Jednostki Administracja istracyjne w identyfikatorze Entra firmy Microsoft

W tym artykule opisano jednostki administracyjne w usłudze Microsoft Entra ID. Jednostka administracyjna to zasób Microsoft Entra, który może być kontenerem dla innych zasobów Microsoft Entra. Jednostka administracyjna może zawierać tylko użytkowników, grupy lub urządzenia.

Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej zdefiniowanej części organizacji. Można na przykład użyć jednostek administracyjnych w celu delegowania roli Administrator pomocy technicznej do regionalnych specjalistów ds. pomocy technicznej, aby mogli oni zarządzać użytkownikami tylko w regionie, który obsługują.

Użytkownicy mogą być członkami wielu jednostek administracyjnych. Możesz na przykład dodać użytkowników do jednostek administracyjnych według lokalizacji geograficznej i podziału; Megan Bowen może znajdować się w jednostkach administracyjnych "Seattle" i "Marketing".

Scenariusz wdrażania

Może być przydatne ograniczenie zakresu administracyjnego przy użyciu jednostek administracyjnych w organizacjach składających się z niezależnych podziałów dowolnego rodzaju. Rozważmy przykład dużego uniwersytetu, który składa się z wielu autonomicznych szkół (School of Business, School of Engineering itd.). Każda szkoła ma zespół administratorów IT, którzy kontrolują dostęp, zarządzają użytkownikami i ustawiają zasady dla swojej szkoły.

Administrator centralny może:

  • Utwórz jednostkę administracyjną dla szkoły biznesu.
  • Wypełnij jednostkę administracyjną tylko uczniami i pracownikami w szkole biznesu.
  • Utwórz rolę z uprawnieniami administracyjnymi tylko dla użytkowników firmy Microsoft Entra w jednostce administracyjnej School of Business.
  • Dodaj do roli zespół IT szkoły biznesowej wraz z jej zakresem.

Screenshot of Devices and Administrative units page with Remove from administrative unit option.

Ograniczenia

Poniżej przedstawiono niektóre ograniczenia dotyczące jednostek administracyjnych.

Grupy

Dodanie grupy do jednostki administracyjnej powoduje przejście grupy do zakresu zarządzania jednostki administracyjnej, ale nie do członków grupy. Innymi słowy, administrator o zakresie jednostki administracyjnej może zarządzać właściwościami grupy, takimi jak nazwa grupy lub członkostwo, ale nie może zarządzać właściwościami użytkowników lub urządzeń w tej grupie (chyba że ci użytkownicy i urządzenia zostaną oddzielnie dodani jako członkowie jednostki administracyjnej).

Na przykład użytkownik Administracja istrator zakresem do jednostki administracyjnej, która zawiera grupę, może i nie może wykonać następujących czynności:

Uprawnienia Może to zrobić
Zarządzanie nazwą grupy
Zarządzanie członkostwem grupy
Zarządzanie właściwościami użytkownika dla poszczególnych członków grupy
Zarządzanie metodami uwierzytelniania użytkowników poszczególnych członków grupy
Resetowanie haseł poszczególnych członków grupy

Aby użytkownik Administracja istrator zarządzał właściwościami użytkownika lub metodami uwierzytelniania użytkowników poszczególnych członków grupy, członkowie grupy (użytkownicy) muszą zostać dodani bezpośrednio jako członkowie jednostki administracyjnej.

Wymagania dotyczące licencji

Korzystanie z jednostek administracyjnych wymaga licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej, który ma przypisane role katalogu w zakresie jednostki administracyjnej, oraz licencji Microsoft Entra ID Bezpłatna dla każdego członka jednostki administracyjnej. Tworzenie jednostek administracyjnych jest dostępne za pomocą licencji Microsoft Entra ID Free. Jeśli używasz reguł członkostwa dynamicznego dla jednostek administracyjnych, każdy członek jednostki administracyjnej wymaga licencji Microsoft Entra ID P1. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Zarządzanie jednostkami administracyjnymi

Jednostki administracyjne można zarządzać przy użyciu centrum administracyjnego firmy Microsoft, poleceń cmdlet programu PowerShell i skryptów lub interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz:

Planowanie jednostek administracyjnych

Jednostki administracyjne umożliwiają logiczne grupowanie zasobów firmy Microsoft Entra. Organizacja, której dział IT jest rozproszony globalnie, może tworzyć jednostki administracyjne definiujące odpowiednie granice geograficzne. W innym scenariuszu, w którym organizacja globalna ma podorganizacje, które są częściowo autonomiczne w swoich operacjach, jednostki administracyjne mogą reprezentować podorganizacje.

Kryteria tworzenia jednostek administracyjnych są oparte na unikatowych wymaganiach organizacji. Administracja jednostek astracyjnych to typowy sposób definiowania struktury w usługach Platformy Microsoft 365. Zalecamy przygotowanie jednostek administracyjnych do ich używania w usługach platformy Microsoft 365. Maksymalną wartość z jednostek administracyjnych można uzyskać, gdy możesz skojarzyć typowe zasoby w usłudze Microsoft 365 w ramach jednostki administracyjnej.

Możesz oczekiwać, że tworzenie jednostek administracyjnych w organizacji przejdzie przez następujące etapy:

  1. Wstępne wdrożenie: Twoja organizacja rozpocznie tworzenie jednostek administracyjnych na podstawie początkowych kryteriów, a liczba jednostek administracyjnych zwiększy się w miarę uściślinia kryteriów.
  2. Oczyszczanie: po zdefiniowaniu kryteriów jednostki administracyjne, które nie są już wymagane, zostaną usunięte.
  3. Stabilizacja: Struktura organizacyjna jest zdefiniowana, a liczba jednostek administracyjnych nie zmieni się znacząco w krótkim okresie.

Obecnie obsługiwane scenariusze

Jako administrator globalny Administracja lub Administracja istrator ról uprzywilejowanych możesz użyć centrum administracyjnego firmy Microsoft Entra, aby:

  • Tworzenie jednostek administracyjnych
  • Dodawanie użytkowników, grup lub urządzeń jako członków jednostek administracyjnych
  • Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł członkostwa dynamicznego (wersja zapoznawcza)
  • Przypisz pracowników IT do ról administratora w zakresie jednostki administracyjnej.

Administracja administratorzy z zakresem jednostki mogą używać Centrum administracyjne platformy Microsoft 365 do podstawowego zarządzania użytkownikami w swoich jednostkach administracyjnych. Administrator grupy z zakresem jednostki administracyjnej może zarządzać grupami przy użyciu programu PowerShell, programu Microsoft Graph i Centrum administracyjne platformy Microsoft 365 s.

Administracja istracyjne jednostki stosują zakres tylko do uprawnień zarządzania. Nie uniemożliwiają członkom ani administratorom używania domyślnych uprawnień użytkownika do przeglądania innych użytkowników, grup lub zasobów poza jednostką administracyjną. W Centrum administracyjne platformy Microsoft 365 użytkownicy spoza jednostek administracyjnych administratora o określonym zakresie są filtrowani. Możesz jednak przeglądać innych użytkowników w centrum administracyjnym firmy Microsoft Entra, programie PowerShell i innych usługi firmy Microsoft.

Uwaga

W Centrum administracyjne platformy Microsoft 365 są dostępne tylko funkcje opisane w tej sekcji. Dla roli Entra firmy Microsoft z zakresem jednostki administracyjnej nie są dostępne żadne funkcje na poziomie organizacji.

W poniższych sekcjach opisano bieżącą obsługę scenariuszy jednostki administracyjnej.

zarządzanie jednostkami Administracja istracyjnymi

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne firmy Microsoft Entra Centrum administracyjne platformy Microsoft 365
Tworzenie lub usuwanie jednostek administracyjnych
Dodawanie lub usuwanie członków
Przypisywanie administratorów o zakresie jednostki administracyjnej
Dynamiczne dodawanie lub usuwanie użytkowników lub urządzeń na podstawie reguł (wersja zapoznawcza)
Dynamiczne dodawanie lub usuwanie grup na podstawie reguł

Zarządzanie użytkownikami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne firmy Microsoft Entra Centrum administracyjne platformy Microsoft 365
Administracja istracyjne zarządzanie właściwościami użytkownika, hasłami w zakresie jednostki
Administracja istracyjne zarządzanie licencjami użytkowników w zakresie jednostek
Administracja blokowanie i odblokowywanie logowania użytkowników w zakresie jednostki
Administracja istracyjne zarządzanie poświadczeniami uwierzytelniania wieloskładnikowego użytkownika

Zarządzanie grupami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne firmy Microsoft Entra Centrum administracyjne platformy Microsoft 365
Administracja istracyjne tworzenie i usuwanie grup w zakresie jednostki
Administracja istracyjne zarządzanie właściwościami grupy i członkostwem w grupach platformy Microsoft 365
Administracja istracyjne zarządzanie właściwościami grupy i członkostwem we wszystkich innych grupach
Administracja istracyjne zarządzanie licencjonowaniem grup w zakresie jednostek

Zarządzanie urządzeniami

Uprawnienia Microsoft Graph/PowerShell Centrum administracyjne firmy Microsoft Entra Centrum administracyjne platformy Microsoft 365
Włączanie, wyłączanie lub usuwanie urządzeń
Odczytywanie kluczy odzyskiwania funkcji BitLocker

Zarządzanie urządzeniami w usłudze Intune nie jest obecnie obsługiwane.

Następne kroki