Verwaltungseinheiten in Azure Active Directory

In diesem Artikel werden Verwaltungseinheiten in Azure Active Directory (Azure AD) beschrieben. Eine Verwaltungseinheit ist eine Azure AD Ressource, bei der es sich um einen Container für andere Azure AD Ressourcen handeln kann. Eine Verwaltungseinheit kann nur Benutzer, Gruppen oder Geräte enthalten.

Mit Verwaltungseinheiten können Sie die Berechtigungen einer Rolle auf einen beliebigen von Ihnen zu definierenden Bereich in Ihrer Organisation beschränken. Mit Verwaltungseinheiten könnten Sie beispielsweise die Rolle Helpdesk-Administrator an regionale Supportspezialisten delegieren, damit diese nur in der von ihnen unterstützten Region Benutzer verwalten können.

Bereitstellungsszenario

Das Einschränken des Verwaltungsbereichs mithilfe von Verwaltungseinheiten kann in Organisationen hilfreich sein, die aus beliebigen unabhängigen Abteilungen bestehen. Stellen Sie sich beispielsweise eine große Universität vor, die sich aus vielen eigenständigen Fakultäten (Wirtschaftswissenschaften, Technik usw.) zusammensetzt. Die einzelnen Fakultäten verfügen jeweils über ein Team von IT-Administratoren, die den Zugriff steuern, Benutzer verwalten und Richtlinien für ihre Fakultät festlegen.

Ein zentraler Administrator könnte folgende Aktionen ausführen:

  • Erstellen einer Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“
  • Auffüllen der Verwaltungseinheit nur mit Studenten und Mitarbeitern der Fakultät „Wirtschaftswissenschaften“
  • Erstellen einer Rolle mit Administratorberechtigungen nur für Azure AD-Benutzer in der Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“
  • Hinzufügen des IT-Teams der Fakultät „Wirtschaftswissenschaften“ zu der Rolle, zusammen mit dem zugehörigen Bereich

Screenshot of Devices and Administrative units page with Remove from administrative unit option.

Lizenzanforderungen

Bei der Verwendung von Verwaltungseinheiten ist für jeden Administrator einer Verwaltungseinheit eine Azure AD Premium P1-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen eine Azure AD Free-Lizenz. Wenn Sie dynamische Mitgliedschaftsregeln für Verwaltungseinheiten verwenden, benötigt jedes Mitglied der Verwaltungseinheit eine Azure AD Premium P1-Lizenz. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.

Verwalten von Verwaltungseinheiten

Sie können Verwaltungseinheiten im Azure-Portal, mithilfe von PowerShell-Cmdlets und -Skripts oder der Microsoft Graph-API verwalten. Weitere Informationen finden Sie unter

Planen Ihrer Verwaltungseinheiten

Verwaltungseinheiten können zur logischen Gruppierung von Azure AD-Ressourcen verwendet werden. Eine Organisation mit einer global verteilten IT-Abteilung erstellt möglicherweise Verwaltungseinheiten, die relevante geografische Begrenzungen definieren. In einem anderen Szenario verfügt eine globale Organisation über verschiedene Unterorganisationen, die in ihrem Betrieb halbautonom sind. Hier können Verwaltungseinheiten die Unterorganisationen darstellen.

Die Kriterien für die Erstellung von Verwaltungseinheiten richten sich nach den besonderen Anforderungen eines Unternehmens. Verwaltungseinheiten sind eine gängige Methode, um die Struktur in Microsoft 365-Diensten zu definieren. Wir empfehlen, bei der Vorbereitung der Verwaltungseinheiten deren Verwendung über Microsoft 365-Dienste hinweg im Blick zu haben. Um Verwaltungseinheiten optimal zu nutzen, könnten Sie in Microsoft 365-Diensten gemeinsame Ressourcen in einer Verwaltungseinheit verknüpfen.

Sie können davon ausgehen, dass die Erstellung von Verwaltungseinheiten in der Organisation die folgenden Phasen durchläuft:

  1. Anfängliche Einführung: Ihre Organisation beginnt anhand anfänglicher Kriterien mit der Erstellung von Verwaltungseinheiten. Mit zunehmender Verfeinerung der Kriterien nimmt dann auch die Anzahl von Verwaltungseinheiten zu.
  2. Bereinigung: Nach der Definition der Kriterien werden nicht mehr benötigte Verwaltungseinheiten gelöscht.
  3. Stabilisierung: Die Struktur Ihrer Organisation ist definiert, und die Anzahl von Verwaltungseinheiten wird sich kurzfristig nicht stark verändern.

Derzeit unterstützte Szenarien

Globale Administratoren und Administratoren für privilegierte Rollen können auf das Azure-Portal zugreifen und folgende Aufgaben ausführen:

  • Erstellen von Verwaltungseinheiten
  • Hinzufügen von Benutzern, Gruppen oder Geräten als Mitglieder von Verwaltungseinheiten
  • Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln (Vorschau)
  • Zuweisen von IT-Mitarbeitern zu Administratorrollen, die auf den Bereich der Verwaltungseinheit bezogen sind.

Administratoren, die auf den Bereich einer Verwaltungseinheit bezogen sind, können das Microsoft 365 Admin Center für die grundlegende Verwaltung von Benutzern in ihren Verwaltungseinheiten verwenden. Ein auf den Bereich einer Verwaltungseinheit bezogener Gruppenadministrator kann Gruppen mithilfe von PowerShell und Microsoft Graph oder über das Microsoft 365 Admin Center verwalten.

Der mithilfe von Verwaltungseinheiten angewendete Bereich gilt nur für Verwaltungsberechtigungen. Verwaltungseinheiten verhindern nicht, dass Mitglieder oder Administratoren ihre Standardbenutzerberechtigungen verwenden, um zu anderen Benutzern, Gruppen oder Ressourcen außerhalb der Verwaltungseinheit zu navigieren. Im Microsoft 365 Admin Center werden Benutzer außerhalb der Verwaltungseinheiten eines bereichsbezogenen Administrators herausgefiltert. Sie können aber zu anderen Benutzern im Azure-Portal, in PowerShell und in anderen Microsoft-Diensten navigieren.

Hinweis

Nur die in diesem Abschnitt beschriebenen Features sind im Microsoft 365 Admin Center verfügbar. Für eine Azure AD-Rolle, die auf den Bereich einer Verwaltungseinheit bezogen ist, stehen keine Features auf Organisationsebene zur Verfügung.

In den folgenden Abschnitten wird die aktuelle Unterstützung von Szenarien mit Verwaltungseinheiten beschrieben.

Verwalten von Verwaltungseinheiten

Berechtigungen Microsoft Graph/PowerShell Azure-Portal Microsoft 365 Admin Center
Erstellen oder Löschen von Verwaltungseinheiten ✔️ ✔️ ✔️
Hinzufügen oder Entfernen von Mitgliedern ✔️ ✔️ ✔️
Zuweisen von Administratoren, die auf den Bereich der Verwaltungseinheit bezogen sind ✔️ ✔️ ✔️
Dynamisches Hinzufügen oder Entfernen von Benutzern oder Geräten basierend auf Regeln (Vorschau) ✔️ ✔️
Dynamisches Hinzufügen oder Entfernen von Gruppen basierend auf Regeln

Benutzerverwaltung

Berechtigungen Microsoft Graph/PowerShell Azure-Portal Microsoft 365 Admin Center
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Benutzereigenschaften, Kennwörtern ✔️ ✔️ ✔️
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Benutzerlizenzen ✔️ ✔️ ✔️
Auf die Verwaltungseinheit ausgerichtete Blockierung von Benutzeranmeldungen sowie Aufhebung der Blockierung ✔️ ✔️ ✔️
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Anmeldeinformationen für die Multi-Faktor-Authentifizierung ✔️ ✔️

Gruppenverwaltung

Berechtigungen Microsoft Graph/PowerShell Azure-Portal Microsoft 365 Admin Center
Bereichsbezogene Erstellung und Löschung von Gruppen in der Verwaltungseinheit ✔️ ✔️ ✔️
Auf die Verwaltungseinheit ausgerichtete Verwaltung von Gruppeneigenschaften und Gruppenmitgliedschaften ✔️ ✔️ ✔️
Auf die Verwaltungseinheit ausgerichtete Verwaltung der Gruppenlizenzierung ✔️ ✔️

Hinweis

Durch das Hinzufügen einer Gruppe zu einer Verwaltungseinheit können Bereichsgruppenadministratoren keine Eigenschaften für einzelne Mitglieder dieser Gruppe verwalten. Beispielsweise kann ein Bereichsgruppenadministrator die Gruppenmitgliedschaft verwalten, aber er kann keine Authentifizierungsmethoden von Benutzern verwalten, die Mitglieder der Gruppe sind, die einer Verwaltungseinheit hinzugefügt wurde. Um Authentifizierungsmethoden von Benutzern zu verwalten, die Mitglieder der Gruppe sind, die einer Verwaltungseinheit hinzugefügt wird, müssen die einzelnen Gruppenmitglieder direkt als Benutzer der Verwaltungseinheit hinzugefügt werden, und dem Gruppenadministrator muss auch eine Rolle zugewiesen werden, die Benutzerauthentifizierungsmethoden verwalten kann.

Geräteverwaltung

Berechtigungen Microsoft Graph/PowerShell Azure-Portal Microsoft 365 Admin Center
Aktivieren, Deaktivieren oder Löschen von Geräten ✔️ ✔️
Lesen von BitLocker-Wiederherstellungsschlüsseln ✔️ ✔️

Die Verwaltung von Geräten in Intune wird derzeit nicht unterstützt.

Einschränkungen

Im Folgenden finden Sie einige Einschränkungen für Verwaltungseinheiten.

  • Verwaltungseinheiten können nicht geschachtelt werden.
  • Administratoren für Benutzerkonten, die auf die Verwaltungseinheit ausgerichtet sind, können keine Benutzer erstellen oder löschen.
  • Eine bereichsbezogene Rollenzuweisung gilt nicht für Mitglieder von Gruppen, die zu einer Verwaltungseinheit hinzugefügt wurden, es sei denn, die Gruppenmitglieder werden direkt zu der Verwaltungseinheit hinzugefügt. Weitere Informationen finden Sie unter Hinzufügen von Mitgliedern zu einer Verwaltungseinheit.
  • Verwaltungseinheiten sind derzeit nicht in Azure AD Identity Governance verfügbar.

Nächste Schritte