分享方式:


Microsoft Entra ID 中的管理單位

本文說明 Microsoft Entra ID 中的管理單位。 管理單位是 Microsoft Entra 資源,也可以是其他 Microsoft Entra 資源的容器。 管理單位只能包含使用者、群組或裝置。

管理單位會將角色中的權限限制為您所定義之組織的任何部分。 例如,您可以使用管理單位,將服務台管理員角色委派給區域支援專家,讓他們只能管理其支援區域中的使用者。 請注意,如果您將角色指派給不是管理單位成員的使用者,則該角色的範圍就是整個租用戶。

使用者可以是屬於多個管理單位的成員。 例如,您可以依地理位置和部門來將使用者新增至管理單位;Megan Bowen 可能同時屬於「西雅圖」和「行銷」管理單位。

部署案例

在由任何種類的獨立部門所構成的組織中,使用管理單位來限制系統管理範圍可能非常有用。 假設有一家由許多自主運作之學院 (商學院、工學院等) 所組成的大型大學。 每個學院都有一個 IT 管理員小組,負責控制存取、管理使用者,以及為學校設定原則。

中央系統管理員可以:

  • 建立商學院的管理單位。
  • 在管理單位中,只填入商學院內的學生和教職員。
  • 建立一個角色,該角色只對商學院管理單位中的 Microsoft Entra 使用者有系統管理權限。
  • 將商學院 IT 小組與其範圍新增至角色。

螢幕擷取畫面:具有 [從管理單位移除] 選項的 [裝置和管理單位] 頁面。

限制

以下是管理單位的一些限制。

群組

將群組新增至管理單位會將群組本身納入管理單位的管理範圍,而「不」是群組的成員。 換句話說,範圍設定為管理單位的管理員可以管理群組的屬性 (例如群組名稱或成員資格),但無法管理該群組內使用者或裝置的屬性 (除非將這些使用者和裝置分別新增為管理單位的成員)。

例如,範圍設定為包含群組之管理單位的使用者管理員可以和無法執行下列動作:

權限 Can do
管理群組的名稱
管理群組的成員資格
管理群組個別「成員」的使用者屬性
管理群組個別「成員」的使用者驗證方法
重設群組個別「成員」的密碼

為了讓使用者管理員來管理群組中個別成員的使用者屬性或使用者驗證方法,必須將群組成員 (使用者) 直接新增為管理單位的成員。

授權需求

使用管理單位需要為每個在管理單為範圍內指派目錄角色的管理單位系統管理員提供 Microsoft Entra ID P1 授權,並為每個管理單位成員提供 Microsoft Entra ID 免費授權。 可以使用 Microsoft Entra ID Free 授權建立管理單位。 如果您使用管理單位的組動態成員資格規則來管理單位中的成員,則每個管理單位成員都需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能

管理管理單位

您可以使用 Microsoft Entra 系統管理中心、PowerShell Cmdlet 和指令碼或 Microsoft Graph API 來管理管理單位。 如需詳細資訊,請參閱

規劃系統管理單位

管理單位可用來以邏輯方式將 Microsoft Entra 資源分組。 IT 部門遍佈全球的組織可能會建立系統管理單位,來定義相關的地理界限。 在另一個案例中,全球組織設有附屬組織,以半自主方式進行營運,則系統管理單位可代表附屬組織。

系統管理單位的建立準則是依組織的唯一需求所引導。 管理單位是橫跨 Microsoft 365 服務定義結構的常見方式。 建議您在準備系統管理單位時,謹記其跨 Microsoft 365 服務的用途。 您可從管理單位中獲得最大價值,當您能夠在管理單位之下橫跨 Microsoft 365 連結常見的資源。

您可以預期在組織中建立系統管理單位時,會經過下列階段:

  1. 初始採用:貴組織會根據初始準則開始建立系統管理單位,且系統管理單位的數目會隨所定義的準則而增加。
  2. 剪除:在定義準則之後,會將不再需要的系統管理單位刪除。
  3. 穩定:您的組織結構已定義,系統管理單位的數目短期內不會大幅變更。

目前支援的案例

身為特殊權限角色管理員,您可以使用 Microsoft Entra 系統管理中心來:

  • 建立管理單位
  • 將使用者、群組或裝置新增為管理單位的成員
  • 使用組動態成員資格群組規則管理管理單位的使用者或裝置
  • 將 IT 人員指派給管理單位範圍的系統管理員角色。

管理單位範圍的系統管理員可以使用 Microsoft 365 系統管理中心以對其管理單位進行使用者的基本管理。 具有管理單位範圍的群組系統管理員可以使用 PowerShell、Microsoft Graph 和 Microsoft 365 系統管理中心來管理群組。

管理單位只會將範圍套用至管理權限。 其不會阻止成員或系統管理員使用其預設使用者權限來瀏覽管理單位以外的其他使用者、群組或資源。 在 Microsoft 365 系統管理中心,系統會篩選出範圍管理員之管理單位以外的使用者。但您可以在 Microsoft Entra 系統管理中心、PowerShell 和其他 Microsoft 服務中瀏覽其他使用者。

注意

只有本節中說明的功能可在 Microsoft 365 系統管理中心使用。 具有管理單位範圍的 Microsoft Entra 角色無法使用組織層級功能。

下列章節描述目前對管理單位案例的支援。

管理單位管理

權限 Microsoft Graph/PowerShell Microsoft Entra 系統管理中心 Microsoft 365 系統管理中心
建立或刪除管理單位
新增或移除成員
指派管理單位範圍的系統管理員
根據規則動態新增或移除使用者或裝置
根據規則動態新增或移除群組

使用者管理

權限 Microsoft Graph/PowerShell Microsoft Entra 系統管理中心 Microsoft 365 系統管理中心
管理單位範圍的使用者屬性、密碼管理
管理單位範圍的使用者授權管理
管理單位範圍的使用者登入封鎖和解除封鎖
管理單位範圍的使用者多重要素驗證認證管理

群組管理

權限 Microsoft Graph/PowerShell Microsoft Entra 系統管理中心 Microsoft 365 系統管理中心
管理單位範圍的群組建立和刪除
以管理單位為範圍管理 Microsoft 365 群組的群組屬性和成員資格
以管理單位為範圍管理所有其他群組的群組屬性和成員資格
管理單位範圍的群組授權管理

裝置管理

權限 Microsoft Graph/PowerShell Microsoft Entra 系統管理中心 Microsoft 365 系統管理中心
啟用、停用或刪除裝置
讀取 BitLocker 修復金鑰

目前支援在 Intune 中管理裝置。

下一步