管理単位を管理する
Azure で ID とガバナンスを管理するための戦略を設計するときは、Microsoft Entra インフラストラクチャの包括的な管理を計画することが重要です。 組織の管理単位を使用して管理スコープを制限すると便利です。 役割と責任の区分は、多数の独立した部門を持つ組織にとって特に役立ちます。
ビジネス、エンジニアリング、医学など、いくつかの異なる学校で構成される大規模な大学の管理タスクを考えてみてください。 大学には、管理事務所、教学棟、ソーシャル ビル、学生寮があります。 セキュリティ上の理由から、各ビジネス オフィスには、サーバー、プリンター、FAX 機などのリソース用の独自の内部ネットワークがあります。 各教学棟は大学のネットワークに接続されているため、講師と学生の両方が自分のアカウントにアクセスできます。 このネットワークは、寮やソーシャル ビルの学生や学部長も利用できます。 大学全体で、ゲスト ユーザーは大学ネットワーク経由でインターネットにアクセスする必要があります。
大学には、リソース アクセスの制御、ユーザーの管理、学校のポリシーの設定を一緒に行う IT 管理者のチームがあります。 一部の管理者は、責任の範囲に応じて、他の管理者よりも大きな特権を持っています。 完全な構造を計画、管理、監視するには、中央機関が必要です。 このシナリオでは、管理単位を割り当てて、組織の管理を容易にすることができます。
管理単位について考える事項
中央管理者ロールが管理単位を使用して、このシナリオでエンジニアリング学部をサポートする方法を検討します。
エンジニアリング学部の管理単位で Microsoft Entra ユーザーに対してのみ管理アクセス許可を持つロールを作成します。
エンジニアリング学部の管理単位を作成します。
管理単位には、エンジニアリング学部の学生、スタッフ、およびリソースのみを設定します。
エンジニアリング学部の IT チームを、スコープと共にロールに追加します。
管理単位を使用する場合に考慮すべき事項
組織内の管理単位を実装する方法について考えます。 次にいくつかの考慮事項を示します。
管理ツールについて検討する。 AU を管理するためのオプションを確認します。 Azure portal、PowerShell コマンドレットおよびスクリプト、または Microsoft Graph を使用できます。
Azure portal のロール要件について検討する。 ロール特権に従って、管理単位の戦略を計画します。 Azure portal では、グローバル管理者または特権ロール管理者ユーザーのみが AU を管理できます。
管理単位のスコープについて検討する。 管理単位のスコープが "管理" アクセス許可にのみ適用されることを認識します。 管理単位のメンバーと管理者は、既定の "ユーザー" アクセス許可を実行して、管理単位外の他のユーザー、グループ、またはリソースを参照できます。