建立管理單位
當您在 Azure 中設計用於管理身分識別和治理的策略時,規劃 Microsoft Entra 基礎結構的全方位管理非常重要。 使用組織的管理單位來限制管理範圍可能很有用。 對於擁有許多獨立部門的組織而言,角色和責任的劃分特別有用。
請考慮大型大學的管理工作,而大型大學是由數個不同的學院所組成,例如商學院、工學院和醫學院。 大學有行政辦公室、學術大樓、社交大樓和學生宿舍。 基於安全性考慮,每個商務辦公室都有自己的內部網路,可用於伺服器、印表機和傳真機等資源。 每棟學術大樓都會連線到大學網路,因此講師和學生都可以存取他們的帳戶。 此網路也可供宿舍和社交大樓中的學生和學監使用。 在大學內,來賓使用者需要透過大學網路存取網際網路。
該大學有一組 IT 管理員,一起合作控制資源存取、管理使用者,以及設定學校的原則。 視責任範圍而定,有些管理員的權限擁有比其他管理員更高的權限。 需要有中央授權單位來規劃、管理及監督完整的結構。 在此案例中,您可以指派管理單位,以便輕鬆地管理組織。
關於管理單位的考量事項
請考慮管理中心角色如何使用管理單位,以在我們的案例中支援工程學系:
僅針對工程學系管理單位中的 Microsoft Entra 使用者,建立具有管理權限的角色。
建立工程學系的管理單位。
只將工程學系學生、教職員和資源填入管理單位。
將工程學系 IT 小組新增至角色集其範圍。
使用管理單位時應考慮的事項
請考慮如何在組織中實作管理單位。 以下是一些考量:
考慮管理工具。 檢閱用於管理 AU 的選項。 您可使用 Azure 入口網站、PowerShell Cmdlet 和指令碼,或是 Microsoft Graph。
考慮 Azure 入口網站中的角色需求。 根據角色權限規劃管理單位的策略。 在 Azure 入口網站中,只有全域管理員或特殊權限角色管理員使用者可以管理 AU。
考慮管理單位的範圍。 辨識管理單位的範圍僅適用於「管理」權限。 管理單位的成員和管理員可以運用其預設「使用者」權限,瀏覽其管理單位以外的其他使用者、群組或資源。