Beheereenheden in Azure Active Directory

In dit artikel worden beheereenheden in Azure Active Directory (Azure AD) beschreven. Een beheereenheid is een Azure AD-resource die een container kan zijn voor andere Azure AD-resources. Een beheereenheid kan alleen gebruikers, groepen en apparaten bevatten.

Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld via beheereenheden de rol Helpdeskbeheerder delegeren aan regionale ondersteuningsspecialisten, zodat deze alleen de gebruikers beheren in de regio die zij ondersteunen.

Implementatiescenario

Het kan nuttig zijn het beheerbereik te beperken met behulp van beheereenheden in organisaties die bestaan uit onafhankelijke divisies van welke aard dan ook. Bekijk het voorbeeld van een grote universiteit die bestaat uit een groot aantal zelfstandige scholen (faculteit Bedrijfskunde, faculteit Bouwkunde, enzovoort). Elke school heeft een team van IT-beheerders die de toegang beheren, gebruikers beheren en beleidsregels voor hun school instellen.

Een centrale beheerder kan het volgende doen:

  • Een beheereenheid maken voor de faculteit Bedrijfskunde.
  • Vul de beheereenheid in met alleen studenten en medewerkers binnen de School of Business.
  • Maak een rol met beheerdersmachtigingen voor alleen Azure AD gebruikers in de beheereenheid School of Business.
  • Het IT-team van de faculteit Bedrijfskunde toevoegen aan de rol samen met het bijbehorende bereik.

Schermopname van de pagina Apparaten en beheereenheden met de optie Verwijderen uit beheereenheid.

Beperkingen

Hier volgen enkele beperkingen voor beheereenheden.

  • Beheereenheden kunnen niet worden genest.
  • Beheerders van gebruikersaccounts binnen het bereik van een beheereenheid kunnen geen gebruikers maken of verwijderen.
  • Beheereenheden zijn momenteel niet beschikbaar in Azure AD Identity Governance.

Groepen

Als u een groep toevoegt aan een beheereenheid, wordt de groep zelf in het beheerbereik van de beheereenheid geplaatst, maar niet in de leden van de groep. Met andere woorden, een beheerder binnen het bereik van de beheereenheid kan eigenschappen van de groep beheren, zoals groepsnaam of lidmaatschap, maar ze kunnen geen eigenschappen van de gebruikers of apparaten binnen die groep beheren (tenzij deze gebruikers en apparaten afzonderlijk worden toegevoegd als leden van de beheereenheid).

Een gebruikerbeheerder die is gericht op een beheereenheid die een groep bevat, kan bijvoorbeeld het volgende niet doen:

Machtigingen Wel
De naam van de groep beheren ✔️
Het lidmaatschap van de groep beheren ✔️
De gebruikerseigenschappen voor afzonderlijke leden van de groep beheren
De gebruikersverificatiemethoden van afzonderlijke leden van de groep beheren
De wachtwoorden van afzonderlijke leden van de groep opnieuw instellen

Om de gebruikersbeheerder de gebruikerseigenschappen of verificatiemethoden van afzonderlijke leden van de groep te kunnen beheren, moeten de groepsleden (gebruikers) rechtstreeks worden toegevoegd als leden van de beheereenheid.

Licentievereisten

Voor het gebruik van beheereenheden is een Azure AD Premium P1 licentie vereist voor elke beheerder van de beheereenheid en een Azure AD Free licentie voor elk lid van de beheereenheid. Als u dynamische lidmaatschapsregels voor beheereenheden gebruikt, heeft elk lid van de beheereenheid een Azure AD Premium P1 licentie nodig. Als u de juiste licentie voor uw vereisten wilt vinden, raadpleegt u De algemeen beschikbare functies van de gratis en Premium-edities vergelijken.

Beheereenheden beheren

U kunt beheereenheden beheren met behulp van de Azure Portal, PowerShell-cmdlets en -scripts of Microsoft Graph API. Zie voor meer informatie:

Plan uw beheereenheden

U kunt beheereenheden gebruiken voor het logisch groeperen van Azure Active Directory-resources. Het kan zijn dat een organisatie waarvan de IT-afdeling over de hele wereld is verspreid beheereenheden maakt waarmee de relevante geografische grenzen worden gedefinieerd. In een ander scenario waarin een wereldwijde organisatie suborganisaties heeft die semi-autonoom hun activiteiten uitvoeren, kunnen beheereenheden een weerspiegeling vormen van de suborganisaties.

De criteria voor het maken van beheereenheden worden bepaald door de unieke vereisten van een organisatie. Beheereenheden zijn een veelgebruikte manier om structuur aan te brengen in Microsoft 365-services. Het wordt aanbevolen om bij het voorbereiden van uw beheereenheden rekening te houden met het gebruik ervan in Microsoft 365-services. U kunt beheereenheden optimaal benutten wanneer u veelgebruikte resources in Microsoft 365 kunt koppelen in een beheereenheid.

Het maken van beheereenheden in de organisatie doorloopt doorgaans de volgende fasen:

  1. Eerste ingebruikname: Uw organisatie begint met het maken van beheereenheden op basis van aanvankelijke criteria en het aantal beheereenheden zal toenemen naarmate de criteria worden verfijnd.
  2. Snoeien: Nadat de criteria zijn gedefinieerd, worden beheereenheden verwijderd die niet meer nodig zijn.
  3. Stabilisatie: De structuur van uw organisatie is gedefinieerd en het aantal beheereenheden zal op korte termijn niet beduidend veranderen.

Scenario's die momenteel worden ondersteund

Als globale beheerder of beheerder met bevoorrechte rol kunt u de Azure Portal gebruiken om:

  • Beheereenheden maken
  • Gebruikers, groepen of apparaten toevoegen als leden van beheereenheden
  • Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels (preview)
  • Wijs IT-personeel toe aan de rol Beheerder voor een specifieke beheereenheid.

Beheerders van een specifieke beheereenheid kunnen het Microsoft 365-beheercentrum gebruiken voor het basisbeheer van gebruikers in hun beheereenheden. Een groepsbeheerder voor een specifieke beheereenheid kan groepen beheren met PowerShell, Microsoft Graph en de Microsoft 365-beheercentra.

Het bereik van beheereenheden is alleen van toepassing op beheermachtigingen. Ze verhinderen niet dat leden of beheerders hun standaardgebruikersmachtigingen gebruiken om door andere gebruikers, groepen of resources buiten de beheereenheid te bladeren. In de Microsoft 365-beheercentrum worden gebruikers buiten de beheereenheden van een beheerder gefilterd. U kunt echter door andere gebruikers bladeren in de Azure Portal, PowerShell en andere Microsoft-services.

Notitie

Alleen de functies die in deze sectie worden beschreven, zijn beschikbaar in het Microsoft 365-beheercentrum. Er zijn geen functies op organisatieniveau beschikbaar voor een Azure AD-rol met het bereik van de beheereenheid.

In de volgende secties wordt de huidige ondersteuning voor scenario's met beheereenheden beschreven.

Het beheren van beheereenheden

Machtigingen Microsoft Graph/PowerShell Azure Portal Het Microsoft 365-beheercentrum
Beheereenheden maken of verwijderen ✔️ ✔️ ✔️
Leden toevoegen of verwijderen ✔️ ✔️ ✔️
Beheerders binnen het bereik van een beheereenheid toewijzen ✔️ ✔️ ✔️
Gebruikers of apparaten dynamisch toevoegen of verwijderen op basis van regels (preview) ✔️ ✔️
Groepen dynamisch toevoegen of verwijderen op basis van regels

Gebruikersbeheer

Machtigingen Microsoft Graph/PowerShell Azure Portal Het Microsoft 365-beheercentrum
Beheer van gebruikerseigenschappen, wachtwoorden binnen het bereik van beheereenheden ✔️ ✔️ ✔️
Beheer van gebruikerslicenties binnen het bereik van beheereenheden ✔️ ✔️ ✔️
Blokkeren en deblokkeren van gebruikersaanmeldingen voor een specifieke beheereenheid ✔️ ✔️ ✔️
Beheer van gebruikersreferenties voor meervoudige verificatie binnen het bereik van beheereenheden ✔️ ✔️

Groepsbeheer

Machtigingen Microsoft Graph/PowerShell Azure Portal Het Microsoft 365-beheercentrum
Het maken en verwijderen van groepen binnen het bereik van de beheereenheid ✔️ ✔️ ✔️
Beheer van groepseigenschappen en lidmaatschap binnen het bereik van beheereenheden ✔️ ✔️ ✔️
Beheer van groepslicenties voor een specifieke beheereenheid ✔️ ✔️

Apparaatbeheer

Machtigingen Microsoft Graph/PowerShell Azure Portal Het Microsoft 365-beheercentrum
Apparaten inschakelen, uitschakelen of verwijderen ✔️ ✔️
BitLocker-herstelsleutels lezen ✔️ ✔️

Het beheren van apparaten in Intune wordt momenteel niet ondersteund.

Volgende stappen