Udostępnij za pośrednictwem


Jednostki administracyjne w usłudze Microsoft Entra ID

W tym artykule opisano jednostki administracyjne w usłudze Microsoft Entra ID. Jednostka administracyjna to zasób Microsoft Entra, który może być kontenerem dla innych zasobów Microsoft Entra. Jednostka administracyjna może zawierać tylko użytkowników, grupy lub urządzenia.

Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej zdefiniowanej części organizacji. Można na przykład użyć jednostek administracyjnych w celu delegowania roli Administrator pomocy technicznej do regionalnych specjalistów ds. pomocy technicznej, aby mogli oni zarządzać użytkownikami tylko w regionie, który obsługują. Należy pamiętać, że w przypadku przypisania roli do użytkownika, który nie jest członkiem jednostki administracyjnej, zakres roli to cała dzierżawa.

Użytkownicy mogą być członkami wielu jednostek administracyjnych. Możesz na przykład dodać użytkowników do jednostek administracyjnych według lokalizacji geograficznej i podziału; Megan Bowen może znajdować się w jednostkach administracyjnych "Seattle" i "Marketing".

Scenariusz wdrażania

Może być przydatne ograniczenie zakresu administracyjnego przy użyciu jednostek administracyjnych w organizacjach składających się z niezależnych podziałów dowolnego rodzaju. Rozważmy przykład dużego uniwersytetu, który składa się z wielu autonomicznych szkół (School of Business, School of Engineering itd.). Każda szkoła ma zespół administratorów IT, którzy kontrolują dostęp, zarządzają użytkownikami i ustawiają zasady dla swojej szkoły.

Administrator centralny może:

  • Utwórz jednostkę administracyjną dla szkoły biznesu.
  • Wypełnij jednostkę administracyjną tylko uczniami i pracownikami w szkole biznesu.
  • Utwórz rolę z uprawnieniami administracyjnymi tylko dla użytkowników firmy Microsoft Entra w jednostce administracyjnej School of Business.
  • Dodaj do roli zespół IT szkoły biznesowej wraz z jej zakresem.

Zrzut ekranu przedstawiający stronę Urządzenia i jednostki administracyjne z opcją Usuń z jednostki administracyjnej.

Ograniczenia

Poniżej przedstawiono niektóre ograniczenia dotyczące jednostek administracyjnych.

Grupy

Dodanie grupy do jednostki administracyjnej powoduje przejście grupy do zakresu zarządzania jednostki administracyjnej, ale nie do członków grupy. Innymi słowy, administrator o zakresie jednostki administracyjnej może zarządzać właściwościami grupy, takimi jak nazwa grupy lub członkostwo, ale nie może zarządzać właściwościami użytkowników lub urządzeń w tej grupie (chyba że ci użytkownicy i urządzenia zostaną oddzielnie dodani jako członkowie jednostki administracyjnej).

Na przykład administrator użytkowników w zakresie jednostki administracyjnej, która zawiera grupę, może i nie może wykonać następujących czynności:

Uprawnienia Może to zrobić
Zarządzanie nazwą grupy
Zarządzanie członkostwem grupy
Zarządzanie właściwościami użytkownika dla poszczególnych członków grupy
Zarządzanie metodami uwierzytelniania użytkowników poszczególnych członków grupy
Resetowanie haseł poszczególnych członków grupy

Aby administrator użytkowników mógł zarządzać właściwościami użytkownika lub metodami uwierzytelniania użytkowników poszczególnych członków grupy, członkowie grupy (użytkownicy) muszą zostać dodani bezpośrednio jako członkowie jednostki administracyjnej.

Wymagania dotyczące licencji

Korzystanie z jednostek administracyjnych wymaga licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej, który ma przypisane role katalogu w zakresie jednostki administracyjnej, oraz licencji Microsoft Entra ID Bezpłatna dla każdego członka jednostki administracyjnej. Tworzenie jednostek administracyjnych jest dostępne za pomocą licencji Microsoft Entra ID Free. Jeśli używasz reguł dla dynamicznych grup członkostwa dla jednostek administracyjnych, każdy członek jednostki administracyjnej wymaga licencji Microsoft Entra ID P1. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Zarządzanie jednostkami administracyjnymi

Jednostki administracyjne można zarządzać przy użyciu centrum administracyjnego firmy Microsoft, poleceń cmdlet programu PowerShell i skryptów lub interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz:

Planowanie jednostek administracyjnych

Jednostki administracyjne umożliwiają logiczne grupowanie zasobów firmy Microsoft Entra. Organizacja, której dział IT jest rozproszony globalnie, może tworzyć jednostki administracyjne definiujące odpowiednie granice geograficzne. W innym scenariuszu, w którym organizacja globalna ma podorganizacje, które są częściowo autonomiczne w swoich operacjach, jednostki administracyjne mogą reprezentować podorganizacje.

Kryteria tworzenia jednostek administracyjnych są oparte na unikatowych wymaganiach organizacji. Jednostki administracyjne to typowy sposób definiowania struktury w usługach platformy Microsoft 365. Zalecamy przygotowanie jednostek administracyjnych do ich używania w usługach platformy Microsoft 365. Maksymalną wartość z jednostek administracyjnych można uzyskać, gdy możesz skojarzyć typowe zasoby w usłudze Microsoft 365 w ramach jednostki administracyjnej.

Możesz oczekiwać, że tworzenie jednostek administracyjnych w organizacji przejdzie przez następujące etapy:

  1. Wstępne wdrożenie: Twoja organizacja rozpocznie tworzenie jednostek administracyjnych na podstawie początkowych kryteriów, a liczba jednostek administracyjnych zwiększy się w miarę uściślinia kryteriów.
  2. Oczyszczanie: po zdefiniowaniu kryteriów jednostki administracyjne, które nie są już wymagane, zostaną usunięte.
  3. Stabilizacja: Struktura organizacyjna jest zdefiniowana, a liczba jednostek administracyjnych nie zmieni się znacząco w krótkim okresie.

Obecnie obsługiwane scenariusze

Jako administrator ról uprzywilejowanych możesz użyć centrum administracyjnego firmy Microsoft Entra do:

  • Tworzenie jednostek administracyjnych
  • Dodawanie użytkowników, grup lub urządzeń jako członków jednostek administracyjnych
  • Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł dla dynamicznych grup członkostwa
  • Przypisz pracowników IT do ról administratora w zakresie jednostki administracyjnej.

Administratorzy z zakresem jednostki administracyjnej mogą używać Centrum administracyjne platformy Microsoft 365 do podstawowego zarządzania użytkownikami w swoich jednostkach administracyjnych. Administrator grupy z zakresem jednostki administracyjnej może zarządzać grupami przy użyciu programu PowerShell, programu Microsoft Graph i Centrum administracyjne platformy Microsoft 365 s.

Jednostki administracyjne stosują zakres tylko do uprawnień zarządzania. Nie uniemożliwiają członkom ani administratorom używania domyślnych uprawnień użytkownika do przeglądania innych użytkowników, grup lub zasobów poza jednostką administracyjną. W Centrum administracyjne platformy Microsoft 365 użytkownicy spoza jednostek administracyjnych administratora o określonym zakresie są filtrowani. Możesz jednak przeglądać innych użytkowników w centrum administracyjnym firmy Microsoft Entra, programie PowerShell i innych usługi firmy Microsoft.

Uwaga

W Centrum administracyjne platformy Microsoft 365 są dostępne tylko funkcje opisane w tej sekcji. Dla roli Entra firmy Microsoft z zakresem jednostki administracyjnej nie są dostępne żadne funkcje na poziomie organizacji.

W poniższych sekcjach opisano bieżącą obsługę scenariuszy jednostki administracyjnej.

Zarządzanie jednostkami administracyjnymi

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne Microsoft Entra Centrum administracyjne platformy Microsoft 365
Tworzenie lub usuwanie jednostek administracyjnych
Dodawanie lub usuwanie członków
Przypisywanie administratorów o zakresie jednostki administracyjnej
Dynamiczne dodawanie lub usuwanie użytkowników lub urządzeń na podstawie reguł
Dynamiczne dodawanie lub usuwanie grup na podstawie reguł

Zarządzanie użytkownikami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne Microsoft Entra Centrum administracyjne platformy Microsoft 365
Zarządzanie właściwościami użytkownika, hasłami w zakresie jednostki administracyjnej
Zarządzanie licencjami użytkowników w zakresie jednostki administracyjnej
Blokowanie i odblokowywanie logowania użytkowników w zakresie jednostki administracyjnej
Zarządzanie poświadczeniami uwierzytelniania wieloskładnikowego użytkownika w zakresie jednostki administracyjnej

Zarządzanie grupami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne Microsoft Entra Centrum administracyjne platformy Microsoft 365
Tworzenie i usuwanie grup w zakresie jednostki administracyjnej
Zarządzanie właściwościami grupy i członkostwem w grupach platformy Microsoft 365 w zakresie jednostki administracyjnej
Administracyjne zarządzanie właściwościami grupy i członkostwem w zakresie jednostki administracyjnej dla wszystkich innych grup
Zarządzanie licencjonowaniem grup w zakresie jednostki administracyjnej

Zarządzanie urządzeniami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne Microsoft Entra Centrum administracyjne platformy Microsoft 365
Włączanie, wyłączanie lub usuwanie urządzeń
Odczytywanie kluczy odzyskiwania funkcji BitLocker

Zarządzanie urządzeniami w usłudze Intune nie jest obecnie obsługiwane.

Następne kroki