Microsoft Entra Id'de Yönetici istrative birimleri
Bu makalede, Microsoft Entra Id'deki yönetim birimleri açıklanmaktadır. Yönetim birimi, diğer Microsoft Entra kaynakları için kapsayıcı olabilecek bir Microsoft Entra kaynağıdır. Yönetim birimi yalnızca kullanıcıları, grupları veya cihazları içerebilir.
Yönetim birimleri, bir roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Örneğin Yardım Masası Yöneticisi rolünü bölgesel destek uzmanlarına devretmek için yönetim birimlerini kullanabilirsiniz, böylece kullanıcılar yalnızca destekledikleri bölgedeki kullanıcıları yönetebilir.
Kullanıcılar birden çok yönetim biriminin üyesi olabilir. Örneğin, kullanıcıları coğrafyaya ve bölüme göre yönetim birimlerine ekleyebilirsiniz; Megan Bowen "Seattle" ve "Marketing" yönetim birimlerinde olabilir.
Dağıtım senaryosu
Her türlü bağımsız bölmeden oluşan kuruluşlarda yönetim birimlerini kullanarak yönetim kapsamını kısıtlamak yararlı olabilir. Birçok otonom okuldan (School of Business, School of Engineering vb.) oluşan büyük bir üniversite örneğini düşünün. Her okulun erişimi denetleyen, kullanıcıları yöneten ve okulları için ilkeler ayarlayan bir BT yöneticisi ekibi vardır.
Merkezi yönetici şunları yapabilir:
- İş Okulu için bir yönetim birimi oluşturun.
- Yönetim birimini yalnızca İşletme Fakültesi içindeki öğrenciler ve personelle doldurun.
- İş Okulu yönetim birimindeki yalnızca Microsoft Entra kullanıcıları üzerinde yönetim izinlerine sahip bir rol oluşturun.
- İş okulu BT ekibini, kapsamıyla birlikte role ekleyin.
Sınırlamalar
Yönetim birimleri için bazı kısıtlamalar aşağıdadır.
- Yönetici istrative birimleri iç içe yerleştirilemiyor.
- Yönetici istrative birimleri şu anda Microsoft Entra Kimlik Yönetimi'da kullanılamıyor.
Gruplar
Bir yönetim birimine grup eklemek, grubun kendisini yönetim biriminin yönetim kapsamına getirir, ancak grubun üyelerini getirmez . Başka bir deyişle, yönetim birimi kapsamındaki bir yönetici grubun grup adı veya üyelik gibi özelliklerini yönetebilir, ancak bu grup içindeki kullanıcıların veya cihazların özelliklerini yönetemez (bu kullanıcılar ve cihazlar yönetim biriminin üyesi olarak ayrı olarak eklenmediği sürece).
Örneğin, kapsamı grup içeren bir yönetim birimi olan bir Kullanıcı Yönetici istrator aşağıdakileri yapabilir ve yapamaz:
| İzinler | Bunu yapabilir |
|---|---|
| Grubun adını yönetme | ✅ |
| Grubun üyeliğini yönetme | ✅ |
| Grubun tek tek üyeleri için kullanıcı özelliklerini yönetme | ❌ |
| Grubun tek tek üyelerinin kullanıcı kimlik doğrulama yöntemlerini yönetme | ❌ |
| Grubun tek tek üyelerinin parolalarını sıfırlama | ❌ |
Kullanıcı Yönetici istrator'ın grubun tek tek üyelerinin kullanıcı özelliklerini veya kullanıcı kimlik doğrulama yöntemlerini yönetebilmesi için, grup üyelerinin (kullanıcılar) doğrudan yönetim biriminin üyeleri olarak eklenmesi gerekir.
Lisans gereksinimleri
Yönetim birimlerinin kullanılması, yönetim biriminin kapsamı üzerinde dizin rolleri atanan her yönetim birimi yöneticisi için bir Microsoft Entra ID P1 lisansı ve her yönetim birimi üyesi için bir Microsoft Entra ID Ücretsiz lisansı gerektirir. Yönetim birimleri oluşturmak, Microsoft Entra ID Ücretsiz lisansıyla kullanılabilir. Yönetim birimleri için dinamik üyelik kuralları kullanıyorsanız, her yönetim birimi üyesi bir Microsoft Entra ID P1 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.
Yönetim birimlerini yönetme
Microsoft Entra yönetim merkezini, PowerShell cmdlet'lerini ve betiklerini veya Microsoft Graph API'sini kullanarak yönetim birimlerini yönetebilirsiniz. Daha fazla bilgi için bkz.
- Yönetim birimleri oluşturma veya silme
- Yönetim birimine kullanıcı, grup veya cihaz ekleme
- Dinamik üyelik kurallarıyla bir yönetim birimi için kullanıcıları veya cihazları yönetme (Önizleme)
- Yönetim birimi kapsamıyla Microsoft Entra rolleri atama
- Yönetim birimleriyle çalışma: PowerShell kullanarak yönetim birimleriyle çalışmayı kapsar.
- Yönetici strative unit Graph desteği: Yönetim birimleri için Microsoft Graph hakkında ayrıntılı belgeler sağlar.
Yönetim birimlerinizi planlama
Microsoft Entra kaynaklarını mantıksal olarak gruplandırmak için yönetim birimlerini kullanabilirsiniz. BT departmanı genel olarak dağınık olan bir kuruluş, ilgili coğrafi sınırları tanımlayan yönetim birimleri oluşturabilir. Küresel bir kuruluşun operasyonlarında yarı otonom alt organizasyonlara sahip olduğu başka bir senaryoda, yönetim birimleri alt organizasyonları temsil edebilir.
Yönetim birimlerinin oluşturulduğu ölçütler, kuruluşun benzersiz gereksinimleri tarafından yönlendirilir. Yönetici istratif birimler, Microsoft 365 hizmetlerinde yapı tanımlamanın yaygın bir yoludur. Yönetim birimlerinizi Microsoft 365 hizmetlerindeki kullanımlarını göz önünde bulundurarak hazırlamanızı öneririz. Microsoft 365 genelindeki ortak kaynakları bir yönetim birimi altında ilişkilendirebildiğiniz durumlarda, yönetim birimlerinden en yüksek değeri alabilirsiniz.
Kuruluşta yönetim birimlerinin oluşturulmasının aşağıdaki aşamalardan geçmesi beklenebilir:
- İlk benimseme: Kuruluşunuz, ilk ölçütlere göre yönetim birimleri oluşturmaya başlar ve ölçütler iyileştirilirken yönetim birimi sayısı artar.
- Ayıklama: Ölçütler tanımlandıktan sonra, artık gerekli olmayan yönetim birimleri silinir.
- İstikrar: Kurumsal yapınız tanımlanır ve yönetim birimlerinin sayısı kısa vadede önemli ölçüde değişmez.
Şu anda desteklenen senaryolar
Global Yönetici istrator veya Privileged Role Yönetici istrator olarak, Microsoft Entra yönetim merkezini kullanarak şunları yapabilirsiniz:
- Yönetim birimleri oluşturma
- Kullanıcıları, grupları veya cihazları yönetim birimlerinin üyesi olarak ekleme
- Dinamik üyelik kurallarıyla bir yönetim birimi için kullanıcıları veya cihazları yönetme (Önizleme)
- BT personelini yönetim birimi kapsamlı yönetici rollerine atayın.
Yönetici istrative unit-scoped admins, yönetim birimlerindeki kullanıcıların temel yönetimi için Microsoft 365 yönetim merkezi kullanabilir. Yönetim birimi kapsamına sahip bir grup yöneticisi PowerShell, Microsoft Graph ve Microsoft 365 yönetim merkezi kullanarak grupları yönetebilir.
Yönetici istrative birimleri yalnızca yönetim izinlerine kapsam uygular. Üyelerin veya yöneticilerin yönetim birimi dışındaki diğer kullanıcılara, gruplara veya kaynaklara göz atmak için varsayılan kullanıcı izinlerini kullanmasını engellemez. Microsoft 365 yönetim merkezi, kapsamı belirlenmiş bir yöneticinin yönetim birimleri dışındaki kullanıcılar filtrelenir. Ancak Microsoft Entra yönetim merkezinde, PowerShell'de ve diğer Microsoft hizmetleri diğer kullanıcılara göz atabilirsiniz.
Not
Microsoft 365 yönetim merkezi yalnızca bu bölümde açıklanan özellikler kullanılabilir. Yönetim birimi kapsamına sahip bir Microsoft Entra rolü için kuruluş düzeyinde özellik yoktur.
Aşağıdaki bölümlerde yönetim birimi senaryoları için geçerli destek açıklanmaktadır.
Yönetici istrative birim yönetimi
| İzinler | Microsoft Graph/PowerShell | Microsoft Entra yönetim merkezi | Microsoft 365 yönetim merkezi |
|---|---|---|---|
| Yönetim birimleri oluşturma veya silme | ✅ | ✅ | ✅ |
| Üye ekleme veya kaldırma | ✅ | ✅ | ✅ |
| Yönetim birimi kapsamlı yöneticiler atama | ✅ | ✅ | ✅ |
| Kurallara göre dinamik olarak kullanıcı veya cihaz ekleme veya kaldırma (Önizleme) | ✅ | ✅ | ❌ |
| Kurallara göre dinamik olarak grup ekleme veya kaldırma | ❌ | ❌ | ❌ |
Kullanıcı yönetimi
| İzinler | Microsoft Graph/PowerShell | Microsoft Entra yönetim merkezi | Microsoft 365 yönetim merkezi |
|---|---|---|---|
| kullanıcı özelliklerinin, parolaların Yönetici birim kapsamlı yönetimi | ✅ | ✅ | ✅ |
| kullanıcı lisanslarının Yönetici kesin birim kapsamlı yönetimi | ✅ | ✅ | ✅ |
| Yönetici istrative unit-scoped blocking and unblocking of user sign-ins | ✅ | ✅ | ✅ |
| kullanıcı çok faktörlü kimlik doğrulaması kimlik bilgilerinin Yönetici kapsamlı birim kapsamlı yönetimi | ✅ | ✅ | ❌ |
Grup yönetimi
| İzinler | Microsoft Graph/PowerShell | Microsoft Entra yönetim merkezi | Microsoft 365 yönetim merkezi |
|---|---|---|---|
| Yönetici istrative unit-scoped creation and deletion of groups | ✅ | ✅ | ✅ |
| Microsoft 365 grupları için grup özelliklerinin ve üyeliğinin Yönetici kapsamlı birim kapsamlı yönetimi | ✅ | ✅ | ✅ |
| Diğer tüm gruplar için grup özelliklerinin ve üyeliğinin Yönetici kapsamlı birim kapsamlı yönetimi | ✅ | ✅ | ❌ |
| grup lisanslamanın Yönetici kapsamlı birim kapsamlı yönetimi | ✅ | ✅ | ❌ |
Cihaz yönetimi
| İzinler | Microsoft Graph/PowerShell | Microsoft Entra yönetim merkezi | Microsoft 365 yönetim merkezi |
|---|---|---|---|
| Cihazları etkinleştirme, devre dışı bırakma veya silme | ✅ | ✅ | ❌ |
| BitLocker kurtarma anahtarlarını okuma | ✅ | ✅ | ❌ |
Intune'da cihazları yönetmek şu anda desteklenmiyor .