Administrativa enheter i Azure Active Directory

I den här artikeln beskrivs administrativa enheter i Azure Active Directory (Azure AD). En administrativ enhet är en Azure AD-resurs som kan vara en container för andra Azure AD-resurser. En administrativ enhet kan endast innehålla användare, grupper eller enheter.

Administrativa enheter begränsar behörigheter i en roll till valfri del av organisationen som du definierar. Du kan till exempel använda administrativa enheter för att delegera rollen Supportadministratör till regionala supportspecialister, så att de bara kan hantera användare i den region som de stöder.

Distributionsscenario

Det kan vara användbart att begränsa det administrativa omfånget genom att använda administrativa enheter i organisationer som består av oberoende avdelningar av alla slag. Tänk på exemplet med ett stort universitet som består av många autonoma skolor (School of Business, School of Engineering och så vidare). Varje skola har ett team med IT-administratörer som styr åtkomst, hanterar användare och anger principer för sin skola.

En central administratör kan:

  • Skapa en administrativ enhet för Skolan för företag.
  • Fyll i den administrativa enheten med endast elever och personal inom handelshögskolan.
  • Skapa en roll med administratörsbehörigheter över endast Azure AD användare i den administrativa utbildningsenheten School of Business.
  • Lägg till IT-teamet för företagsskolan i rollen, tillsammans med dess omfång.

Skärmbild av sidan Enheter och administrativa enheter med alternativet Ta bort från administrativ enhet.

Villkor

Här är några av begränsningarna för administrativa enheter.

  • Administrativa enheter kan inte kapslas.
  • Administratörsadministratörer med enhetsomfång kan inte skapa eller ta bort användare.
  • Administrativa enheter är för närvarande inte tillgängliga i Azure AD Identitetsstyrning.

Grupper

Genom att lägga till en grupp i en administrativ enhet hamnar själva gruppen i hanteringsomfånget för den administrativa enheten, men inte medlemmarna i gruppen. Med andra ord kan en administratör som är begränsad till den administrativa enheten hantera egenskaperna för gruppen, till exempel gruppnamn eller medlemskap, men de kan inte hantera egenskaperna för användarna eller enheterna i gruppen (såvida inte dessa användare och enheter läggs till separat som medlemmar i den administrativa enheten).

Till exempel kan en användaradministratör som är begränsad till en administrativ enhet som innehåller en grupp göra följande:

Behörigheter Kan göra
Hantera namnet på gruppen ✔️
Hantera medlemskapet i gruppen ✔️
Hantera användaregenskaper för enskilda medlemmar i gruppen
Hantera användarautentiseringsmetoder för enskilda medlemmar i gruppen
Återställa lösenorden för enskilda medlemmar i gruppen

För att användaradministratören ska kunna hantera användaregenskaper eller autentiseringsmetoder för enskilda medlemmar i gruppen måste gruppmedlemmarna (användarna) läggas till direkt som medlemmar i den administrativa enheten.

Licenskrav

Användning av administrativa enheter kräver en Azure AD Premium P1 licens för varje administratörsenhet och en Azure AD Free licens för varje administrativ enhetsmedlem. Om du använder regler för dynamiskt medlemskap för administrativa enheter kräver varje administrativ enhetsmedlem en Azure AD Premium P1 licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i kostnadsfria och Premium-utgåvor.

Hantera administrativa enheter

Du kan hantera administrativa enheter med hjälp av Azure Portal, PowerShell-cmdletar och skript eller Microsoft Graph API. Mer information finns i:

Planera dina administrativa enheter

Du kan använda administrativa enheter för att logiskt gruppera Azure AD resurser. En organisation vars IT-avdelning är utspridda globalt kan skapa administrativa enheter som definierar relevanta geografiska gränser. I ett annat scenario, där en global organisation har underorganiseringar som är delvis autonoma i sin verksamhet, kan administrativa enheter representera underorganiseringarna.

De kriterier som administrativa enheter skapas på styrs av en organisations unika krav. Administrativa enheter är ett vanligt sätt att definiera strukturen i Microsoft 365-tjänster. Vi rekommenderar att du förbereder dina administrativa enheter med deras användning i Microsoft 365-tjänster i åtanke. Du kan få ut maximalt värde från administrativa enheter när du kan associera gemensamma resurser i Microsoft 365 under en administrativ enhet.

Du kan förvänta dig att skapandet av administrativa enheter i organisationen går igenom följande steg:

  1. Inledande implementering: Din organisation börjar skapa administrativa enheter baserat på inledande kriterier, och antalet administrativa enheter ökar i takt med att kriterierna förfinas.
  2. Beskärning: När kriterierna har definierats tas administrativa enheter som inte längre krävs bort.
  3. Stabilisering: Organisationsstrukturen definieras och antalet administrativa enheter kommer inte att ändras nämnvärt på kort sikt.

Scenarier som stöds för närvarande

Som global administratör eller privilegierad rolladministratör kan du använda Azure Portal för att:

  • Skapa administrativa enheter
  • Lägga till användare, grupper eller enheter som medlemmar i administrativa enheter
  • Hantera användare eller enheter för en administrativ enhet med regler för dynamiskt medlemskap (förhandsversion)
  • Tilldela IT-personal till administratörsroller med enhetsomfattning.

Administratörer med enhetsomfattning kan använda Administrationscenter för Microsoft 365 för grundläggande hantering av användare i sina administrativa enheter. En gruppadministratör med omfång för administrativa enheter kan hantera grupper med hjälp av PowerShell, Microsoft Graph och Administrationscenter för Microsoft 365.

Administrativa enheter gäller endast omfång för hanteringsbehörigheter. De hindrar inte medlemmar eller administratörer från att använda sina standardanvändarbehörigheter för att bläddra bland andra användare, grupper eller resurser utanför den administrativa enheten. I Administrationscenter för Microsoft 365 filtreras användare utanför en begränsad administratörs administrativa enheter bort. Men du kan bläddra bland andra användare i Azure Portal, PowerShell och andra Microsoft-tjänster.

Anteckning

Endast de funktioner som beskrivs i det här avsnittet är tillgängliga i Administrationscenter för Microsoft 365. Inga funktioner på organisationsnivå är tillgängliga för en Azure AD roll med omfång för administrativa enheter.

I följande avsnitt beskrivs aktuellt stöd för scenarier med administrativa enheter.

Administrationsenhetshantering

Behörigheter Microsoft Graph/PowerShell Azure Portal Administrationscenter för Microsoft 365
Skapa eller ta bort administrativa enheter ✔️ ✔️ ✔️
Lägga till eller ta bort medlemmar ✔️ ✔️ ✔️
Tilldela administratörer med en administrativ enhetsomfattning ✔️ ✔️ ✔️
Lägga till eller ta bort användare eller enheter dynamiskt baserat på regler (förhandsversion) ✔️ ✔️
Lägga till eller ta bort grupper dynamiskt baserat på regler

Användarhantering

Behörigheter Microsoft Graph/PowerShell Azure Portal Administrationscenter för Microsoft 365
Administrativ enhetsomfattande hantering av användaregenskaper, lösenord ✔️ ✔️ ✔️
Administrativ enhetsomfattande hantering av användarlicenser ✔️ ✔️ ✔️
Blockering och avblockering av användarinloggningar för administrativa enheter ✔️ ✔️ ✔️
Administrativ enhetsomfattande hantering av autentiseringsuppgifter för multifaktorautentisering för användare ✔️ ✔️

Grupphantering

Behörigheter Microsoft Graph/PowerShell Azure Portal Administrationscenter för Microsoft 365
Skapande och borttagning av grupper för administrativa enheter ✔️ ✔️ ✔️
Administrativ enhetsomfattande hantering av gruppegenskaper och medlemskap ✔️ ✔️ ✔️
Administrativ enhetsomfattande hantering av grupplicensiering ✔️ ✔️

Enhetshantering

Behörigheter Microsoft Graph/PowerShell Azure Portal Administrationscenter för Microsoft 365
Aktivera, inaktivera eller ta bort enheter ✔️ ✔️
Läs BitLocker-återställningsnycklar ✔️ ✔️

För närvarande stöds inte hantering av enheter i Intune.

Nästa steg