Jednostki administracyjne w usłudze Microsoft Entra ID
W tym artykule opisano jednostki administracyjne w usłudze Microsoft Entra ID. Jednostka administracyjna to zasób Microsoft Entra, który może być kontenerem dla innych zasobów Microsoft Entra. Jednostka administracyjna może zawierać tylko użytkowników, grupy lub urządzenia.
Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej zdefiniowanej części organizacji. Można na przykład użyć jednostek administracyjnych w celu delegowania roli Administrator pomocy technicznej do regionalnych specjalistów ds. pomocy technicznej, aby mogli oni zarządzać użytkownikami tylko w regionie, który obsługują. Należy pamiętać, że w przypadku przypisania roli do użytkownika, który nie jest członkiem jednostki administracyjnej, zakres roli to cała dzierżawa.
Użytkownicy mogą być członkami wielu jednostek administracyjnych. Możesz na przykład dodać użytkowników do jednostek administracyjnych według lokalizacji geograficznej i podziału; Megan Bowen może znajdować się w jednostkach administracyjnych "Seattle" i "Marketing".
Scenariusz wdrażania
Może być przydatne ograniczenie zakresu administracyjnego przy użyciu jednostek administracyjnych w organizacjach składających się z niezależnych podziałów dowolnego rodzaju. Rozważmy przykład dużego uniwersytetu, który składa się z wielu autonomicznych szkół (School of Business, School of Engineering itd.). Każda szkoła ma zespół administratorów IT, którzy kontrolują dostęp, zarządzają użytkownikami i ustawiają zasady dla swojej szkoły.
Administrator centralny może:
- Utwórz jednostkę administracyjną dla szkoły biznesu.
- Wypełnij jednostkę administracyjną tylko uczniami i pracownikami w szkole biznesu.
- Utwórz rolę z uprawnieniami administracyjnymi tylko dla użytkowników firmy Microsoft Entra w jednostce administracyjnej School of Business.
- Dodaj do roli zespół IT szkoły biznesowej wraz z jej zakresem.
Ograniczenia
Poniżej przedstawiono niektóre ograniczenia dotyczące jednostek administracyjnych.
- Nie można zagnieżdżać jednostek administracyjnych.
- Jednostki administracyjne nie są obecnie dostępne w Zarządzanie tożsamością Microsoft Entra.
Grupy
Dodanie grupy do jednostki administracyjnej powoduje przejście grupy do zakresu zarządzania jednostki administracyjnej, ale nie do członków grupy. Innymi słowy, administrator o zakresie jednostki administracyjnej może zarządzać właściwościami grupy, takimi jak nazwa grupy lub członkostwo, ale nie może zarządzać właściwościami użytkowników lub urządzeń w tej grupie (chyba że ci użytkownicy i urządzenia zostaną oddzielnie dodani jako członkowie jednostki administracyjnej).
Na przykład administrator użytkowników w zakresie jednostki administracyjnej, która zawiera grupę, może i nie może wykonać następujących czynności:
| Uprawnienia | Może to zrobić |
|---|---|
| Zarządzanie nazwą grupy | ✅ |
| Zarządzanie członkostwem grupy | ✅ |
| Zarządzanie właściwościami użytkownika dla poszczególnych członków grupy | ❌ |
| Zarządzanie metodami uwierzytelniania użytkowników poszczególnych członków grupy | ❌ |
| Resetowanie haseł poszczególnych członków grupy | ❌ |
Aby administrator użytkowników mógł zarządzać właściwościami użytkownika lub metodami uwierzytelniania użytkowników poszczególnych członków grupy, członkowie grupy (użytkownicy) muszą zostać dodani bezpośrednio jako członkowie jednostki administracyjnej.
Wymagania dotyczące licencji
Korzystanie z jednostek administracyjnych wymaga licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej, który ma przypisane role katalogu w zakresie jednostki administracyjnej, oraz licencji Microsoft Entra ID Bezpłatna dla każdego członka jednostki administracyjnej. Tworzenie jednostek administracyjnych jest dostępne za pomocą licencji Microsoft Entra ID Free. Jeśli używasz reguł dla dynamicznych grup członkostwa dla jednostek administracyjnych, każdy członek jednostki administracyjnej wymaga licencji Microsoft Entra ID P1. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.
Zarządzanie jednostkami administracyjnymi
Jednostki administracyjne można zarządzać przy użyciu centrum administracyjnego firmy Microsoft, poleceń cmdlet programu PowerShell i skryptów lub interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz:
- Tworzenie lub usuwanie jednostek administracyjnych
- Dodawanie użytkowników, grup lub urządzeń do jednostki administracyjnej
- Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł dla dynamicznych grup członkostwa
- Przypisywanie ról firmy Microsoft Entra z zakresem jednostki administracyjnej
- Praca z jednostkami administracyjnymi: obejmuje sposób pracy z jednostkami administracyjnymi przy użyciu programu PowerShell.
- Obsługa programu Graph jednostki administracyjnej: zawiera szczegółową dokumentację dotyczącą programu Microsoft Graph dla jednostek administracyjnych.
Planowanie jednostek administracyjnych
Jednostki administracyjne umożliwiają logiczne grupowanie zasobów firmy Microsoft Entra. Organizacja, której dział IT jest rozproszony globalnie, może tworzyć jednostki administracyjne definiujące odpowiednie granice geograficzne. W innym scenariuszu, w którym organizacja globalna ma podorganizacje, które są częściowo autonomiczne w swoich operacjach, jednostki administracyjne mogą reprezentować podorganizacje.
Kryteria tworzenia jednostek administracyjnych są oparte na unikatowych wymaganiach organizacji. Jednostki administracyjne to typowy sposób definiowania struktury w usługach platformy Microsoft 365. Zalecamy przygotowanie jednostek administracyjnych do ich używania w usługach platformy Microsoft 365. Maksymalną wartość z jednostek administracyjnych można uzyskać, gdy możesz skojarzyć typowe zasoby w usłudze Microsoft 365 w ramach jednostki administracyjnej.
Możesz oczekiwać, że tworzenie jednostek administracyjnych w organizacji przejdzie przez następujące etapy:
- Wstępne wdrożenie: Twoja organizacja rozpocznie tworzenie jednostek administracyjnych na podstawie początkowych kryteriów, a liczba jednostek administracyjnych zwiększy się w miarę uściślinia kryteriów.
- Oczyszczanie: po zdefiniowaniu kryteriów jednostki administracyjne, które nie są już wymagane, zostaną usunięte.
- Stabilizacja: Struktura organizacyjna jest zdefiniowana, a liczba jednostek administracyjnych nie zmieni się znacząco w krótkim okresie.
Obecnie obsługiwane scenariusze
Jako administrator ról uprzywilejowanych możesz użyć centrum administracyjnego firmy Microsoft Entra do:
- Tworzenie jednostek administracyjnych
- Dodawanie użytkowników, grup lub urządzeń jako członków jednostek administracyjnych
- Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej przy użyciu reguł dla dynamicznych grup członkostwa
- Przypisz pracowników IT do ról administratora w zakresie jednostki administracyjnej.
Administratorzy z zakresem jednostki administracyjnej mogą używać Centrum administracyjne platformy Microsoft 365 do podstawowego zarządzania użytkownikami w swoich jednostkach administracyjnych. Administrator grupy z zakresem jednostki administracyjnej może zarządzać grupami przy użyciu programu PowerShell, programu Microsoft Graph i Centrum administracyjne platformy Microsoft 365 s.
Jednostki administracyjne stosują zakres tylko do uprawnień zarządzania. Nie uniemożliwiają członkom ani administratorom używania domyślnych uprawnień użytkownika do przeglądania innych użytkowników, grup lub zasobów poza jednostką administracyjną. W Centrum administracyjne platformy Microsoft 365 użytkownicy spoza jednostek administracyjnych administratora o określonym zakresie są filtrowani. Możesz jednak przeglądać innych użytkowników w centrum administracyjnym firmy Microsoft Entra, programie PowerShell i innych usługi firmy Microsoft.
Uwaga
W Centrum administracyjne platformy Microsoft 365 są dostępne tylko funkcje opisane w tej sekcji. Dla roli Entra firmy Microsoft z zakresem jednostki administracyjnej nie są dostępne żadne funkcje na poziomie organizacji.
W poniższych sekcjach opisano bieżącą obsługę scenariuszy jednostki administracyjnej.
Zarządzanie jednostkami administracyjnymi
| Uprawnienia | Microsoft Graph/PowerShell | Centrum administracyjne Microsoft Entra | Centrum administracyjne platformy Microsoft 365 |
|---|---|---|---|
| Tworzenie lub usuwanie jednostek administracyjnych | ✅ | ✅ | ✅ |
| Dodawanie lub usuwanie członków | ✅ | ✅ | ✅ |
| Przypisywanie administratorów o zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Dynamiczne dodawanie lub usuwanie użytkowników lub urządzeń na podstawie reguł | ✅ | ✅ | ❌ |
| Dynamiczne dodawanie lub usuwanie grup na podstawie reguł | ❌ | ❌ | ❌ |
Zarządzanie użytkownikami
| Uprawnienia | Microsoft Graph/PowerShell | Centrum administracyjne Microsoft Entra | Centrum administracyjne platformy Microsoft 365 |
|---|---|---|---|
| Zarządzanie właściwościami użytkownika, hasłami w zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Zarządzanie licencjami użytkowników w zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Blokowanie i odblokowywanie logowania użytkowników w zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Zarządzanie poświadczeniami uwierzytelniania wieloskładnikowego użytkownika w zakresie jednostki administracyjnej | ✅ | ✅ | ❌ |
Zarządzanie grupami
| Uprawnienia | Microsoft Graph/PowerShell | Centrum administracyjne Microsoft Entra | Centrum administracyjne platformy Microsoft 365 |
|---|---|---|---|
| Tworzenie i usuwanie grup w zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Zarządzanie właściwościami grupy i członkostwem w grupach platformy Microsoft 365 w zakresie jednostki administracyjnej | ✅ | ✅ | ✅ |
| Administracyjne zarządzanie właściwościami grupy i członkostwem w zakresie jednostki administracyjnej dla wszystkich innych grup | ✅ | ✅ | ❌ |
| Zarządzanie licencjonowaniem grup w zakresie jednostki administracyjnej | ✅ | ✅ | ❌ |
Zarządzanie urządzeniami
| Uprawnienia | Microsoft Graph/PowerShell | Centrum administracyjne Microsoft Entra | Centrum administracyjne platformy Microsoft 365 |
|---|---|---|---|
| Włączanie, wyłączanie lub usuwanie urządzeń | ✅ | ✅ | ❌ |
| Odczytywanie kluczy odzyskiwania funkcji BitLocker | ✅ | ✅ | ❌ |
Zarządzanie urządzeniami w usłudze Intune nie jest obecnie obsługiwane.