建立管理單位

• 3 分鐘

當您在 Azure 中設計用於管理身分識別和治理的策略時，規劃 Microsoft Entra 基礎結構的全方位管理非常重要。 使用組織的管理單位來限制管理範圍可能很有用。 對於擁有許多獨立部門的組織而言，角色和責任的劃分特別有用。

請考慮大型大學的管理工作，而大型大學是由數個不同的學院所組成，例如商學院、工學院和醫學院。 大學有行政辦公室、學術大樓、社交大樓和學生宿舍。 基於安全性考慮，每個商務辦公室都有自己的內部網路，可用於伺服器、印表機和傳真機等資源。 每棟學術大樓都會連線到大學網路，因此講師和學生都可以存取他們的帳戶。 此網路也可供宿舍和社交大樓中的學生和學監使用。 在大學內，來賓使用者需要透過大學網路存取網際網路。

該大學有一組 IT 管理員，一起合作控制資源存取、管理使用者，以及設定學校的原則。 視責任範圍而定，有些管理員的權限擁有比其他管理員更高的權限。 需要有中央授權單位來規劃、管理及監督完整的結構。 在此案例中，您可以指派管理單位，以便輕鬆地管理組織。

關於管理單位的考量事項

請考慮管理中心角色如何使用管理單位，以在我們的案例中支援工程學系：

• 僅針對工程學系管理單位中的 Microsoft Entra 使用者，建立具有管理權限的角色。

• 建立工程學系的管理單位。

• 只將工程學系學生、教職員和資源填入管理單位。

• 將工程學系 IT 小組新增至角色集其範圍。

使用管理單位時應考慮的事項

請考慮如何在組織中實作管理單位。 以下是一些考量：

• 考慮管理工具。 檢閱用於管理 AU 的選項。 您可使用 Azure 入口網站、PowerShell Cmdlet 和指令碼，或是 Microsoft Graph。

• 考慮 Azure 入口網站中的角色需求。 根據角色權限規劃管理單位的策略。 在 Azure 入口網站中，只有全域管理員或特殊權限角色管理員使用者可以管理 AU。

• 考慮管理單位的範圍。 辨識管理單位的範圍僅適用於「管理」權限。 管理單位的成員和管理員可以運用其預設「使用者」權限，瀏覽其管理單位以外的其他使用者、群組或資源。