создание административных единиц;

  • 3 мин

При разработке стратегии управления удостоверениями и управлением в Azure планирование комплексного управления инфраструктурой Microsoft Entra имеет решающее значение. Рекомендуется ограничить область администрирования с помощью административных единиц для организации. Разделение ролей и обязанностей особенно полезно в организациях со множеством независимых подразделений.

Давайте рассмотрим задачи управления для крупного университета со множеством факультетов по таким направлениям, как бизнес, инженерия и медицина. В университете имеются административные и учебные корпуса, здания для социальной работы и студенческие общежития. В целях безопасности у каждого административного здания имеется собственная внутренняя сеть для таких ресурсов, как серверы, принтеры и факсы. Каждый учебный корпус связан с сетью университета, поэтому преподаватели и студенты могут получить доступ к своим учетным записям. Студенты и деканы также могут зайти в сеть из общежитий и зданий для социальной работы. На территории всего университета гостевым пользователям требуется доступ к Интернету через университетскую сеть.

В университете есть команда ИТ-администраторов, которая совместно управляет доступом к ресурсам и пользователями, а также задает политики для факультетов. Некоторые администраторы обладают большим количеством разрешений, чем остальные, в зависимости от объема их обязанностей. Необходим центральный элемент для планирования и администрирования этой структуры целиком, а также для контроля за ее работой. В этом сценарии можно назначить административные единицы для упрощения управления организацией.

Diagram of administrative units for each university department.

Сведения об административных единицах, которые нужно проанализировать

Подумайте, как роль центрального администратора может использовать административные единицы для поддержки факультета инженерии в нашем сценарии:

  • Создайте роль с правами администратора только для пользователей Microsoft Entra в административной единице отдела инженерии.

  • Создайте административную единицу для факультета инженерии.

  • Заполните административную единицу сведениями о студентах, персонале и ресурсах, относящихся только к факультету инженерии.

  • Назначьте эту роль с областью ИТ-отделу факультета инженерии.

Аспекты, которые необходимо учитывать при работе с административными единицами

Продумайте реализацию административных единиц в своей организации. Ниже приведены некоторые рекомендации.

  • Проанализируйте средства управления. Просмотрите варианты управления административными единицами. Можно использовать портал Azure, командлеты и скрипты PowerShell, а также Microsoft Graph.

  • Проанализируйте требования ролей на портале Azure. Спланируйте стратегию создания административных единиц в соответствии с разрешениями ролей. Управлять административными единицами на портале Azure могут только пользователи с ролями глобального администратора или администратора привилегированных ролей.

  • Проанализируйте область административных единиц. Обратите внимание, что область административной единицы распространяется только на разрешения управления. Члены и администраторы административной единицы могут использовать свои пользовательские разрешения по умолчанию, чтобы просматривать других пользователей, группы или ресурсы за пределами административной единицы.