Verwalten von Verwaltungseinheiten in Azure Active Directory (Vorschau)Administrative units management in Azure Active Directory (preview)

In diesem Artikel werden Verwaltungseinheiten in Azure Active Directory (Azure AD) beschrieben.This article describes administrative units in Azure Active Directory (Azure AD). Eine Verwaltungseinheit ist eine Azure AD Ressource, bei der es sich um einen Container für andere Azure AD Ressourcen handeln kann.An administrative unit is an Azure AD resource that can be a container for other Azure AD resources. In dieser Vorschauversion kann eine Verwaltungseinheit nur Benutzer und Gruppen enthalten.In this preview release, an administrative unit can contain only users and groups.

Verwaltungseinheiten ermöglichen es Ihnen, Administratorberechtigungen zu erteilen, die auf eine von Ihnen definierte Abteilung, Region oder ein anderes Segment Ihrer Organisation beschränkt sind.Administrative units allow you to grant admin permissions that are restricted to a department, region, or other segment of your organization that you define. Mithilfe von Verwaltungseinheiten können Sie Berechtigungen an regionale Administratoren delegieren oder Richtlinien auf granularer Ebene festlegen.You can use administrative units to delegate permissions to regional administrators or to set policy at a granular level. Beispielsweise kann ein Benutzerkontoadministrator nur in seiner Verwaltungseinheit Profilinformationen aktualisieren, Kennwörter zurücksetzen und Benutzern Lizenzen zuweisen.For example, a User account admin could update profile information, reset passwords, and assign licenses for users only in their administrative unit.

Beispielsweise ist die Helpdeskadministrator-Rolle beim Delegieren an regionale Supportspezialisten auf die Verwaltung nur der Benutzer beschränkt, die sich in der von ihnen unterstützten Region befinden.For example, delegating to regional support specialists the Helpdesk Administrator role restricted to managing just the users in the region they support.

BereitstellungsszenarioDeployment scenario

Das Einschränken des Verwaltungsbereichs mithilfe von Verwaltungseinheiten kann in Organisationen nützlich sein, die aus unabhängigen Abteilungen jeglicher Art bestehen.Restricting administrative scope using administrative units can be useful in organizations that are made up of independent divisions of any kind. Nehmen Sie als Beispiel eine große Universität, die aus vielen autonomen Fakultäten (Wirtschaftswissenschaften, Ingenieurwissenschaften usw.) besteht, die jeweils über ein Team von IT-Administratoren verfügen, die den Zugriff steuern, Benutzer verwalten und Richtlinien für ihre Fakultät festlegen.Consider the example of a large university that is made up of many autonomous schools (School of Business, School of Engineering, and so on) that each has a team of IT admins who control access, manage users, and set policies for their school. Ein zentraler Administrator könnte folgende Aktionen ausführen:A central administrator could:

  • Erstellen einer Rolle mit Administratorberechtigungen nur für Azure AD-Benutzer in der Verwaltungseinheit „Wirtschaftswissenschaften“Create a role with administrative permissions over only Azure AD users in the business school administrative unit
  • Erstellen einer Verwaltungseinheit für die Fakultät „Wirtschaftswissenschaften“Create an administrative unit for the School of Business
  • Auffüllen der Verwaltungseinheit nur mit den Studenten und Mitarbeitern der Fakultät „Wirtschaftswissenschaften“Populate the admin unit with only the business school students and staff
  • Hinzufügen des IT-Teams der Fakultät „Wirtschaftswissenschaften“ zur Rolle mit dem entsprechenden BereichAdd the Business school IT team to the role with their scope

LizenzanforderungenLicense requirements

Bei der Verwendung von Verwaltungseinheiten ist für jeden Administrator einer Verwaltungseinheit eine Azure Active Directory Premium-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Azure Active Directory Free-Lizenzen.Using administrative units requires an Azure Active Directory Premium license for each administrative unit admin, and Azure Active Directory Free licenses for administrative unit members. Weitere Informationen finden Sie unter Erste Schritte mit Azure AD Premium.For more information, see Getting started with Azure AD Premium.

Verwalten von VerwaltungseinheitenManage administrative units

In dieser Vorschauversion können Sie Verwaltungseinheiten im Azure-Portal, mithilfe von PowerShell-Cmdlets oder mit Microsoft Graph verwalten.In this preview release, you can manage administrative units using the Azure portal, PowerShell cmdlets and scripts, or the Microsoft Graph. Ausführliche Informationen finden Sie in unserer Dokumentation:You can refer to our documentation for details:

Planen Ihrer VerwaltungseinheitenPlanning your administrative units

Verwaltungseinheiten können zum logischen Gruppieren von Azure AD-Ressourcen verwendet werden.Administrative units can be used to logically group Azure AD resources. Beispielsweise kann es für eine Organisation mit einer global verteilten IT-Abteilung sinnvoll sein, Verwaltungseinheiten zu erstellen, die diese geografischen Begrenzungen definieren.For example, for an organization whose IT department is scattered globally, it might make sense to create administrative units that define those geographical boundaries. In einem anderen Szenario, in dem eine multinationale Organisation über verschiedene „Unterorganisationen“ verfügt, die in ihrem Betrieb halbautonom sind, kann jede Unterorganisation durch eine Verwaltungseinheit dargestellt werden.In another scenario where a multi-national organization has different "sub-organizations", that are semi-autonomous in operations, each sub-organization may be represented by an administrative unit.

Die Kriterien für die Erstellung von Verwaltungseinheiten richten sich nach den besonderen Anforderungen eines Unternehmens.The criteria on which administrative units are created will be guided by the unique requirements of an organization. Verwaltungseinheiten sind eine gängige Methode, um die Struktur in Microsoft 365-Diensten zu definieren.Administrative Units are a common way to define structure across Microsoft 365 services. Wir empfehlen, bei der Vorbereitung der Verwaltungseinheiten deren Verwendung über Microsoft 365-Dienste hinweg im Blick zu haben.We recommend that you prepare your administrative units with their use across Microsoft 365 services in mind. Um Verwaltungseinheiten optimal zu nutzen, könnten Sie in Microsoft 365-Diensten gemeinsame Ressourcen in einer Verwaltungseinheit verknüpfen.You can get maximum value out of administrative units when you can associate common resources across Microsoft 365 under an administrative unit.

Sie können davon ausgehen, dass die Erstellung von Verwaltungseinheiten in der Organisation die folgenden Phasen durchläuft:You can expect the creation of administrative units in the organization to go through the following stages:

  1. Anfängliche Einführung: Ihre Organisation beginnt anhand anfänglicher Kriterien mit der Erstellung von Verwaltungseinheiten. Nach der Verfeinerung der Kriterien nimmt die Anzahl der Verwaltungseinheiten zu.Initial Adoption: Your organization will start creating administrative units based on initial criteria and the number of administrative units will increase as the criteria is refined.
  2. Bereinigung: Wenn die Kriterien optimal definiert sind, werden nicht mehr benötigte Verwaltungseinheiten gelöscht.Pruning: Once the criteria is well defined, administrative units that are no longer required will be deleted.
  3. Stabilisierung: Die Struktur Ihrer Organisation ist optimal definiert, und die Anzahl der Verwaltungseinheiten wird sich über kürzere Zeiträume nicht erheblich ändern.Stabilization: Your organizational structure is well defined and the number of administrative units is not going to change significantly over short durations.

Derzeit unterstützte SzenarienCurrently supported scenarios

Globale Administratoren oder Administratoren für privilegierte Rollen können das Azure AD-Portal zum Erstellen von Verwaltungseinheiten, zum Hinzufügen von Benutzern als Mitglieder von Verwaltungseinheiten und zum anschließenden Zuweisen von IT-Mitarbeitern zu auf die Verwaltungseinheit bezogenen Administratorrollen verwenden.Global administrators or Privileged role administrators can use the Azure AD portal to create administrative units, add users as members of administrative units, and then assign IT staff to administrative unit-scoped administrator roles. Die Administratoren für Verwaltungseinheiten können dann Microsoft 365 Admin Center für die grundlegende Verwaltung von Benutzern in ihren Verwaltungseinheiten verwenden.The administrative unit-scoped admins can then use the Microsoft 365 admin center for basic management of users in their administrative units.

Auch Gruppen können der Verwaltungseinheit als Mitglieder hinzugefügt werden. Ein auf den Bereich der Verwaltungseinheit bezogener Gruppenadministrator kann diese mithilfe von PowerShell und Microsoft Graph oder im Azure AD-Portal verwalten.Additionally, groups can be added as members of administrative unit, and an admin unit-scoped group administrator can manage them using PowerShell, the Microsoft Graph, and the Azure AD portal.

In der folgenden Tabelle wird die aktuelle Unterstützung für Szenarien mit Verwaltungseinheiten beschrieben.The below table describes current support for administrative unit scenarios.

Verwalten von VerwaltungseinheitenAdministrative unit management

BerechtigungenPermissions MS Graph/PowerShellMS Graph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Erstellen und Löschen von VerwaltungseinheitenCreating and deleting administrative units UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Hinzufügen und Entfernen einzelner Mitglieder zu VerwaltungseinheitenAdding and removing administrative unit members individually UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Massenvorgang zum Hinzufügen und Entfernen von Mitgliedern zu/von Verwaltungseinheiten mithilfe einer CSV-DateiBulk adding and removing administrative unit members using .csv file Nicht unterstütztNot supported UnterstütztSupported Keine Unterstützung geplantNo plan to support
Zuweisen von Administratoren, die auf den Bereich der Verwaltungseinheit bezogen sindAssigning administrative unit-scoped administrators UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Dynamisches Hinzufügen und Entfernen von Mitgliedern zu/von Verwaltungseinheiten anhand von AttributenAdding and removing AU members dynamically based on attributes Nicht unterstütztNot supported Nicht unterstütztNot supported Nicht unterstütztNot supported

BenutzerverwaltungUser management

BerechtigungenPermissions MS Graph/PowerShellMS Graph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Bereichs der Verwaltungseinheit bezogene Verwaltung von Benutzereigenschaften, Kennwörtern und Lizenzenadministrative unit-scoped management of user properties, passwords, licenses UnterstütztSupported UnterstütztSupported UnterstütztSupported
Auf den Bereich der Verwaltungseinheit bezogene Blockierung und Aufhebung der Blockierung von Benutzeranmeldungenadministrative unit-scoped blocking and unblocking of user sign-ins UnterstütztSupported UnterstütztSupported UnterstütztSupported
Auf den Bereich der Verwaltungseinheit bezogene Verwaltung von MFA-Benutzeranmeldeinformationenadministrative unit-scoped management of user MFA credentials UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported

GruppenverwaltungGroup management

BerechtigungenPermissions MS Graph/PowerShellMS Graph/PowerShell Azure AD-PortalAzure AD portal Microsoft 365 Admin CenterMicrosoft 365 admin center
Auf den Bereich der Verwaltungseinheit bezogene Verwaltung von Gruppeneigenschaften und Gruppenmitgliedernadministrative unit-scoped management of group properties and members UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported
Auf den Bereich der Verwaltungseinheit bezogene Verwaltung der Gruppenlizenzierungadministrative unit-scoped management of group licensing UnterstütztSupported UnterstütztSupported Nicht unterstütztNot supported

Hinweis

Auf den Bereich der Verwaltungseinheit bezogene Administratoren können keine Regeln für dynamische Gruppenmitgliedschaften verwalten.Administrators with an administrative unit scope can't manage dynamic group membership rules.

Der mithilfe von Verwaltungseinheiten angewendete Bereich gilt nur für Verwaltungsberechtigungen.Administrative units apply scope only to management permissions. Verwaltungseinheiten verhindern nicht, dass Mitglieder oder Administratoren ihre Standardbenutzerberechtigungen verwenden, um zu anderen Benutzern, Gruppen oder Ressourcen außerhalb der Verwaltungseinheit zu navigieren.They don't prevent members or administrators from using their default user permissions to browse other users, groups, or resources outside of the administrative unit. In Microsoft 365 Admin Center werden Benutzer außerhalb der Verwaltungseinheiten eines bereichsbezogenen Administrators zwar herausgefiltert, können aber zu anderen Benutzern im Azure AD-Portal, in PowerShell und in anderen Microsoft-Diensten navigieren.In the Microsoft 365 admin center, users outside of a scoped admin's administrative units are filtered out, but you can browse other users in the Azure AD portal, PowerShell, and other Microsoft services.

Nächste SchritteNext steps