Microsoft Entra Id'deki yönetim birimleri

Bu makalede, Microsoft Entra Id'deki yönetim birimleri açıklanmaktadır. Yönetim birimi, diğer Microsoft Entra kaynakları için kapsayıcı olabilecek bir Microsoft Entra kaynağıdır. Yönetim birimi yalnızca kullanıcıları, grupları veya cihazları içerebilir.

Yönetim birimleri, bir roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Örneğin Yardım Masası Yöneticisi rolünü bölgesel destek uzmanlarına devretmek için yönetim birimlerini kullanabilirsiniz, böylece kullanıcılar yalnızca destekledikleri bölgedeki kullanıcıları yönetebilir. Yönetici biriminin üyesi olmayan bir kullanıcıya rol atarsanız rolün kapsamının kiracının tamamı olduğunu unutmayın.

Kullanıcılar birden çok yönetim biriminin üyesi olabilir. Örneğin, kullanıcıları coğrafyaya ve bölüme göre yönetim birimlerine ekleyebilirsiniz; Megan Bowen "Seattle" ve "Marketing" yönetim birimlerinde olabilir.

Dağıtım senaryosu

Her türlü bağımsız bölmeden oluşan kuruluşlarda yönetim birimlerini kullanarak yönetim kapsamını kısıtlamak yararlı olabilir. Birçok otonom okuldan (School of Business, School of Engineering vb.) oluşan büyük bir üniversite örneğini düşünün. Her okulun erişimi denetleyen, kullanıcıları yöneten ve okulları için ilkeler ayarlayan bir BT yöneticisi ekibi vardır.

Merkezi yönetici şunları yapabilir:

  • İş Okulu için bir yönetim birimi oluşturun.
  • Yönetim birimini yalnızca İşletme Fakültesi içindeki öğrenciler ve personelle doldurun.
  • İş Okulu yönetim birimindeki yalnızca Microsoft Entra kullanıcıları üzerinde yönetim izinlerine sahip bir rol oluşturun.
  • İş okulu BT ekibini, kapsamıyla birlikte role ekleyin.

Yönetim biriminden kaldır seçeneğinin olduğu Cihazlar ve Yönetim birimleri sayfasının ekran görüntüsü.

Sınırlamalar

Yönetim birimleri için bazı kısıtlamalar aşağıdadır.

  • Yönetim birimleri iç içe yerleştirilemiyor.
  • Yönetim birimleri şu anda Microsoft Entra Kimlik Yönetimi'da kullanılamıyor.

Gruplar

Bir yönetim birimine grup eklemek, grubun kendisini yönetim biriminin yönetim kapsamına getirir, ancak grubun üyelerini getirmez . Başka bir deyişle, yönetim birimi kapsamındaki bir yönetici grubun grup adı veya üyelik gibi özelliklerini yönetebilir, ancak bu grup içindeki kullanıcıların veya cihazların özelliklerini yönetemez (bu kullanıcılar ve cihazlar yönetim biriminin üyesi olarak ayrı olarak eklenmediği sürece).

Örneğin, kapsamı grup içeren bir yönetim birimi olan bir Kullanıcı Yöneticisi aşağıdakileri yapabilir ve yapamaz:

İzinler Bunu yapabilir
Grubun adını yönetme
Grubun üyeliğini yönetme
Grubun tek tek üyeleri için kullanıcı özelliklerini yönetme
Grubun tek tek üyelerinin kullanıcı kimlik doğrulama yöntemlerini yönetme
Grubun tek tek üyelerinin parolalarını sıfırlama

Kullanıcı Yöneticisi'nin grubun tek tek üyelerinin kullanıcı özelliklerini veya kullanıcı kimlik doğrulama yöntemlerini yönetebilmesi için, grup üyelerinin (kullanıcılar) doğrudan yönetim biriminin üyeleri olarak eklenmesi gerekir.

Lisans gereksinimleri

Yönetim birimlerinin kullanılması, yönetim biriminin kapsamı üzerinde dizin rolleri atanan her yönetim birimi yöneticisi için bir Microsoft Entra ID P1 lisansı ve her yönetim birimi üyesi için bir Microsoft Entra ID Ücretsiz lisansı gerektirir. Yönetim birimleri oluşturmak, Microsoft Entra ID Ücretsiz lisansıyla kullanılabilir. Yönetim birimleri için dinamik üyelik grupları için kurallar kullanıyorsanız, her yönetim birimi üyesi bir Microsoft Entra Id P1 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.

Yönetim birimlerini yönetme

Microsoft Entra yönetim merkezini, PowerShell cmdlet'lerini ve betiklerini veya Microsoft Graph API'sini kullanarak yönetim birimlerini yönetebilirsiniz. Daha fazla bilgi için bkz.

Yönetim birimlerinizi planlama

Microsoft Entra kaynaklarını mantıksal olarak gruplandırmak için yönetim birimlerini kullanabilirsiniz. BT departmanı genel olarak dağınık olan bir kuruluş, ilgili coğrafi sınırları tanımlayan yönetim birimleri oluşturabilir. Küresel bir kuruluşun operasyonlarında yarı otonom alt organizasyonlara sahip olduğu başka bir senaryoda, yönetim birimleri alt organizasyonları temsil edebilir.

Yönetim birimlerinin oluşturulduğu ölçütler, kuruluşun benzersiz gereksinimleri tarafından yönlendirilir. Yönetim birimleri, Microsoft 365 hizmetlerinde yapı tanımlamanın yaygın bir yoludur. Yönetim birimlerinizi Microsoft 365 hizmetlerindeki kullanımlarını göz önünde bulundurarak hazırlamanızı öneririz. Microsoft 365 genelindeki ortak kaynakları bir yönetim birimi altında ilişkilendirebildiğiniz durumlarda, yönetim birimlerinden en yüksek değeri alabilirsiniz.

Kuruluşta yönetim birimlerinin oluşturulmasının aşağıdaki aşamalardan geçmesi beklenebilir:

  1. İlk benimseme: Kuruluşunuz, ilk ölçütlere göre yönetim birimleri oluşturmaya başlar ve ölçütler iyileştirilirken yönetim birimi sayısı artar.
  2. Ayıklama: Ölçütler tanımlandıktan sonra, artık gerekli olmayan yönetim birimleri silinir.
  3. İstikrar: Kurumsal yapınız tanımlanır ve yönetim birimlerinin sayısı kısa vadede önemli ölçüde değişmez.

Şu anda desteklenen senaryolar

Ayrıcalıklı Rol Yöneticisi olarak, Microsoft Entra yönetim merkezini kullanarak şunları yapabilirsiniz:

  • Yönetim birimleri oluşturma
  • Kullanıcıları, grupları veya cihazları yönetim birimlerinin üyesi olarak ekleme
  • Dinamik üyelik gruplarına yönelik kurallarla bir yönetim birimi için kullanıcıları veya cihazları yönetme
  • BT personelini yönetim birimi kapsamlı yönetici rollerine atayın.

Yönetim birimi kapsamındaki yöneticiler, yönetim birimlerindeki kullanıcıların temel yönetimi için Microsoft 365 yönetim merkezi kullanabilir. Yönetim birimi kapsamına sahip bir grup yöneticisi PowerShell, Microsoft Graph ve Microsoft 365 yönetim merkezi kullanarak grupları yönetebilir.

Yönetim birimleri yalnızca yönetim izinlerine kapsam uygular. Üyelerin veya yöneticilerin yönetim birimi dışındaki diğer kullanıcılara, gruplara veya kaynaklara göz atmak için varsayılan kullanıcı izinlerini kullanmasını engellemez. Microsoft 365 yönetim merkezi, kapsamı belirlenmiş bir yöneticinin yönetim birimleri dışındaki kullanıcılar filtrelenir. Ancak Microsoft Entra yönetim merkezinde, PowerShell'de ve diğer Microsoft hizmetleri diğer kullanıcılara göz atabilirsiniz.

Not

Microsoft 365 yönetim merkezi yalnızca bu bölümde açıklanan özellikler kullanılabilir. Yönetim birimi kapsamına sahip bir Microsoft Entra rolü için kuruluş düzeyinde özellik yoktur.

Aşağıdaki bölümlerde yönetim birimi senaryoları için geçerli destek açıklanmaktadır.

Yönetim birimi yönetimi

İzinler Microsoft Graph/PowerShell Microsoft Entra yönetim merkezi Microsoft 365 yönetim merkezi
Yönetim birimleri oluşturma veya silme
Üye ekleme veya kaldırma
Yönetim birimi kapsamlı yöneticiler atama
Kurala göre dinamik olarak kullanıcı veya cihaz ekleme veya kaldırma
Kurallara göre dinamik olarak grup ekleme veya kaldırma

Kullanıcı yönetimi

İzinler Microsoft Graph/PowerShell Microsoft Entra yönetim merkezi Microsoft 365 yönetim merkezi
Kullanıcı özelliklerinin, parolaların yönetim birimi kapsamlı yönetimi
Kullanıcı lisanslarının yönetim birimi kapsamlı yönetimi
Kullanıcı oturum açma işlemleri için yönetim birimi kapsamlı engelleme ve engellemeyi kaldırma
Çok faktörlü kullanıcı kimlik doğrulaması kimlik bilgilerinin yönetim birimi kapsamlı yönetimi

Grup yönetimi

İzinler Microsoft Graph/PowerShell Microsoft Entra yönetim merkezi Microsoft 365 yönetim merkezi
Yönetim birimi kapsamlı grup oluşturma ve silme
Microsoft 365 grupları için grup özelliklerinin ve üyeliğinin yönetim birimi kapsamlı yönetimi
Diğer tüm gruplar için grup özelliklerinin ve üyeliğinin yönetim birimi kapsamlı yönetimi
Grup lisanslamanın yönetim birimi kapsamlı yönetimi

Cihaz yönetimi

İzinler Microsoft Graph/PowerShell Microsoft Entra yönetim merkezi Microsoft 365 yönetim merkezi
Cihazları etkinleştirme, devre dışı bırakma veya silme
BitLocker kurtarma anahtarlarını okuma

Intune'da cihazları yönetmek şu anda desteklenmiyor .

Sonraki adımlar