Gestire le autorizzazioni usando le unità amministrative in Microsoft Entra ID
Un'unità amministrativa è una risorsa Microsoft Entra che può essere un contenitore per altre risorse Microsoft Entra. Un'unità amministrativa può contenere solo utenti, gruppi o dispositivi.
Le unità amministrative limitano le autorizzazioni in un ruolo a qualsiasi parte dell'organizzazione definita. Ad esempio, è possibile usare unità amministrative per delegare il ruolo di amministratore del supporto tecnico agli esperti del supporto a livello di area. In questo modo, possono gestire gli utenti solo nell'area che supportano.
Scenario di distribuzione
Può essere utile limitare l'ambito amministrativo usando unità amministrative in organizzazioni costituite da divisioni indipendenti di qualsiasi tipo. Si consideri l'esempio di una grande università costituita da molte scuole autonome (School of Business, School of Engineering e così via). Ogni istituto di istruzione ha un team di amministratori IT che controllano l'accesso, gestiscono gli utenti e impostano i criteri per l'istituto di istruzione.
In questo scenario, un amministratore centrale può:
- Creare un'unità amministrativa per la School of Business.
- Popolare l'unità amministrativa con solo studenti e personale all'interno della School of Business.
- Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Microsoft Entra nell'unità amministrativa School of Business.
- Aggiungere il team IT della business school al ruolo, insieme al relativo ambito.
Requisiti di licenza
L'uso di unità amministrative richiede:
- Una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrative.
- Una licenza Microsoft Entra ID gratuita per ogni membro dell'unità amministrativa.
Se si usano regole di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza Microsoft Entra ID P1.
Gestire le unità amministrative
È possibile gestire le unità amministrative usando il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft API Graph.
Le unità amministrative possono essere usate per raggruppare logicamente Microsoft Entra risorse. Si considerino gli scenari seguenti:
- Il reparto IT di un'organizzazione è distribuito a livello globale. Di conseguenza, può creare unità amministrative che definiscono i limiti geografici rilevanti.
- Un'organizzazione globale dispone di sotto-organizzazioni semi-autonome nelle operazioni. Di conseguenza, le unità amministrative potrebbero rappresentare le sotto-organizzazioni.
I criteri in base ai quali vengono create le unità amministrative sono guidati dai requisiti univoci di un'organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi Microsoft 365. Quando si pianificano le unità amministrative, è necessario considerare come vengono usate nei servizi Microsoft 365. È possibile ottenere il valore massimo dalle unità amministrative quando è possibile associare risorse comuni tra Microsoft 365 in un'unità amministrativa.
Un'organizzazione può aspettarsi che le proprie unità amministrative attraversino le fasi seguenti:
- Adozione iniziale. L'organizzazione inizierà a creare unità amministrative in base ai criteri iniziali. Il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati.
- Eliminazione. Dopo aver definito i criteri, le unità amministrative non più necessarie verranno eliminate.
- Stabilizzazione. Dopo aver definito la struttura organizzativa, il numero di unità amministrative non cambierà in modo significativo a breve termine.
Scenari attualmente supportati
In qualità di amministratore globale o amministratore del ruolo con privilegi, è possibile usare il portale di Azure per:
- Creare unità amministrative.
- Aggiungere utenti, gruppi o dispositivi come membri di unità amministrative.
- Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.
- Assegnare il personale IT ai ruoli di amministratore con ambito di unità amministrativa.
Gli amministratori con ambito unità amministrativa possono usare l’interfaccia di amministrazione di Microsoft 365 per la gestione di base degli utenti nelle unità amministrative. Un amministratore di gruppo con ambito unità amministrativa può gestire i gruppi usando PowerShell, Microsoft Graph e le interfacce di amministrazione di Microsoft 365.
Le unità amministrative applicano l'ambito solo alle autorizzazioni di gestione. Non impediscono ai membri o agli amministratori di usare le autorizzazioni utente predefinite per esplorare altri utenti, gruppi o risorse all'esterno dell'unità amministrativa. Nell’interfaccia di amministrazione di Microsoft 365, gli utenti esterni alle unità amministrative di un amministratore con ambito vengono esclusi. Ma è possibile esplorare altri utenti nel portale di Azure, PowerShell e altri servizi Microsoft.
Nota
Nell’interfaccia di amministrazione di Microsoft 365 sono disponibili solo le funzionalità descritte in questa unità. Non sono disponibili funzionalità a livello di organizzazione per un ruolo Microsoft Entra con ambito unità amministrativa.
Le sezioni seguenti descrivono il supporto corrente per gli scenari di unità amministrative.
Gestione unità amministrative
| Autorizzazioni | Microsoft Graph/PowerShell | Portale di Azure | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Creare o eliminare unità amministrative | X | X | |
| Aggiungere o rimuovere membri singolarmente | X | X | |
| Aggiungere o rimuovere membri in blocco usando file CSV | X | Nessun piano da supportare | |
| Assegnare amministratori con ambito unità amministrativa | X | X | |
| Aggiungere o rimuovere utenti o dispositivi in modo dinamico in base alle regole (anteprima) | X | X | |
| Aggiungere o rimuovere gruppi in modo dinamico in base alle regole |
Gestione degli utenti
| Autorizzazioni | Microsoft Graph/PowerShell | Portale di Azure | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Gestione amministrativa con ambito unità delle proprietà utente, password | X | X | X |
| Gestione amministrativa con ambito unità delle licenze utente | X | X | |
| Blocco e sblocco degli accessi degli utenti con ambito unità amministrativa | X | X | X |
| Gestione con ambito unità amministrativa delle credenziali di autenticazione a più fattori degli utenti | X | X |
Gestione dei gruppi
| Autorizzazioni | Microsoft Graph/PowerShell | Portale di Azure | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Gestione con ambito unità amministrativa delle proprietà e dell'appartenenza ai gruppi | X | X | |
| Gestione con ambito unità amministrativa delle licenze di gruppo | X | X |
Nota
L'aggiunta di un gruppo a un'unità amministrativa non concede agli amministratori del gruppo con ambito la possibilità di gestire le proprietà per i singoli membri di tale gruppo. Ad esempio, un amministratore di gruppo con ambito può gestire l'appartenenza ai gruppi. Tuttavia, non possono gestire i metodi di autenticazione degli utenti che sono membri del gruppo aggiunto a un'unità amministrativa. Si supponga di voler gestire i metodi di autenticazione degli utenti membri del gruppo aggiunto a un'unità amministrativa. In questo caso, i singoli membri del gruppo devono essere aggiunti direttamente come utenti dell'unità amministrativa. All'amministratore del gruppo deve essere assegnato anche un ruolo in grado di gestire i metodi di autenticazione utente.
Gestione dei dispositivi
| Autorizzazioni | Microsoft Graph/PowerShell | Portale di Azure | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Abilitare, disabilitare o eliminare dispositivi | X | X | |
| Chiavi di ripristino di BitLocker | X | X |
Avviso
La gestione dei dispositivi in Intune non è attualmente supportata.
Vincoli
Le organizzazioni devono tenere presenti i vincoli seguenti quando si usano unità amministrative per gestire i livelli di autorizzazione:
- Le unità amministrative non possono essere annidate.
- Gli amministratori dell'account utente con ambito unità amministrativa non possono creare o eliminare utenti.
- Un'assegnazione di ruolo con ambito non si applica ai membri dei gruppi aggiunti a un'unità amministrativa, a meno che i membri del gruppo non vengano aggiunti direttamente all'unità amministrativa. Per altre informazioni, vedere Aggiungere membri a un'unità amministrativa.
- Le unità amministrative non sono attualmente disponibili in Microsoft Entra ID Governance.