Административные единицы в Azure Active Directory
В этой статье описаны административные единицы в Azure Active Directory (Azure AD). Административная единица — это ресурс Azure AD, который может служить контейнером для других ресурсов Azure AD. Административная единица может содержать только пользователей, группы или устройства.
Административные единицы ограничивают разрешения в роли для любой части организации, которую вы определяете. Вы можете, например, использовать административные единицы для делегирования роли администратора службы поддержки региональным специалистам службы поддержки, чтобы они могли управлять пользователями только в том регионе, который они поддерживают.
Пользователи могут быть членами нескольких административных единиц. Например, можно добавить пользователей в административные единицы по географическому расположению и делениям; Меган Боуэн может находиться в административных единицах "Сиэтл" и "Маркетинг".
Сценарий развертывания
Для организаций, состоящих из независимых подразделений любого рода, может быть удобно ограничение области администрирования с помощью административных единиц. Рассмотрим пример большого университета, состоящего из многих автономных факультетов (факультет предпринимательства, инженерный факультет и т. д.). На каждом факультете есть группа ИТ-администраторов, которые контролируют доступ, управляют пользователями и устанавливают политики для факультета.
Основной администратор может:
- создать административную единицу для факультета предпринимательства;
- заполнить административную единицу только студентами и сотрудниками факультета предпринимательства;
- создать роль с разрешениями администратора только для пользователей Azure AD в административной единице "Факультет предпринимательства";
- назначить группе ИТ-специалистов факультета предпринимательства роль, действительную только в пределах их области.
Ограничения
Ниже приведены некоторые ограничения для административных единиц.
- Административные единицы не могут быть вложенными.
- В Azure AD Identity Governance административные единицы сейчас недоступны.
Группы
Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Другими словами, администратор административной единицы может управлять свойствами группы, такими как имя группы или членство, но не может управлять свойствами пользователей или устройств в этой группе (если только эти пользователи и устройства не будут добавлены отдельно в качестве участников административной единицы).
Например, администратор пользователей, относящийся к административной единице, которая содержит группу, может и не может делать следующее:
| Разрешения | Может |
|---|---|
| управлять именем группы; | ✔️ |
| управлять членством в группе; | ✔️ |
| управлять свойствами пользователя для отдельных участников группы; | ❌ |
| управлять методами проверки подлинности пользователей отдельных участников группы; | ❌ |
| сбрасывать пароли отдельных участников группы. | ❌ |
Чтобы администратор пользователей мог управлять свойствами пользователя или методами проверки подлинности отдельных участников группы, участники группы (пользователи) должны быть добавлены непосредственно в качестве участников административной единицы.
Требования лицензий
Для использования административных единиц требуется лицензия Azure AD Premium P1 для каждого администратора административной единицы, которому назначены роли каталога в область административной единицы, и лицензия Azure AD Free для каждого члена административной единицы. Создание административных единиц доступно с помощью лицензии Azure AD Free. Если вы используете правила динамического членства для административных единиц, для каждого члена административной единицы требуется лицензия Azure AD Premium P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Управление административными единицами
Административными единицами можно управлять с помощью портала Azure, командлетов и сценариев PowerShell или Microsoft Graph. Дополнительные сведения можно найти в разделе
- Создание или удаление административных единиц
- Добавление пользователей, групп или устройств в административную единицу
- Управление пользователями или устройствами для административной единицы с помощью правил динамического членства (предварительная версия)
- Назначение ролей Azure AD с областью административной единицы
- Работа с административными единицами. Это инструкции по работе с административными единицами с использованием PowerShell.
- Поддержка Graph для административных единиц. Содержит подробную документацию по Microsoft Graph для административных единиц.
Планирование административных единиц
Административные единицы можно использовать для логического группирования ресурсов Azure AD. Организация с ИТ-отделом международного масштаба, возможно, может создать административные единицы, определяющие географические границы соответствующих регионов. Еще один сценарий — глобальная организация с подчиненными структурами, являющимися в определенной степени полуавтономными, в которой каждая такая структура может быть представлена административной единицей.
Критерии, по которым создаются административные единицы, определяются уникальными требованиями организации. Административные единицы — это распространенный способ определения структуры в службах Microsoft 365. При подготовке административных единиц рекомендуется учитывать их использование в службах Microsoft 365. Чтобы использовать административные единицы максимально эффективно, свяжите с ними общие ресурсы в Microsoft 365.
Создание административных единиц в организации можно условно разделить на следующие этапы:
- Первоначальное внедрение. Ваша организация начнет создавать административные единицы на основе исходных критериев. Количество административных единиц будет увеличиваться по мере уточнения критериев.
- Удаление лишнего. После определения критериев ненужные административные единицы необходимо удалить.
- Стабилизация. Структура организации определена, и в краткосрочной перспективе количество административных единиц не должно существенно меняться.
Поддерживаемые в данный момент сценарии
Глобальный администратор или администратор привилегированных ролей может использовать портал Azure, чтобы выполнять такие действия.
- создание административных единиц;
- Добавление пользователей, групп или устройств в качестве членов административных единиц
- Управление пользователями или устройствами для административной единицы с помощью правил динамического членства (предварительная версия)
- назначение ИТ-специалистов на роли администратора административной единицы.
После этого назначенные административной единице администраторы могут использовать Центр администрирования Microsoft 365 для базовых операций управления соответствующими пользователями. Администратор группы, областью действия которого является административная единица, может управлять группами с помощью PowerShell, Microsoft Graph и Центров администрирования Microsoft 365.
Административные единицы применимы только в отношении разрешений на управление. Они не запрещают членам или администраторам использовать свои разрешения пользователя по умолчанию для просмотра данных о других пользователях, группах или ресурсах за пределами административной единицы. В центре администрирования Microsoft 365 пользователи, не входящие в состав административных единиц администратора, отфильтровываются. Однако вы можете просматривать других пользователей на портале Azure, PowerShell и в других службах Майкрософт.
Примечание
В Центре администрирования Microsoft 365 доступны только функции, описанные в этом разделе. Функции уровня организации недоступны для роли Azure AD с областью административной единицы.
В приведенных ниже разделах описываются сценарии использования административных единиц, поддерживаемые в данный момент.
Управление административной единицей
| Разрешения | Microsoft Graph/PowerShell | Портал Azure | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Создание или удаление административных единиц | ✔️ | ✔️ | ✔️ |
| Добавление или удаление членов | ✔️ | ✔️ | ✔️ |
| Назначение администраторов административной единице | ✔️ | ✔️ | ✔️ |
| Динамическое добавление или удаление пользователей или устройств на основе правил (Предварительная версия) | ✔️ | ✔️ | ❌ |
| Динамическое добавление или удаление групп на основе правил | ❌ | ❌ | ❌ |
Управление пользователями
| Разрешения | Microsoft Graph/PowerShell | Портал Azure | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Управление свойствами и паролями пользователей в пределах административной единицы | ✔️ | ✔️ | ✔️ |
| Управление лицензиями пользователей в пределах административной единицы | ✔️ | ✔️ | ✔️ |
| Блокировка и разблокировка входов пользователей в пределах административной единицы | ✔️ | ✔️ | ✔️ |
| Управление учетными данными пользователя для многофакторной проверки подлинности в пределах административной единицы | ✔️ | ✔️ | ❌ |
Управление группами
| Разрешения | Microsoft Graph/PowerShell | Портал Azure | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Создание и удаление групп на уровне административной единицы | ✔️ | ✔️ | ✔️ |
| Управление свойствами групп и членством в группах Microsoft 365 на уровне административной единицы | ✔️ | ✔️ | ✔️ |
| Управление свойствами группы и членством во всех остальных группах на уровне административной единицы | ✔️ | ✔️ | ❌ |
| Управление лицензированием групп в пределах административной единицы | ✔️ | ✔️ | ❌ |
Управление устройствами
| Разрешения | Microsoft Graph/PowerShell | Портал Azure | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Включение, отключение или удаление устройств | ✔️ | ✔️ | ❌ |
| Чтение ключей восстановления BitLocker | ✔️ | ✔️ | ❌ |
Управление устройствами в Intune в настоящее время не поддерживается.