Creare unità amministrative

  • 3 minuti

Quando si progetta una strategia per la gestione delle identità e della governance in Azure, è fondamentale pianificare una gestione completa dell'infrastruttura di Microsoft Entra. Può essere utile limitare l'ambito amministrativo usando le unità amministrative per l'organizzazione. La ripartizione di ruoli e responsabilità è particolarmente utile per le organizzazioni che hanno molte divisioni indipendenti.

Si prendano ad esempio in considerazione le attività di gestione per una grande università composta da diverse facoltà, come Economia, Ingegneria e Medicina. L'università include uffici amministrativi, edifici accademici, edifici sociali e alloggi per studenti. Per motivi di sicurezza, ogni ufficio commerciale ha una propria rete interna per risorse come server, stampanti e fax. Ogni edificio accademico è connesso alla rete universitaria per consentire a insegnanti e studenti di accedere ai propri account. La rete è disponibile anche per studenti e membri più anziani nei dormitori e negli edifici sociali. All'interno dell'università, gli utenti guest richiedono l'accesso a Internet tramite la rete universitaria.

L'università ha un team di amministratori IT che collaborano per controllare l'accesso alle risorse, gestire gli utenti e impostare i criteri per le facoltà. Alcuni amministratori dispongono di privilegi più elevati rispetto ad altri a seconda dell'ambito delle proprie responsabilità. È necessaria un'autorità centrale per pianificare, gestire e supervisionare l'intera struttura. In questo scenario è possibile assegnare unità amministrative per semplificare la gestione dell'organizzazione.

Diagram of administrative units for each university department.

Aspetti su cui riflettere riguardo alle unità amministrative

Considerare come un ruolo di amministratore centrale può usare le unità amministrative per fornire supporto alla facoltà di Ingegneria nello scenario illustrato:

  • Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Microsoft Entra nell'unità amministrativa della facoltà di Ingegneria.

  • Creare un'unità amministrativa per la facoltà di Ingegneria.

  • Inserire nell'unità amministrativa solo gli studenti, il personale e le risorse della facoltà di Ingegneria.

  • Aggiungere al ruolo il team IT della facoltà di Ingegneria insieme al rispettivo ambito.

Aspetti da considerare quando si gestiscono le unità amministrative

Riflettere su come implementare le unità amministrative nell'organizzazione. Ecco alcune considerazioni:

  • Strumenti di gestione. Esaminare le opzioni per la gestione delle unità amministrative. È possibile usare il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.

  • Requisiti dei ruoli nel portale di Azure. Pianificare la strategia per le unità amministrative in base ai privilegi dei ruoli. Nel portale di Azure le unità amministrative possono essere gestite solo dagli amministratori globali o dagli amministratori ruolo con privilegi.

  • Ambito delle unità amministrative. Tenere presente che l'ambito di un'unità amministrativa si applica solo alle autorizzazioni di gestione. I membri e gli amministratori di un'unità amministrativa possono usare le proprie autorizzazioni utente predefinite per esaminare le informazioni relative ad altri utenti, gruppi o risorse all'esterno dell'unità amministrativa.