota
Solo le funzionalità descritte in questa sezione sono disponibili nell'interfaccia di amministrazione di Microsoft 365. Nessuna funzionalità a livello di organizzazione è disponibile per un ruolo Microsoft Entra con ambito unità amministrativa.
Le sezioni seguenti descrivono il supporto corrente per gli scenari di unità amministrative.
Gestione unità amministrative
Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
---|---|---|---|
Creare o eliminare unità amministrative | ✅ | ✅ | ✅ |
Aggiungere o rimuovere membri | ✅ | ✅ | ✅ |
Assegnare amministratori con ambito unità amministrativa | ✅ | ✅ | ✅ |
Aggiungere o rimuovere utenti o dispositivi in modo dinamico in base alle regole (anteprima) | ✅ | ✅ | ❌ |
Aggiungere o rimuovere gruppi in modo dinamico in base alle regole | ❌ | ❌ | ❌ |
Gestione degli utenti
Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
---|---|---|---|
Gestione amministrativa con ambito unità delle proprietà utente, password | ✅ | ✅ | ✅ |
Gestione amministrativa con ambito unità delle licenze utente | ✅ | ✅ | ✅ |
Blocco e sblocco degli accessi degli utenti con ambito unità amministrativa | ✅ | ✅ | ✅ |
Gestione con ambito unità amministrativa delle credenziali di autenticazione a più fattori degli utenti | ✅ | ✅ | ❌ |
Gestione dei gruppi
Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
---|---|---|---|
Amministrazione istrative creazione ed eliminazione di gruppi con ambito unità | ✅ | ✅ | ✅ |
gestione con ambito unità Amministrazione istrativo delle proprietà e dell'appartenenza ai gruppi di Microsoft 365 | ✅ | ✅ | ✅ |
Amministrazione gestione con ambito unità indipendente delle proprietà del gruppo e dell'appartenenza per tutti gli altri gruppi | ✅ | ✅ | ❌ |
Gestione con ambito unità amministrativa delle licenze di gruppo | ✅ | ✅ | ❌ |
Gestione dei dispositivi
Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
---|---|---|---|
Abilitare, disabilitare o eliminare dispositivi | ✅ | ✅ | ❌ |
Chiavi di ripristino di BitLocker | ✅ | ✅ | ❌ |
La gestione dei dispositivi in Intune non è attualmente supportata.