Microsoft Entra ID 中的管理单元
本文介绍 Microsoft Entra ID 中的管理单元。 管理单元是一种 Microsoft Entra 资源,可以用作其他 Microsoft Entra 资源的容器。 管理单元只能包含用户、组或设备。
管理单元将角色中的权限限制为你定义的组织的任何部分。 例如,可以使用管理单元将帮助台管理员角色委派给区域支持专家,以便他们仅管理其支持的区域中的用户。 请注意,如果将角色分配给不是管理单元成员的用户,则该角色的范围是整个租户。
用户可以是多个管理单元的成员。 例如,可以按地理位置和部门将用户添加到管理单元;Megan Bowen 可能属于“西雅图”和“营销”管理单元。
部署场景
在由任何类型的独立部门组成的组织中,使用管理单元限制管理范围非常有用。 假设一个由多个自治学院(商业院、工程学院等)组成的大型大学示例。 每个学院都有一个 IT 管理员团队,他们负责控制访问、管理用户并为学校设置策略。
中心管理员可以:
- 为商学院创建管理单元。
- 仅在管理单元中填充商学院的学生和教职员工。
- 创建仅对商学院管理单元中的 Microsoft Entra 用户具有管理权限的角色。
- 将商学院 IT 团队及其作用域添加到该角色。
约束
下面是管理单元的一些约束。
- 管理单元不能嵌套。
- 管理单元当前在 Microsoft Entra ID Governance 中不可用。
Groups
将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 换句话说,在管理单元范围内的管理员可以管理组的属性,例如组名称和成员身份,但不能管理组内用户和设备的属性(除非将这些用户和设备单独添加为管理单元的成员)。
例如,范围确定为包含组的管理单元的用户管理员可以和不可以执行的操作如下:
权限 | 有权执行的操作 |
---|---|
管理组名称 | ✅ |
管理组成员身份 | ✅ |
管理组中各个成员的用户属性 | ❌ |
管理组中各个成员的用户身份验证方法 | ❌ |
重置组中各个成员的密码 | ❌ |
为了让用户管理员管理群组中各个成员的用户属性或用户身份验证方法,必须将群组成员(用户)直接添加为管理单元的成员。
许可要求
使用管理单元时,要求在管理单元范围分配了目录角色的每位管理单元管理员具有 Microsoft Entra ID P1 许可证,要求每位管理单元成员具有 Microsoft Entra ID Free 许可证。 可以使用 Microsoft Entra ID 免费版许可证创建管理单元。 如果对管理单元使用动态成员身份组规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
管理管理单元
可以使用 Microsoft Entra 管理中心、PowerShell cmdlet 和脚本或 Microsoft Graph API 管理管理单元。 有关详细信息,请参阅:
- 创建或删除管理单元
- 向管理单元中添加用户、组或设备
- 管理具有动态成员资格组规则的管理单元的用户或设备
- 分配管理单元范围的 Microsoft Entra 角色
- 使用管理单元:介绍如何使用 PowerShell 处理管理单元。
- 管理单元 Graph 支持:提供有关适用于管理单元的 Microsoft Graph 的详细文档。
规划管理单元
可使用管理单元对 Microsoft Entra 资源进行逻辑分组。 IT 部门分散在世界各地的组织可能会创建定义相关地理边界的管理单元。 在另一种情况下,如果一个全球化组织的次级组织采用半自治运营模式,那么管理单元就可代表次级组织。
创建管理单元的条件将遵循组织的独特要求。 管理单元是跨 Microsoft 365 服务定义结构的常用方法。 建议你在准备管理单元时考虑它们在各项 Microsoft 365 服务中的使用。 如果可以在管理单元下跨 Microsoft 365 关联共有资源,则可以通过管理单元获取最大价值。
组织中管理单元的创建会经历以下阶段:
- 初始采用:组织将开始基于初始条件创建管理单元,并且随着条件的优化,管理单元的数量将增加。
- 删除:在定义条件后,不再需要的管理单元将被删除。
- 稳定化:定义组织结构之后,管理单元的数量在短期内不会发生显著变化。
当前支持的方案
作为特权角色管理员,可以使用 Microsoft Entra 管理中心执行以下操作:
- 创建管理单元
- 将用户、组或设备添加为管理单元的成员
- 管理具有动态成员资格组规则的管理单元的用户或设备
- 将 IT 人员分配到作用域为指定管理单元的管理员角色。
作用域为指定管理单元的管理员可以使用 Microsoft 365 管理中心对其管理单元中的用户进行基本管理。 具有管理单元作用域的组管理员可以使用 PowerShell、Microsoft Graph 和 Microsoft 365 管理中心来管理组。
管理单元仅对管理权限应用作用域。 它们不会阻止成员或管理员使用其默认用户权限浏览管理单元外部的其他用户、组或资源。 在 Microsoft 365 管理中心,管理员的管理单元范围外的用户会被筛选掉。但你可以在 Microsoft Entra 管理中心、PowerShell 和其他 Microsoft 服务中浏览其他用户。
注意
Microsoft 365 管理中心仅提供本节中介绍的功能。 没有为管理单元范围的 Microsoft Entra 角色提供组织级功能。
以下部分介绍当前对管理单元方案的支持。
管理单元管理
权限 | Microsoft Graph/PowerShell | Microsoft Entra 管理中心 | Microsoft 365 管理中心 |
---|---|---|---|
创建或删除管理单元 | ✅ | ✅ | ✅ |
添加或删除成员 | ✅ | ✅ | ✅ |
分配管理单元作用域内的管理员 | ✅ | ✅ | ✅ |
根据规则动态添加或删除用户或设备 | ✅ | ✅ | ❌ |
根据规则动态添加或删除组 | ❌ | ❌ | ❌ |
用户管理
权限 | Microsoft Graph/PowerShell | Microsoft Entra 管理中心 | Microsoft 365 管理中心 |
---|---|---|---|
管理单元作用域内的用户属性、密码管理 | ✅ | ✅ | ✅ |
管理单元作用域内的用户许可证管理 | ✅ | ✅ | ✅ |
管理单元作用域内的用户登录阻止和取消阻止 | ✅ | ✅ | ✅ |
用户多重身份验证凭据的管理单元范围管理 | ✅ | ✅ | ❌ |
组管理
权限 | Microsoft Graph/PowerShell | Microsoft Entra 管理中心 | Microsoft 365 管理中心 |
---|---|---|---|
管理单元范围的组创建和删除 | ✅ | ✅ | ✅ |
Microsoft 365 组的组属性和成员身份的管理单元范围管理 | ✅ | ✅ | ✅ |
所有其他组的组属性和成员身份的管理单元范围管理 | ✅ | ✅ | ❌ |
管理单元作用域内的组许可管理 | ✅ | ✅ | ❌ |
设备管理
权限 | Microsoft Graph/PowerShell | Microsoft Entra 管理中心 | Microsoft 365 管理中心 |
---|---|---|---|
启用、禁用或删除设备 | ✅ | ✅ | ❌ |
读取 BitLocker 恢复密钥 | ✅ | ✅ | ❌ |
目前不支持在 Intune 中管理设备。