Microsoft Entra ID 中的 管理員 單位
本文說明 Microsoft Entra ID 中的系統管理單位。 管理單位是 Microsoft Entra 資源,也可以是其他 Microsoft Entra 資源的容器。 管理單位只能包含使用者、群組或裝置。
管理單位會將角色中的權限限制為您所定義之組織的任何部分。 例如,您可以使用管理單位,將服務台管理員角色委派給區域支援專家,讓他們只能管理其支援區域中的使用者。
用戶可以是多個系統管理單位的成員。 例如,您可以依地理位置和部門將使用者新增至系統管理單位;梅根·鮑文可能位於「西雅圖」和「行銷」管理單位。
部署案例
在由任何種類的獨立部門所構成的組織中,使用管理單位來限制系統管理範圍可能非常有用。 假設有一家由許多自主運作之學院 (商學院、工學院等) 所組成的大型大學。 每個學院都有一個 IT 管理員小組,負責控制存取、管理使用者,以及為學校設定原則。
中央系統管理員可以:
- 建立商學院的管理單位。
- 在管理單位中,只填入商學院內的學生和教職員。
- 僅透過商務學院管理單位中的 Microsoft Entra 使用者,建立具有系統管理許可權的角色。
- 將商學院 IT 小組與其範圍新增至角色。
限制
以下是管理單位的一些限制。
群組
將群組新增至管理單位,會將群組本身帶入管理單位的管理範圍,但 不會 將群組成員帶入群組的成員。 換句話說,限定於系統管理單位的系統管理員可以管理群組的屬性,例如組名或成員資格,但他們無法管理該群組內使用者或裝置的屬性(除非這些使用者和裝置會個別新增為系統管理單位的成員)。
例如,範圍設定為包含群組之系統管理單位的使用者 管理員 istrator 可以且無法執行下列動作:
| 權限 | Can do |
|---|---|
| 管理群組的名稱 | ✅ |
| 管理群組的成員資格 | ✅ |
| 管理群組個別 成員 的用戶屬性 | ❌ |
| 管理群組個別 成員 的使用者驗證方法 | ❌ |
| 重設群組個別 成員 的密碼 | ❌ |
為了讓使用者 管理員 istrator 管理群組個別成員的使用者屬性或使用者驗證方法,必須將群組成員 (users) 直接新增為系統管理單位的成員。
授權需求
使用管理單位需要每個系統管理單位系統管理員的 Microsoft Entra ID P1 授權,而每個系統管理單位成員都會獲指派目錄角色,以及每個系統管理單位成員的 Microsoft Entra ID 免費授權。 使用 Microsoft Entra ID 免費授權來建立系統管理單位。 如果您使用系統管理單位的動態成員資格規則,則每個管理單位成員都需要 Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱比較免費和 進階版 版本的一般可用功能。
管理管理單位
您可以使用 Microsoft Entra 系統管理中心、PowerShell Cmdlet 和指令碼或 Microsoft Graph API 來管理管理單位。 如需詳細資訊,請參閱
- 建立或刪除管理單位
- 將使用者、群組或裝置新增至管理單位
- 使用動態成員資格規則管理管理單位的使用者或裝置 (預覽)
- 使用系統管理單位範圍指派 Microsoft Entra 角色
- 使用管理單位:涵蓋如何使用PowerShell來處理管理單位。
- 管理員 單元 Graph 支援:提供管理單位 Microsoft Graph 的詳細檔。
規劃系統管理單位
管理單位可用來以邏輯方式將 Microsoft Entra 資源分組。 IT 部門遍佈全球的組織可能會建立系統管理單位,來定義相關的地理界限。 在另一個案例中,全球組織設有附屬組織,以半自主方式進行營運,則系統管理單位可代表附屬組織。
系統管理單位的建立準則是依組織的唯一需求所引導。 管理單位是橫跨 Microsoft 365 服務定義結構的常見方式。 建議您在準備系統管理單位時,謹記其跨 Microsoft 365 服務的用途。 您可從管理單位中獲得最大價值,當您能夠在管理單位之下橫跨 Microsoft 365 連結常見的資源。
您可以預期在組織中建立系統管理單位時,會經過下列階段:
- 初始採用:貴組織會根據初始準則開始建立系統管理單位,且系統管理單位的數目會隨所定義的準則而增加。
- 剪除:在定義準則之後,會將不再需要的系統管理單位刪除。
- 穩定:您的組織結構已定義,系統管理單位的數目短期內不會大幅變更。
目前支援的案例
作為全域管理員或特殊許可權角色管理員,您可以使用 Microsoft Entra 系統管理中心來:
- 建立管理單位
- 將使用者、群組或裝置新增為系統管理單位的成員
- 使用動態成員資格規則管理管理單位的使用者或裝置 (預覽)
- 將 IT 人員指派給管理單位範圍的系統管理員角色。
管理單位範圍的系統管理員可以使用 Microsoft 365 系統管理中心以對其管理單位進行使用者的基本管理。 具有管理單位範圍的群組系統管理員可以使用 PowerShell、Microsoft Graph 和 Microsoft 365 系統管理中心來管理群組。
管理單位只會將範圍套用至管理權限。 他們不會防止成員或系統管理員使用其 預設用戶權力 來流覽管理單位以外的其他使用者、群組或資源。 在 Microsoft 365 系統管理中心 中,會篩選出範圍管理員管理單位以外的使用者。但您可以在 Microsoft Entra 系統管理中心、PowerShell 和其他 Microsoft 服務 中流覽其他使用者。
注意
本節所述的功能僅適用於 Microsoft 365 系統管理中心。 沒有組織層級功能可供具有系統管理單位範圍的 Microsoft Entra 角色使用。
下列章節描述目前對管理單位案例的支援。
管理單位管理
| 權限 | Microsoft Graph/PowerShell | Microsoft Entra 系統管理中心 | Microsoft 365 系統管理中心 |
|---|---|---|---|
| 建立或刪除管理單位 | ✅ | ✅ | ✅ |
| 新增或移除成員 | ✅ | ✅ | ✅ |
| 指派管理單位範圍的系統管理員 | ✅ | ✅ | ✅ |
| 根據規則動態新增或移除使用者 (預覽) | ✅ | ✅ | ❌ |
| 根據規則動態新增或移除群組 | ❌ | ❌ | ❌ |
使用者管理
| 權限 | Microsoft Graph/PowerShell | Microsoft Entra 系統管理中心 | Microsoft 365 系統管理中心 |
|---|---|---|---|
| 管理單位範圍的使用者屬性、密碼管理 | ✅ | ✅ | ✅ |
| 管理單位範圍的使用者授權管理 | ✅ | ✅ | ✅ |
| 管理單位範圍的使用者登入封鎖和解除封鎖 | ✅ | ✅ | ✅ |
| 管理員 使用者多重要素驗證認證的單位範圍管理 | ✅ | ✅ | ❌ |
群組管理
| 權限 | Microsoft Graph/PowerShell | Microsoft Entra 系統管理中心 | Microsoft 365 系統管理中心 |
|---|---|---|---|
| 管理員 單位範圍的建立和刪除群組 | ✅ | ✅ | ✅ |
| 管理員 Microsoft 365 群組的群組屬性和成員資格的單位範圍管理 | ✅ | ✅ | ✅ |
| 管理員 所有其他群組的群組屬性和成員資格的單位範圍管理 | ✅ | ✅ | ❌ |
| 管理單位範圍的群組授權管理 | ✅ | ✅ | ❌ |
裝置管理
| 權限 | Microsoft Graph/PowerShell | Microsoft Entra 系統管理中心 | Microsoft 365 系統管理中心 |
|---|---|---|---|
| 啟用、停用或刪除裝置 | ✅ | ✅ | ❌ |
| 讀取 BitLocker 修復金鑰 | ✅ | ✅ | ❌ |
目前不支援在 Intune 中管理裝置。