Unità amministrative in Microsoft Entra ID
Questo articolo descrive le unità amministrative in Microsoft Entra ID. Un'unità amministrativa è una risorsa Microsoft Entra che può essere un contenitore per altre risorse di Microsoft Entra. Un'unità amministrativa può contenere solo utenti, gruppi o dispositivi.
Le unità amministrative limitano le autorizzazioni di un ruolo a qualsiasi parte dell'organizzazione definita dall'utente. È possibile, ad esempio, usare unità amministrative per delegare il ruolo Amministratore di supporto tecnico agli specialisti del supporto tecnico locale, in modo che possano gestire gli utenti solo nell'area che supportano. Si noti che se si assegna un ruolo a un utente che non è membro di un'unità amministrativa, l'ambito del ruolo è l'intero tenant.
Gli utenti possono essere membri di più unità amministrative. Ad esempio, è possibile aggiungere utenti a unità amministrative per area geografica e divisione; Megan Bowen può trovarsi nelle unità amministrative "Seattle" e "Marketing".
Scenario di distribuzione
Può risultare utile limitare l'ambito amministrativo mediante le unità amministrative nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo. Si consideri l'esempio di una grande università costituita da molti istituti autonomi (Istituto di economia, Istituto di ingegneria e così via). Ogni istituto di istruzione ha un team di amministratori IT che controllano l'accesso, gestiscono gli utenti e impostano i criteri per l'istituto di istruzione.
Un amministratore centrale potrebbe:
- Creare un'unità amministrativa per la School of Business.
- Popolare l'unità amministrativa con solo studenti e personale all'interno della School of Business.
- Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Microsoft Entra nell'unità amministrativa School of Business.
- Aggiungere il team IT della business school al ruolo, insieme al relativo ambito.
Vincoli
Di seguito sono riportati alcuni vincoli per le unità amministrative.
- Le unità amministrative non possono essere annidate.
- Le unità amministrative non sono attualmente disponibili in Microsoft Entra ID Governance.
Gruppi
L'aggiunta di un gruppo a un'unità amministrativa porta il gruppo stesso nell'ambito di gestione dell'unità amministrativa, ma non i membri del gruppo. In altre parole, l'amministratore con ambito nell'unità amministrativa può gestire le proprietà del gruppo, ad esempio il nome o l'appartenenza del gruppo, ma non può gestire le proprietà degli utenti o dei dispositivi all'interno del gruppo, a meno che questi non vengano aggiunti separatamente come membri dell'unità amministrativa.
Ad esempio, l'amministratore utenti con ambito in un'unità amministrativa che contiene un gruppo può e non può effettuare le operazioni seguenti:
| Autorizzazioni | Può eseguire |
|---|---|
| Gestire il nome del gruppo | ✅ |
| Gestire l'appartenenza al gruppo | ✅ |
| Gestire le proprietà utente per i singoli membri del gruppo | ❌ |
| Gestire i metodi di autenticazione utente dei singoli membri del gruppo | ❌ |
| Reimpostare le password dei singoli membri del gruppo | ❌ |
Per permettere all'amministratore utenti di gestire le proprietà utente o i metodi di autenticazione utente di singoli membri del gruppo, i membri del gruppo (utenti) devono essere aggiunti direttamente come membri dell'unità amministrativa.
Requisiti di licenza
L'uso di unità amministrative richiede una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa a cui sono assegnati ruoli della directory nell'ambito dell'unità amministrativa e una licenza gratuita di Microsoft Entra ID per ogni membro dell'unità amministrativa. La creazione di unità amministrative è disponibile con una licenza gratuita di Microsoft Entra ID. Se si usano regole dei gruppi di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.
Gestire le unità amministrative
È possibile gestire le unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra, i cmdlet e gli script di PowerShell o l'API Microsoft Graph. Per altre informazioni, vedi:
- Creare o eliminare unità amministrative
- Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa
- Gestire utenti o dispositivi per un'unità amministrativa con regole per i gruppi di appartenenza dinamica
- Assegnare ruoli di Microsoft Entra con ambito di unità amministrativa
- Usare le unità amministrative: illustra come usare le unità amministrative con PowerShell.
- Supporto Graph per l'unità amministrativa: fornisce la documentazione dettagliata su Microsoft Graph per le unità amministrative.
Pianificare le unità amministrative
È possibile utilizzare le unità amministrative per raggruppare logicamente le risorse di Microsoft Entra. Un'organizzazione il cui reparto IT è dislocato in varie parti del mondo potrebbe creare unità amministrative che definiscono i limiti geografici rilevanti. Nel caso di un'organizzazione globale con sotto-organizzazioni semi-autonome nelle operazioni, le sotto-organizzazioni potrebbero essere rappresentate dalle unità amministrative.
I criteri in base ai quali creare le unità amministrative dipenderanno dai requisiti univoci di un'organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi Microsoft 365. È consigliabile preparare le unità amministrative tenendo in considerazione il loro utilizzo nei servizi di Microsoft 365. È possibile ottenere il valore massimo dalle unità amministrative quando è possibile associare risorse comuni tra Microsoft 365 in un'unità amministrativa.
La creazione di unità amministrative in un'organizzazione è in genere costituita dalle fasi seguenti:
- Adozione iniziale: L'organizzazione inizierà a creare unità amministrative in base ai criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati.
- Eliminazione: Dopo aver definito i criteri, le unità amministrative che non sono più necessarie verranno eliminate.
- Stabilizzazione: La struttura organizzativa è definita e il numero di unità amministrative non cambierà significativamente a breve termine.
Scenari attualmente supportati
In qualità Amministratore ruolo con privilegi, è possibile usare l'interfaccia di amministrazione di Microsoft Entra per:
- Creare unità amministrative
- Aggiungere utenti, gruppi o dispositivi come membri di unità amministrative.
- Gestire utenti o dispositivi per un'unità amministrativa con regole per i gruppi di appartenenza dinamica
- Assegnare il personale IT ai ruoli di amministratore con ambito di unità amministrativa.
Gli amministratori con ambito unità amministrativa possono usare l’interfaccia di amministrazione di Microsoft 365 per la gestione di base degli utenti nelle unità amministrative. Un amministratore di gruppo con ambito unità amministrativa può gestire i gruppi usando PowerShell, Microsoft Graph e le interfacce di amministrazione di Microsoft 365.
Le unità amministrative applicano l'ambito solo alle autorizzazioni di gestione. Non impediscono a membri o agli amministratori di usare le proprie autorizzazioni utente predefinite per esplorare altri utenti, gruppi o risorse all'esterno dell'unità amministrativa. Nell'interfaccia di amministrazione di Microsoft 365, gli utenti esterni alle unità amministrative di un amministratore con ambito sono esclusi, ma è possibile esplorare altri utenti nell'interfaccia di amministrazione di Microsoft Entra, PowerShell e in altri servizi Microsoft.
Nota
Solo le funzionalità descritte in questa sezione sono disponibili nell'interfaccia di amministrazione di Microsoft 365. Non sono disponibili funzionalità a livello di organizzazione per un ruolo Microsoft Entra con ambito unità amministrativa.
Le sezioni seguenti descrivono il supporto corrente per gli scenari di unità amministrative.
Gestione unità amministrative
| Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Creare o eliminare unità amministrative | ✅ | ✅ | ✅ |
| Aggiungere o rimuovere membri | ✅ | ✅ | ✅ |
| Assegnare amministratori con ambito unità amministrativa | ✅ | ✅ | ✅ |
| Aggiungere o rimuovere utenti o dispositivi in modo dinamico in base alle regole | ✅ | ✅ | ❌ |
| Aggiungere o rimuovere gruppi in modo dinamico in base alle regole | ❌ | ❌ | ❌ |
Gestione degli utenti
| Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Gestione amministrativa con ambito unità delle proprietà utente, password | ✅ | ✅ | ✅ |
| Gestione amministrativa con ambito unità delle licenze utente | ✅ | ✅ | ✅ |
| Blocco e sblocco degli accessi degli utenti con ambito unità amministrativa | ✅ | ✅ | ✅ |
| Gestione con ambito unità amministrativa delle credenziali di autenticazione a più fattori degli utenti | ✅ | ✅ | ❌ |
Gestione dei gruppi
| Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Creazione ed eliminazione con ambito unità amministrativa di gruppi | ✅ | ✅ | ✅ |
| Gestione con ambito unità amministrativa delle proprietà e dell'appartenenza ai gruppi Microsoft 365 | ✅ | ✅ | ✅ |
| Gestione con ambito unità amministrativa delle proprietà e dell'appartenenza ai gruppi per tutti gli altri gruppi | ✅ | ✅ | ❌ |
| Gestione con ambito unità amministrativa delle licenze di gruppo | ✅ | ✅ | ❌ |
Gestione dei dispositivi
| Autorizzazioni | Microsoft Graph/PowerShell | Interfaccia di amministrazione di Microsoft Entra | Interfaccia di amministrazione di Microsoft 365 |
|---|---|---|---|
| Abilitare, disabilitare o eliminare dispositivi | ✅ | ✅ | ❌ |
| Chiavi di ripristino di BitLocker | ✅ | ✅ | ❌ |
La gestione dei dispositivi in Intune non è attualmente supportata.