Административные единицы в идентификаторе Microsoft Entra
В этой статье описываются административные единицы в идентификаторе Microsoft Entra. Административная единица — это ресурс Microsoft Entra, который может быть контейнером для других ресурсов Microsoft Entra. Административная единица может содержать только пользователей, группы или устройства.
Административные единицы ограничивают разрешения в роли для любой части организации, которую вы определяете. Вы можете, например, использовать административные единицы для делегирования роли администратора службы поддержки региональным специалистам службы поддержки, чтобы они могли управлять пользователями только в том регионе, который они поддерживают. Обратите внимание, что если вы назначаете роль пользователю, не являющегося членом административной единицы, область действия роли — это весь клиент.
Пользователи могут быть членами нескольких административных единиц. Например, можно добавить пользователей в административные единицы по географии и деления; Меган Боуэн может находиться в административных подразделениях «Сиэтл» и «Маркетинг».
Сценарий развертывания
Для организаций, состоящих из независимых подразделений любого рода, может быть удобно ограничение области администрирования с помощью административных единиц. Рассмотрим пример большого университета, состоящего из многих автономных факультетов (факультет предпринимательства, инженерный факультет и т. д.). В каждом учебном заведении есть группа ИТ-администраторов, которые контролируют доступ, управляют пользователями и настраивают политики для своего учебного заведения.
Основной администратор может:
- создать административную единицу для учебного заведения;
- заполнить административную единицу только учащимися и сотрудниками из бизнес-школы;
- Создайте роль с правами администратора только для пользователей Microsoft Entra в административной единице School of Business.
- добавить ИТ-отдел бизнес-школы в роль вместе с ее областью действия.
Ограничения
Ниже приведены некоторые ограничения для административных единиц.
- Административные единицы не могут быть вложенными.
- Административные единицы в настоящее время недоступны в Управление идентификацией Microsoft Entra.
Группы
Добавление группы в административную единицу переводит в область управления административной единицы саму группу, но не участников группы. Другими словами, администратор административной единицы может управлять свойствами группы, такими как имя группы или членство, но не может управлять свойствами пользователей или устройств в этой группе (если только эти пользователи и устройства не будут добавлены отдельно в качестве участников административной единицы).
Например, администратор пользователей, относящийся к административной единице, которая содержит группу, может и не может делать следующее:
| Разрешения | Разрешено |
|---|---|
| управлять именем группы; | ✅ |
| управлять членством в группе; | ✅ |
| управлять свойствами пользователя для отдельных участников группы; | ❌ |
| управлять методами проверки подлинности пользователей отдельных участников группы; | ❌ |
| сбрасывать пароли отдельных участников группы. | ❌ |
Чтобы администратор пользователей мог управлять свойствами пользователя или методами проверки подлинности отдельных участников группы, участники группы (пользователи) должны быть добавлены непосредственно в качестве участников административной единицы.
Требования к лицензиям
Для использования административных единиц требуется лицензия Microsoft Entra ID P1 для каждого администратора административной единицы, которому назначены роли каталога по области административной единицы, а также бесплатная лицензия Microsoft Entra ID для каждого члена административной единицы. Создание административных единиц доступно с бесплатной лицензией Microsoft Entra ID. Если вы используете правила для динамических групп членства для административных единиц, для каждого члена административной единицы требуется лицензия Microsoft Entra ID P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Управление административными единицами
Управлять административными единицами можно с помощью Центра администрирования Microsoft Entra, командлетов и сценариев PowerShell или с помощью API Microsoft Graph. Дополнительные сведения см. в разделе:
- Создание или удаление административных единиц
- Добавление пользователей, групп или устройств в административную единицу
- Управление пользователями или устройствами для административной единицы с помощью правил для динамических групп членства
- Назначение ролей Microsoft Entra с областью администрирования
- Работа с административными подразделениями. Сведения о работе с административными подразделениями с помощью PowerShell.
- Поддержка Графа административных единиц. Предоставляет подробную документацию по Microsoft Graph для административных единиц.
Планирование административных единиц
Административные единицы можно использовать для логического группирования ресурсов Microsoft Entra. Организация с ИТ-отделом международного масштаба, возможно, может создать административные единицы, определяющие географические границы соответствующих регионов. Еще один сценарий — глобальная организация с подчиненными структурами, являющимися в определенной степени полуавтономными, в которой каждая такая структура может быть представлена административной единицей.
Критерии, по которым создаются административные единицы, определяются уникальными требованиями организации. Административные единицы — это распространенный способ определения структуры в службах Microsoft 365. При подготовке административных единиц рекомендуется учитывать их использование в службах Microsoft 365. Вы можете реализовать максимальную эффективность административных единиц, если свяжете общие ресурсы из Microsoft 365 в административной единице.
Создание административных единиц в организации можно условно разделить на следующие этапы:
- Начальное внедрение: ваша организация начнет создавать административные единицы на основе первоначальных критериев, а количество административных единиц увеличится по мере изменения критериев.
- Обрезка. После определения условий административные единицы, которые больше не требуются, будут удалены.
- Стабилизация: структура организации определена, и количество административных единиц не изменится значительно в краткосрочной перспективе.
Поддерживаемые в данный момент сценарии
Администратор привилегированных ролей позволяет использовать Центр администрирования Microsoft Entra:
- создание административных единиц;
- Добавление пользователей, групп или устройств в качестве членов административных единиц
- Управление пользователями или устройствами для административной единицы с помощью правил для динамических групп членства
- Назначение ИТ-специалистам ролей администраторов на уровне административных единиц.
Администраторы уровня административной единицы могут использовать Центр администрирования Microsoft 365 для базового управления пользователями в их административных единицах. Администратор группы уровня административной единицы может управлять группами с помощью PowerShell, Microsoft Graph и центров администрирования Microsoft 365.
Административные единицы применяют область только к разрешениям управления. Они не запрещают членам или администраторам использовать свои разрешения пользователя по умолчанию для просмотра данных о других пользователях, группах или ресурсах за пределами административной единицы. В Центр администрирования Microsoft 365 отфильтровываются пользователи за пределами административных единиц администратора. Но вы можете просматривать других пользователей в Центре администрирования Microsoft Entra, PowerShell и других службы Майкрософт.
Примечание.
В Центре администрирования Microsoft 365 доступны только функции, описанные в этом разделе. Функции уровня организации недоступны для роли Microsoft Entra с областью администрирования.
В следующих разделах описывается текущая поддержка сценариев административных единиц.
Управление административными единицами
| Разрешения | Microsoft Graph/PowerShell | Центр администрирования Microsoft Entra | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Создание или удаление административных единиц | ✅ | ✅ | ✅ |
| Добавление или удаление членов | ✅ | ✅ | ✅ |
| Назначение администраторов уровня административной единицы | ✅ | ✅ | ✅ |
| Динамическое добавление или удаление пользователей или устройств на основе правил | ✅ | ✅ | ❌ |
| Динамическое добавление или удаление групп на основе правил | ❌ | ❌ | ❌ |
Управление пользователями
| Разрешения | Microsoft Graph/PowerShell | Центр администрирования Microsoft Entra | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Управление свойствами и паролями пользователей на уровне административной единицы | ✅ | ✅ | ✅ |
| Управление лицензиями пользователей на уровне административной единицы | ✅ | ✅ | ✅ |
| Блокировка и разблокировка входов пользователей на уровне административной единицы | ✅ | ✅ | ✅ |
| Управление учетными данными пользователя для многофакторной проверки подлинности в пределах административной единицы | ✅ | ✅ | ❌ |
Управление группами
| Разрешения | Microsoft Graph/PowerShell | Центр администрирования Microsoft Entra | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Создание и удаление групп на уровне административной единицы | ✅ | ✅ | ✅ |
| Управление свойствами групп и членством в группах Microsoft 365 с ограниченной областью администрирования | ✅ | ✅ | ✅ |
| Управление свойствами групп и членством во всех остальных группах с ограниченной областью администрирования | ✅ | ✅ | ❌ |
| Управление лицензированием групп на уровне административной единицы | ✅ | ✅ | ❌ |
Управление устройствами
| Разрешения | Microsoft Graph/PowerShell | Центр администрирования Microsoft Entra | Центр администрирования Microsoft 365 |
|---|---|---|---|
| Включение, отключение или удаление устройств | ✅ | ✅ | ❌ |
| Чтение ключей восстановления BitLocker | ✅ | ✅ | ❌ |
Управление устройствами в Intune в настоящее время не поддерживается.