Jednotky pro správu v MICROSOFT Entra ID
Tento článek popisuje jednotky pro správu v Microsoft Entra ID. Jednotka pro správu je prostředek Microsoft Entra, který může být kontejnerem pro další prostředky Microsoft Entra. Jednotka pro správu může obsahovat pouze uživatele, skupiny nebo zařízení.
Jednotky pro správu omezují oprávnění v rámci role na libovolnou část vaší organizace, kterou definujete. Pomocí jednotek pro správu například můžete delegovat roli Správce technické podpory na regionální specialisty podpory, aby mohli spravovat uživatele pouze v oblasti, ve které zajišťují podporu. Všimněte si, že pokud přiřadíte roli uživateli, který není členem jednotky pro správu, bude obor role celý tenant.
Uživatelé můžou být členy více jednotek pro správu. Můžete například přidat uživatele do jednotek pro správu podle zeměpisné oblasti a rozdělení; Megan Bowen může být v administrativních jednotkách "Seattle" a "Marketing".
Scénář nasazení
Může být užitečné omezit rozsah správy pomocí jednotek pro správu v organizacích, které se skládají z nezávislých divizí jakéhokoli druhu. Představte si příklad velké univerzity, která se skládá z mnoha autonomních škol (School of Business, School of Engineering atd.). Každá škola má tým správců IT, kteří řídí přístup, spravují uživatele a nastavují zásady pro svou školu.
Centrální správce může:
- Vytvořte administrativní jednotku pro školu firmy.
- Naplňte administrativní jednotku pouze studenty a pedagogy v rámci školy pro firmy.
- Vytvořte roli s oprávněními správce jenom pro uživatele Microsoft Entra v jednotce pro správu školy firmy.
- Přidejte tým IT obchodní školy do role spolu s jeho oborem.
Omezení
Tady jsou některá omezení pro jednotky pro správu.
- Jednotky pro správu nelze vnořit.
- Jednotky pro správu nejsou v současné době k dispozici v zásadách správného řízení Microsoft Entra ID.
Skupiny
Přidání skupiny do jednotky pro správu přenese samotnou skupinu do oboru správy jednotky pro správu, ale ne členů skupiny. Jinými slovy, správce vymezený na jednotku pro správu může spravovat vlastnosti skupiny, jako je název skupiny nebo členství, ale nemůže spravovat vlastnosti uživatelů nebo zařízení v této skupině (pokud tito uživatelé a zařízení nejsou samostatně přidáni jako členové jednotky pro správu).
Správce uživatelů, který má obor například na jednotku pro správu, která obsahuje skupinu, může a nemůže provést následující akce:
| Oprávnění | Může to udělat |
|---|---|
| Správa názvu skupiny | ✅ |
| Správa členství ve skupině | ✅ |
| Správa vlastností uživatele pro jednotlivé členy skupiny | ❌ |
| Správa metod ověřování uživatelů jednotlivých členů skupiny | ❌ |
| Resetování hesel jednotlivých členů skupiny | ❌ |
Aby správce uživatelů mohl spravovat vlastnosti uživatele nebo metody ověřování uživatelů jednotlivých členů skupiny, musí být členové skupiny (uživatelé) přidáni přímo jako členové jednotky pro správu.
Požadavky na licenci
Použití jednotek pro správu vyžaduje licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu, který má přiřazené role adresáře v oboru jednotky pro správu, a licenci Microsoft Entra ID Free pro každého člena jednotky pro správu. Vytváření jednotek pro správu je k dispozici s licencí Microsoft Entra ID Free. Pokud používáte pravidla pro dynamické skupiny členství pro jednotky pro správu, každý člen jednotky pro správu vyžaduje licenci Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Správa jednotek pro správu
Jednotky pro správu můžete spravovat pomocí Centra pro správu Microsoft Entra, rutin a skriptů PowerShellu nebo rozhraní Microsoft Graph API. Další informace naleznete v tématu:
- Vytvoření nebo odstranění jednotek pro správu
- Přidání uživatelů, skupin nebo zařízení do jednotky pro správu
- Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel pro dynamické skupiny členství
- Přiřazení rolí Microsoft Entra s oborem jednotek pro správu
- Práce s jednotkami pro správu: Popisuje, jak pracovat s jednotkami pro správu pomocí PowerShellu.
- Podpora pro Graf jednotek pro správu: Poskytuje podrobnou dokumentaci k Microsoft Graphu pro jednotky pro správu.
Plánování jednotek pro správu
Jednotky pro správu můžete použít k logickému seskupení prostředků Microsoft Entra. Organizace, jejíž ODDĚLENÍ IT je rozptýleno globálně, může vytvářet jednotky pro správu, které definují relevantní geografické hranice. V jiném scénáři, kdy globální organizace má v operacích dílčí uspořádání, které jsou částečně autonomní, mohou správní jednotky představovat podorganizace.
Kritéria, na kterých jsou vytvořeny jednotky pro správu, se řídí jedinečnými požadavky organizace. Jednotky pro správu představují běžný způsob definování struktury napříč službami Microsoftu 365. Doporučujeme připravit jednotky pro správu s jejich použitím napříč službami Microsoftu 365. Maximální hodnotu z jednotek pro správu můžete získat, když v rámci jednotky pro správu můžete přidružit společné prostředky v Microsoftu 365.
Můžete očekávat, že vytvoření jednotek pro správu v organizaci projde následujícími fázemi:
- Počáteční přijetí: Vaše organizace začne vytvářet jednotky pro správu na základě počátečních kritérií a počet jednotek pro správu se při upřesnění kritérií zvýší.
- Vyřazení: Po definování kritérií budou odstraněny jednotky pro správu, které už nejsou vyžadovány.
- Stabilizace: Vaše organizační struktura je definovaná a počet jednotek správy se v krátkodobém horizontu výrazně nezmění.
Aktuálně podporované scénáře
Jako správce privilegovaných rolí můžete použít Centrum pro správu Microsoft Entra k následujícím akcím:
- Vytvoření jednotek pro správu
- Přidání uživatelů, skupin nebo zařízení jako členů jednotek pro správu
- Správa uživatelů nebo zařízení pro jednotku pro správu pomocí pravidel pro dynamické skupiny členství
- Přiřaďte pracovníky IT k rolím správců v oboru jednotek správy.
Správci s oborem jednotek pro správu můžou používat Centrum pro správu Microsoftu 365 pro základní správu uživatelů v jejich jednotkách pro správu. Správce skupiny s oborem jednotek pro správu může spravovat skupiny pomocí PowerShellu, Microsoft Graphu a Centrum pro správu Microsoftu 365.
Jednotky pro správu používají obor pouze na oprávnění pro správu. Nezabrání členům nebo správcům v používání jejich výchozích uživatelských oprávnění k procházení jiných uživatelů, skupin nebo prostředků mimo jednotku pro správu. V Centrum pro správu Microsoftu 365 se odfiltrují uživatelé mimo jednotky správy s vymezeným oborem. Můžete ale procházet další uživatele v Centru pro správu Microsoft Entra, PowerShellu a dalších služby Microsoft.
Poznámka:
V Centrum pro správu Microsoftu 365 jsou k dispozici pouze funkce popsané v této části. Pro roli Microsoft Entra s oborem jednotek pro správu nejsou k dispozici žádné funkce na úrovni organizace.
Následující části popisují aktuální podporu scénářů jednotek pro správu.
Správa jednotek pro správu
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Vytvoření nebo odstranění jednotek pro správu | ✅ | ✅ | ✅ |
| Přidání nebo odebrání členů | ✅ | ✅ | ✅ |
| Přiřazení správců s vymezeným oborem pro správu | ✅ | ✅ | ✅ |
| Dynamické přidávání nebo odebírání uživatelů nebo zařízení na základě pravidel | ✅ | ✅ | ❌ |
| Dynamické přidávání nebo odebírání skupin na základě pravidel | ❌ | ❌ | ❌ |
Správa uživatelů
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Správa uživatelských vlastností, hesel v oboru jednotek správy | ✅ | ✅ | ✅ |
| Správa uživatelských licencí v rámci jednotek správy | ✅ | ✅ | ✅ |
| Blokování s vymezenou jednotkou správy a odblokování přihlašování uživatelů | ✅ | ✅ | ✅ |
| Správa vícefaktorových přihlašovacích údajů vícefaktorového ověřování uživatelů v oboru správy | ✅ | ✅ | ❌ |
Správa skupin
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Vytváření a odstraňování skupin s vymezeným oborem správy | ✅ | ✅ | ✅ |
| Správa vlastností skupiny a členství v rámci jednotek pro správu pro skupiny Microsoftu 365 | ✅ | ✅ | ✅ |
| Správa vlastností skupiny a členství v rámci jednotek správy pro všechny ostatní skupiny | ✅ | ✅ | ❌ |
| Správa licencování skupin v rámci jednotek správy | ✅ | ✅ | ❌ |
Správa zařízení
| Oprávnění | Microsoft Graph / PowerShell | Centrum pro správu Microsoft Entra | Centrum pro správu Microsoft 365 |
|---|---|---|---|
| Povolení, zakázání nebo odstranění zařízení | ✅ | ✅ | ❌ |
| Čtení obnovovacích klíčů BitLockeru | ✅ | ✅ | ❌ |
Správa zařízení v Intune se v tuto chvíli nepodporuje .