Administrativa enheter i Microsoft Entra-ID
I den här artikeln beskrivs administrativa enheter i Microsoft Entra-ID. En administrativ enhet är en Microsoft Entra-resurs som kan vara en container för andra Microsoft Entra-resurser. En administrativ enhet kan endast innehålla användare, grupper eller enheter.
Administrativa enheter begränsar behörigheter i en roll till valfri del av organisationen som du definierar. Du kan till exempel använda administrativa enheter för att delegera rollen Supportadministratör till regionala supportspecialister, så att de bara kan hantera användare i den region som de ger support till. Observera att om du tilldelar en roll till en användare som inte är medlem i en administrativ enhet är rollens omfång hela klientorganisationen.
Användare kan vara medlemmar i flera administrativa enheter. Du kan till exempel lägga till användare i administrativa enheter efter geografi och division. Megan Bowen kan finnas i de administrativa enheterna "Seattle" och "Marketing".
Distributionsscenario
Det kan vara användbart att begränsa det administrativa omfånget genom att använda administrativa enheter i organisationer som består av oberoende avdelningar av något slag. Tänk på exemplet med ett stort universitet som består av många autonoma skolor (School of Business, School of Engineering och så vidare). Varje skola har ett team med IT-administratörer som styr åtkomst, hanterar användare och anger principer för sin skola.
En central administratör kan:
- Skapa en administrativ enhet för Skolan för företag.
- Fyll i den administrativa enheten med endast elever och personal inom Företagshögskolan.
- Skapa en roll med administratörsbehörigheter över endast Microsoft Entra-användare i den administrativa utbildningsenheten School of Business.
- Lägg till IT-teamet för företagsskolan i rollen, tillsammans med dess omfång.
Krav
Här är några av begränsningarna för administrativa enheter.
- Administrativa enheter kan inte kapslas.
- Administrativa enheter är för närvarande inte tillgängliga i Microsoft Entra ID-styrning.
Grupper
Genom att lägga till en grupp i en administrativ enhet hamnar själva gruppen i hanteringsomfånget för den administrativa enheten, men inte medlemmarna i gruppen. Med andra ord kan en administratör som är begränsad till den administrativa enheten hantera gruppens egenskaper, till exempel gruppnamn eller medlemskap, men de kan inte hantera egenskaperna för användare eller enheter i gruppen (såvida inte dessa användare och enheter läggs till separat som medlemmar i den administrativa enheten).
En användaradministratör som är begränsad till en administrativ enhet som innehåller en grupp kan till exempel inte göra följande:
| Behörigheter | Kan göra |
|---|---|
| Hantera namnet på gruppen | ✅ |
| Hantera medlemskapet i gruppen | ✅ |
| Hantera användaregenskaperna för enskilda medlemmar i gruppen | ❌ |
| Hantera användarautentiseringsmetoderna för enskilda medlemmar i gruppen | ❌ |
| Återställa lösenorden för enskilda medlemmar i gruppen | ❌ |
För att användaradministratören ska kunna hantera användaregenskaper eller användarautentiseringsmetoder för enskilda medlemmar i gruppen måste gruppmedlemmarna (användarna) läggas till direkt som medlemmar i den administrativa enheten.
Licenskrav
Användning av administrativa enheter kräver en Microsoft Entra ID P1-licens för varje administratör för administrativa enheter som har tilldelats katalogroller över omfånget för den administrativa enheten och en kostnadsfri licens för Microsoft Entra-ID för varje administrativ enhetsmedlem. Det är tillgängligt att skapa administrativa enheter med en kostnadsfri licens för Microsoft Entra ID. Om du använder regler för dynamiska medlemskapsgrupper för administrativa enheter kräver varje administrativ enhetsmedlem en Microsoft Entra ID P1-licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.
Hantera administrativa enheter
Du kan hantera administrativa enheter med hjälp av administrationscentret för Microsoft Entra, PowerShell-cmdletar och skript eller Microsoft Graph API. Mer information finns i:
- Skapa eller ta bort administrativa enheter
- Lägga till användare, grupper eller enheter i en administrativ enhet
- Hantera användare eller enheter för en administrativ enhet med regler för dynamiska medlemskapsgrupper
- Tilldela Microsoft Entra-roller med omfång för administrativa enheter
- Arbeta med administrativa enheter: Beskriver hur du arbetar med administrativa enheter med hjälp av PowerShell.
- Stöd för Administrationsenhet Graph: Innehåller detaljerad dokumentation om Microsoft Graph för administrativa enheter.
Planera dina administrativa enheter
Du kan använda administrativa enheter för att logiskt gruppera Microsoft Entra-resurser. En organisation vars IT-avdelning är utspridda globalt kan skapa administrativa enheter som definierar relevanta geografiska gränser. I ett annat scenario, där en global organisation har underorganiseringar som är halvautonoma i sin verksamhet, kan administrativa enheter representera underorganiseringarna.
Kriterierna för vilka administrativa enheter skapas styrs av organisationens unika krav. Administrativa enheter är ett vanligt sätt att definiera struktur i Microsoft 365-tjänster. Vi rekommenderar att du förbereder dina administrativa enheter med deras användning i Microsoft 365-tjänster i åtanke. Du kan få ut maximalt värde av administrativa enheter när du kan associera gemensamma resurser i Microsoft 365 under en administrativ enhet.
Du kan förvänta dig att skapande av administrativa enheter i organisationen går igenom följande steg:
- Inledande implementering: Din organisation börjar skapa administrativa enheter baserat på inledande kriterier och antalet administrativa enheter ökar när kriterierna förfinas.
- Beskärning: När kriterierna har definierats tas administrativa enheter som inte längre krävs bort.
- Stabilisering: Organisationsstrukturen definieras och antalet administrativa enheter kommer inte att ändras nämnvärt på kort sikt.
Scenarier som stöds för närvarande
Som privilegierad rolladministratör kan du använda administrationscentret för Microsoft Entra för att:
- Skapa administrativa enheter
- Lägga till användare, grupper eller enheter som medlemmar i administrativa enheter
- Hantera användare eller enheter för en administrativ enhet med regler för dynamiska medlemskapsgrupper
- Tilldela IT-personal till administratörsroller med enhetsomfattning.
Administratörer med administrativ enhetsomfattning kan använda Administrationscenter för Microsoft 365 för grundläggande hantering av användare i sina administrativa enheter. En gruppadministratör med omfång för administrativa enheter kan hantera grupper med hjälp av PowerShell, Microsoft Graph och Administrationscenter för Microsoft 365.
Administrativa enheter gäller endast omfång för hanteringsbehörigheter. De hindrar inte medlemmar eller administratörer från att använda sina standardanvändarbehörigheter för att bläddra bland andra användare, grupper eller resurser utanför den administrativa enheten. I Administrationscenter för Microsoft 365 filtreras användare utanför en begränsad administratörs administrativa enheter bort. Men du kan bläddra bland andra användare i administrationscentret för Microsoft Entra, PowerShell och andra Microsoft-tjänster.
Kommentar
Endast de funktioner som beskrivs i det här avsnittet är tillgängliga i Administrationscenter för Microsoft 365. Det finns inga funktioner på organisationsnivå för en Microsoft Entra-roll med omfång för administrativa enheter.
I följande avsnitt beskrivs aktuellt stöd för scenarier med administrativa enheter.
Hantering av administrativa enheter
| Behörigheter | Microsoft Graph/PowerShell | Microsoft Entra administrationscenter | Microsoft 365 administrationscenter |
|---|---|---|---|
| Skapa eller ta bort administrativa enheter | ✅ | ✅ | ✅ |
| Lägga till eller ta bort medlemmar | ✅ | ✅ | ✅ |
| Tilldela administratörer med administrativ enhetsomfattning | ✅ | ✅ | ✅ |
| Lägga till eller ta bort användare eller enheter dynamiskt baserat på regler | ✅ | ✅ | ❌ |
| Lägga till eller ta bort grupper dynamiskt baserat på regler | ❌ | ❌ | ❌ |
Användarhantering
| Behörigheter | Microsoft Graph/PowerShell | Microsoft Entra administrationscenter | Microsoft 365 administrationscenter |
|---|---|---|---|
| Administrativ enhetsomfattningshantering av användaregenskaper, lösenord | ✅ | ✅ | ✅ |
| Administrativ enhetsomfattningshantering av användarlicenser | ✅ | ✅ | ✅ |
| Blockering och avblockering av användarinloggningar för administrativa enheter | ✅ | ✅ | ✅ |
| Administrativ enhetsomfattningshantering av autentiseringsuppgifter för multifaktorautentisering för användare | ✅ | ✅ | ❌ |
Grupphantering
| Behörigheter | Microsoft Graph/PowerShell | Microsoft Entra administrationscenter | Microsoft 365 administrationscenter |
|---|---|---|---|
| Skapande och borttagning av grupper med administrativ enhetsomfattning | ✅ | ✅ | ✅ |
| Administrativ enhetsomfattande hantering av gruppegenskaper och medlemskap för Microsoft 365-grupper | ✅ | ✅ | ✅ |
| Administrativ enhetsomfattningshantering av gruppegenskaper och medlemskap för alla andra grupper | ✅ | ✅ | ❌ |
| Administrativ enhetsomfattande hantering av grupplicensiering | ✅ | ✅ | ❌ |
Enhetshantering
| Behörigheter | Microsoft Graph/PowerShell | Microsoft Entra administrationscenter | Microsoft 365 administrationscenter |
|---|---|---|---|
| Aktivera, inaktivera eller ta bort enheter | ✅ | ✅ | ❌ |
| Läs BitLocker-återställningsnycklar | ✅ | ✅ | ❌ |
Hantering av enheter i Intune stöds inte just nu.