создание административных единиц;
При разработке стратегии управления удостоверениями и управлением в Azure планирование комплексного управления инфраструктурой Microsoft Entra имеет решающее значение. Рекомендуется ограничить область администрирования с помощью административных единиц для организации. Разделение ролей и обязанностей особенно полезно в организациях со множеством независимых подразделений.
Давайте рассмотрим задачи управления для крупного университета со множеством факультетов по таким направлениям, как бизнес, инженерия и медицина. В университете имеются административные и учебные корпуса, здания для социальной работы и студенческие общежития. В целях безопасности у каждого административного здания имеется собственная внутренняя сеть для таких ресурсов, как серверы, принтеры и факсы. Каждый учебный корпус связан с сетью университета, поэтому преподаватели и студенты могут получить доступ к своим учетным записям. Студенты и деканы также могут зайти в сеть из общежитий и зданий для социальной работы. На территории всего университета гостевым пользователям требуется доступ к Интернету через университетскую сеть.
В университете есть команда ИТ-администраторов, которая совместно управляет доступом к ресурсам и пользователями, а также задает политики для факультетов. Некоторые администраторы обладают большим количеством разрешений, чем остальные, в зависимости от объема их обязанностей. Необходим центральный элемент для планирования и администрирования этой структуры целиком, а также для контроля за ее работой. В этом сценарии можно назначить административные единицы для упрощения управления организацией.
Сведения об административных единицах, которые нужно проанализировать
Подумайте, как роль центрального администратора может использовать административные единицы для поддержки факультета инженерии в нашем сценарии:
Создайте роль с правами администратора только для пользователей Microsoft Entra в административной единице отдела инженерии.
Создайте административную единицу для факультета инженерии.
Заполните административную единицу сведениями о студентах, персонале и ресурсах, относящихся только к факультету инженерии.
Назначьте эту роль с областью ИТ-отделу факультета инженерии.
Аспекты, которые необходимо учитывать при работе с административными единицами
Продумайте реализацию административных единиц в своей организации. Ниже приведены некоторые рекомендации.
Проанализируйте средства управления. Просмотрите варианты управления административными единицами. Можно использовать портал Azure, командлеты и скрипты PowerShell, а также Microsoft Graph.
Проанализируйте требования ролей на портале Azure. Спланируйте стратегию создания административных единиц в соответствии с разрешениями ролей. Управлять административными единицами на портале Azure могут только пользователи с ролями глобального администратора или администратора привилегированных ролей.
Проанализируйте область административных единиц. Обратите внимание, что область административной единицы распространяется только на разрешения управления. Члены и администраторы административной единицы могут использовать свои пользовательские разрешения по умолчанию, чтобы просматривать других пользователей, группы или ресурсы за пределами административной единицы.