Podrobnější řízení správy v MICROSOFT Entra ID můžete přiřadit uživatelům k roli Microsoft Entra s oborem omezeným na jednu nebo více jednotek pro správu. Ukázkové skripty PowerShellu pro běžné úlohy najdete v tématu Práce s jednotkami pro správu.
OBECNÉ
Proč nemůžu vytvořit jednotku pro správu?
Abyste mohli vytvořit jednotku pro správu v MICROSOFT Entra ID, musíte mít přiřazenou alespoň roli Správce privilegovaných rolí. Zkontrolujte, jestli má uživatel, který se pokouší vytvořit jednotku pro správu, přiřazenou roli Správce privilegovaných rolí.
Přidal(a) jsem skupinu do jednotky pro správu. Proč se tam členové skupiny pořád nezobrazují?
Když přidáte skupinu do jednotky pro správu, nedojde k tomu, že do ní budou přidáni všichni členové skupiny. Uživatelé musí být přímo přiřazeni k jednotce pro správu.
Právě jsem přidal (nebo odebral) člena správní jednotky. Proč se člen nezobrazuje (nebo se pořád zobrazuje) v uživatelském rozhraní?
Někdy může přidání nebo odebrání jednoho nebo více členů jednotky pro správu trvat několik minut, než se projeví v podokně Jednotky pro správu. Případně můžete přejít přímo na vlastnosti přidruženého prostředku a zjistit, jestli byla akce dokončena. Další informace očlench
Jsem delegovaný správce hesel v jednotce pro správu. Proč se mi nedaří resetovat heslo konkrétního uživatele?
Jako správce jednotky pro správu můžete resetovat hesla jenom pro uživatele, kteří jsou přiřazeni k vaší jednotce pro správu. Ujistěte se, že uživatel, jehož resetování hesla selhává, patří do jednotky pro správu, ke které jste přiřadili. Pokud uživatel patří do stejné jednotky pro správu, ale přesto nemůžete resetovat heslo uživatele, zkontrolujte role přiřazené uživateli.
Aby se zabránilo zvýšení oprávnění, správce s oborem jednotek pro správu nemůže resetovat heslo uživatele, který je přiřazen k roli s oborem v celé organizaci.
Proč jsou nezbytné jednotky pro správu? Nemohli jsme jako způsob definování oboru používat skupiny zabezpečení?
Skupiny zabezpečení mají existující model účelu a autorizace. Správce uživatelů může například spravovat členství ve všech skupinách zabezpečení v organizaci Microsoft Entra. Role může používat skupiny ke správě přístupu k aplikacím, jako je Salesforce. Správce uživatelů by neměl mít možnost spravovat samotný model delegování, což by byl výsledek v případě, že skupiny zabezpečení byly rozšířeny tak, aby podporovaly scénáře "seskupení prostředků".
Jednotky pro správu, jako jsou organizační jednotky ve službě Windows Server Active Directory, představují způsob, jak nastavit rozsah správy široké škály objektů adresáře. Samotné skupiny zabezpečení můžou být členy oborů prostředků. Použití skupin zabezpečení k definování sady skupin zabezpečení, které může správce spravovat, může být matoucí.
Co znamená přidat skupinu do jednotky pro správu?
Přidání skupiny do jednotky pro správu přenese samotnou skupinu do oboru správy jednotky pro správu, ale ne členů skupiny. Další informace naleznete v tématu Jednotky pro správu v Microsoft Entra ID.
Může být prostředek (uživatel, skupina nebo zařízení) členem více než jedné jednotky pro správu?
Ano, prostředek může být členem více než jedné jednotky pro správu. Tento prostředek může spravovat všichni správci v rámci celé organizace a správci s oborem jednotek správy, kteří mají oprávnění k prostředku.
Jsou jednotky pro správu dostupné v organizacích B2C?
Ne, jednotky pro správu nejsou dostupné pro organizace B2C.
Podporují se vnořené jednotky pro správu?
Ne, vnořené jednotky pro správu se nepodporují.
Podporují se jednotky pro správu v PowerShellu a rozhraní Microsoft Graph API?
Ano. Podporu jednotek pro správu najdete v dokumentaci k rutinám PowerShellu a ukázkových skriptech.
Vyhledejte podporu pro typ prostředku administrativeUnit v Microsoft Graphu.
Dynamické jednotky pro správu
Právě jsem uložil pravidlo pro dynamické skupiny členství pro jednotku pro správu, ale zatím nevidím žádné uživatele.
Počáteční aktualizace jednotky pro správu může trvat několik minut v závislosti na velikosti tenanta a aktuálním načtení ID Microsoft Entra.
Po vytvoření pravidla pro dynamické skupiny členství v Centru pro správu Microsoft Entra pomocí tvůrce pravidel a pokusu o uložení se zobrazí chyba "Nepodařilo se aktualizovat vlastnosti jednotky pro správu".
Obvykle to znamená, že dochází k potížím se zadanými hodnotami vlastností. Ověřte, že zadané hodnoty vlastností mají správný typ hodnoty (logická hodnota, řetězec nebo kolekce řetězců). Další informace najdete v povolených hodnotách pro každého operátora pro uživatele nebo zařízení.
K této chybě může dojít také v případě, že se osoba bez licence Microsoft Entra ID P1 pokusí uložit aktualizaci do jednotky pro správu.
Jak můžu přidat jednoho člena do jednotky pro správu kromě aktuálního pravidla pro dynamické skupiny členství?
Pokud chcete přidat jednoho uživatele, přidejte do pravidla pro dynamické skupiny členství odpovídající výraz s operátorem OR dotazu.
Jsem správcem privilegovaných rolí, ale nemůžu přidávat ani odebírat členy pro jednotku pro správu.
Pokud je pro skupiny dynamického členství nakonfigurovaná jednotka pro správu, musíte upravit pravidla pro dynamické skupiny členství, aby se změnilo členství.
Kolik jednotek pro správu s pravidly pro dynamické skupiny členství můžu vytvořit v tenantovi?
Celkový počet dynamických skupin členství a jednotek dynamické správy nesmí překročit 15 000.
Existuje omezení počtu znaků v pravidle pro dynamické skupiny členství?
Ano. 3 072 znaků.
Můžu vytvořit jednotky pro správu s pravidly pro dynamické skupiny členství v Centrum pro správu Microsoftu 365?
Ne.
Jednotky pro správu s omezeným přístupem (Preview)
Jsem vlastníkem skupiny, která je členem jednotky pro správu s omezeným přístupem. Jak jsou moje oprávnění ovlivněná?
Jako vlastník chráněné skupiny ji nebudete moct spravovat jenom na základě vlastnictví. Správa chráněných prostředků v současné době vyžaduje přiřazení role v oboru omezené jednotky správy chráněného prostředku.
Jak jsou moje prostředky Microsoftu 365 ovlivněné pomocí jednotek pro správu s omezeným přístupem?
V současné době se podporuje zabezpečení prostředků Microsoft Entra v jednotkách pro správu s omezeným přístupem. Prostředky spravované mimo ID Microsoft Entra se nepodporují.
Nemůžu upravit člena jednotky pro správu s omezeným přístupem.
Uživatel, skupina nebo zařízení je členem jednotky pro správu s omezeným přístupem. Práva správy jsou omezena na správce, kteří mají obor na danou jednotku pro správu.