Verwaltungseinheiten in Azure Active DirectoryAdministrative units in Azure Active Directory

In diesem Artikel werden Verwaltungseinheiten in Azure Active Directory (Azure AD) beschrieben.This article describes administrative units in Azure Active Directory (Azure AD). Eine Verwaltungseinheit ist eine Azure AD Ressource, bei der es sich um einen Container für andere Azure AD Ressourcen handeln kann.An administrative unit is an Azure AD resource that can be a container for other Azure AD resources. Eine Verwaltungseinheit kann nur Benutzer und Gruppen enthalten.An administrative unit can contain only users and groups.

Mit Verwaltungseinheiten können Sie die Berechtigungen einer Rolle auf einen beliebigen von Ihnen zu definierenden Bereich in Ihrer Organisation beschränken.Administrative units restrict permissions in a role to any portion of your organization that you define. Mit Verwaltungseinheiten könnten Sie beispielsweise die Rolle Helpdesk-Administrator an regionale Supportspezialisten delegieren, damit diese nur in der von ihnen unterstützten Region Benutzer verwalten können.You could, for example, use administrative units to delegate the Helpdesk Administrator role to regional support specialists, so they can manage users only in the region that they support.

BereitstellungsszenarioDeployment scenario

Das Einschränken des Verwaltungsbereichs mithilfe von Verwaltungseinheiten kann in Organisationen hilfreich sein, die aus beliebigen unabhängigen Abteilungen bestehen.It can be useful to restrict administrative scope by using administrative units in organizations that are made up of independent divisions of any kind. Stellen Sie sich beispielsweise eine große Universität vor, die sich aus vielen eigenständigen Fakultäten (Wirtschaftswissenschaften, Technik usw.) zusammensetzt.Consider the example of a large university that's made up of many autonomous schools (School of Business, School of Engineering, and so on). Die einzelnen Fakultäten verfügen jeweils über ein Team von IT-Administratoren, die den Zugriff steuern, Benutzer verwalten und Richtlinien für ihre Fakultät festlegen.Each school has a team of IT admins who control access, manage users, and set policies for their school.

Ein zentraler Administrator könnte folgende Aktionen ausführen:A central administrator could:

  • Erstellen einer Rolle mit Administratorberechtigungen nur für Azure AD-Benutzer in der Verwaltungseinheit „Wirtschaftswissenschaften“Create a role with administrative permissions over only Azure AD users in the business school administrative unit.
  • Erstellen einer Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“Create an administrative unit for the School of Business.
  • Auffüllen der Verwaltungseinheit nur mit den Studenten und Mitarbeitern der Fakultät „Wirtschaftswissenschaften“Populate the administrative unit with only the business school students and staff.
  • Hinzufügen des IT-Teams der Fakultät „Wirtschaftswissenschaften“ zu der Rolle, zusammen mit dem zugehörigen BereichAdd the business school IT team to the role, along with its scope.

LizenzanforderungenLicense requirements

Wenn Sie Verwaltungseinheiten verwenden möchten, ist für jeden Administrator einer Verwaltungseinheit eine Azure Active Directory Premium-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Azure Active Directory Free-Lizenzen.To use administrative units, you need an Azure Active Directory Premium license for each administrative unit admin, and Azure Active Directory Free licenses for administrative unit members. Weitere Informationen finden Sie unter Erste Schritte mit Azure AD Premium.For more information, see Getting started with Azure AD Premium.

Verwalten von VerwaltungseinheitenManage administrative units

Sie können Verwaltungseinheiten im Azure-Portal, mithilfe von PowerShell-Cmdlets und -Skripts oder mit Microsoft Graph verwalten.You can manage administrative units by using the Azure portal, PowerShell cmdlets and scripts, or Microsoft Graph. Weitere Informationen finden Sie unterFor more information, see:

Planen Ihrer VerwaltungseinheitenPlan your administrative units

Verwaltungseinheiten können zur logischen Gruppierung von Azure AD-Ressourcen verwendet werden.You can use administrative units to logically group Azure AD resources. Eine Organisation mit einer global verteilten IT-Abteilung erstellt möglicherweise Verwaltungseinheiten, die relevante geografische Begrenzungen definieren.An organization whose IT department is scattered globally might create administrative units that define relevant geographical boundaries. In einem anderen Szenario verfügt eine globale Organisation über verschiedene Unterorganisationen, die in ihrem Betrieb halbautonom sind. Hier können Verwaltungseinheiten die Unterorganisationen darstellen.In another scenario, where a global organization has suborganizations that are semi-autonomous in their operations, administrative units could represent the suborganizations.

Die Kriterien für die Erstellung von Verwaltungseinheiten richten sich nach den besonderen Anforderungen eines Unternehmens.The criteria on which administrative units are created are guided by the unique requirements of an organization. Verwaltungseinheiten sind eine gängige Methode, um die Struktur in Microsoft 365-Diensten zu definieren.Administrative units are a common way to define structure across Microsoft 365 services. Wir empfehlen, bei der Vorbereitung der Verwaltungseinheiten deren Verwendung über Microsoft 365-Dienste hinweg im Blick zu haben.We recommend that you prepare your administrative units with their use across Microsoft 365 services in mind. Um Verwaltungseinheiten optimal zu nutzen, könnten Sie in Microsoft 365-Diensten gemeinsame Ressourcen in einer Verwaltungseinheit verknüpfen.You can get maximum value out of administrative units when you can associate common resources across Microsoft 365 under an administrative unit.

Sie können davon ausgehen, dass die Erstellung von Verwaltungseinheiten in der Organisation die folgenden Phasen durchläuft:You can expect the creation of administrative units in the organization to go through the following stages:

  1. Anfängliche Einführung: Ihre Organisation beginnt anhand anfänglicher Kriterien mit der Erstellung von Verwaltungseinheiten. Mit zunehmender Verfeinerung der Kriterien nimmt dann auch die Anzahl von Verwaltungseinheiten zu.Initial adoption: Your organization will start creating administrative units based on initial criteria, and the number of administrative units will increase as the criteria are refined.
  2. Bereinigung: Nach der Definition der Kriterien werden nicht mehr benötigte Verwaltungseinheiten gelöscht.Pruning: After the criteria are defined, administrative units that are no longer required will be deleted.
  3. Stabilisierung: Die Struktur Ihrer Organisation ist definiert, und die Anzahl von Verwaltungseinheiten wird sich kurzfristig nicht stark verändern.Stabilization: Your organizational structure is defined, and the number of administrative units isn't going to change significantly in the short term.

Derzeit unterstützte SzenarienCurrently supported scenarios

Globale Administratoren und Administratoren für privilegierte Rollen können auf das Azure AD-Portal zugreifen und folgende Aufgaben ausführen:As a Global Administrator or a Privileged Role Administrator, you can use the Azure AD portal to:

  • Erstellen von VerwaltungseinheitenCreate administrative units
  • Hinzufügen von Benutzern und Gruppenmitgliedern für VerwaltungseinheitenAdd users and groups members of administrative units
  • Zuweisen von IT-Mitarbeitern zu Administratorrollen, die auf den Bereich der Verwaltungseinheit bezogen sind.Assign IT staff to administrative unit-scoped administrator roles.

Administratoren, die auf den Bereich einer Verwaltungseinheit bezogen sind, können das Microsoft 365 Admin Center für die grundlegende Verwaltung von Benutzern in ihren Verwaltungseinheiten verwenden.Administrative unit-scoped admins can use the Microsoft 365 admin center for basic management of users in their administrative units. Ein auf den Bereich einer Verwaltungseinheit bezogener Gruppenadministrator kann Gruppen mithilfe von PowerShell und Microsoft Graph oder über das Microsoft 365 Admin Center verwalten.A group administrator with administrative unit scope can manage groups by using PowerShell, Microsoft Graph, and the Microsoft 365 admin centers.

Hinweis

Nur die in diesem Abschnitt beschriebenen Features sind im Microsoft 365 Admin Center verfügbar.Only the features described in this section are available in the Microsoft 365 admin center. Für eine Azure AD-Rolle, die auf den Bereich einer Verwaltungseinheit bezogen ist, stehen keine Features auf Organisationsebene zur Verfügung.No organization-level features are available for an Azure AD role with administrative unit scope.

In den folgenden Abschnitten wird die aktuelle Unterstützung von Szenarien mit Verwaltungseinheiten beschrieben.The following sections describe current support for administrative unit scenarios.

Verwalten von VerwaltungseinheitenAdministrative unit management

BerechtigungenPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Erstellen und Löschen von VerwaltungseinheitenCreating and deleting administrative units UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Hinzufügen und Entfernen einzelner Mitglieder zu VerwaltungseinheitenAdding and removing administrative unit members individually UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Hinzufügen und Entfernen von Verwaltungseinheitsmitgliedern per Massenvorgang unter Verwendung von CSV-DateienAdding and removing administrative unit members in bulk by using CSV files Nicht unterstütztNot supported UnterstütztSupported Keine Unterstützung geplantNo plan to support
Zuweisen von Administratoren, die auf den Bereich der Verwaltungseinheit bezogen sindAssigning administrative unit-scoped administrators UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Dynamisches Hinzufügen und Entfernen von Verwaltungseinheitsmitgliedern auf der Grundlage von AttributenAdding and removing administrative unit members dynamically based on attributes Nicht unterstütztNot supported Nicht unterstütztNot supported Nicht unterstütztNot supported

BenutzerverwaltungUser management

BerechtigungenPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Benutzereigenschaften, Kennwörtern und LizenzenAdministrative unit-scoped management of user properties, passwords, and licenses UnterstütztSupported UnterstütztSupported UnterstütztSupported
Auf die Verwaltungseinheit ausgerichtete Blockierung von Benutzeranmeldungen sowie Aufhebung der BlockierungAdministrative unit-scoped blocking and unblocking of user sign-ins UnterstütztSupported UnterstütztSupported UnterstütztSupported
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Anmeldeinformationen für die mehrstufige AuthentifizierungAdministrative unit-scoped management of user multifactor authentication credentials UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported

GruppenverwaltungGroup management

BerechtigungenPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Gruppeneigenschaften und GruppenmitgliedernAdministrative unit-scoped management of group properties and members UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Auf die Verwaltungseinheit ausgerichtete Verwaltung der GruppenlizenzierungAdministrative unit-scoped management of group licensing UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported

Der mithilfe von Verwaltungseinheiten angewendete Bereich gilt nur für Verwaltungsberechtigungen.Administrative units apply scope only to management permissions. Verwaltungseinheiten verhindern nicht, dass Mitglieder oder Administratoren ihre Standardbenutzerberechtigungen verwenden, um zu anderen Benutzern, Gruppen oder Ressourcen außerhalb der Verwaltungseinheit zu navigieren.They don't prevent members or administrators from using their default user permissions to browse other users, groups, or resources outside the administrative unit. Im Microsoft 365 Admin Center werden Benutzer außerhalb der Verwaltungseinheiten eines bereichsbezogenen Administrators herausgefiltert. Sie können aber zu anderen Benutzern im Azure AD-Portal, in PowerShell und in anderen Microsoft-Diensten navigieren.In the Microsoft 365 admin center, users outside a scoped admin's administrative units are filtered out. But you can browse other users in the Azure AD portal, PowerShell, and other Microsoft services.

Nächste SchritteNext steps