Rendszergazda a Microsoft Entra ID-ban szereplő egységek

Ez a cikk a Microsoft Entra ID felügyeleti egységeinek leírását ismerteti. A felügyeleti egység egy olyan Microsoft Entra-erőforrás, amely más Microsoft Entra-erőforrások tárolója lehet. A felügyeleti egységek csak felhasználókat, csoportokat vagy eszközöket tartalmazhatnak.

A felügyeleti egységek a szerepkörök engedélyeit a szervezet Ön által meghatározott részeire korlátozzák. Lehetősége van például felügyeleti egységek segítségével az ügyfélszolgálati rendszergazda szerepkört regionális támogatási szakembereknek delegálni, hogy csak az általuk kiszolgált régió felhasználóit tudják kezelni

A felhasználók több felügyeleti egység tagjai lehetnek. Hozzáadhat például felhasználókat a felügyeleti egységekhez földrajzi hely és osztás szerint; Megan Bowen lehet a "Seattle" és a "Marketing" felügyeleti egységek.

Központi telepítési forgatókönyv

Hasznos lehet korlátozni a felügyeleti hatókört olyan szervezetek felügyeleti egységeinek használatával, amelyek bármilyen független részlegből állnak. Vegyük példaként egy nagy egyetemet, amely számos autonóm iskolából áll (School of Business, School of Engineering stb.). Minden iskola rendelkezik egy informatikai rendszergazdai csapattal, akik szabályozzák a hozzáférést, kezelik a felhasználókat, és szabályzatokat állítanak be az iskolájukhoz.

Egy központi rendszergazda a következőt teheti:

  • Hozzon létre egy felügyeleti egységet a School of Business számára.
  • Töltse ki a felügyeleti egységet csak a diákok és a személyzet a School of Business.
  • Hozzon létre egy szerepkört rendszergazdai engedélyekkel csak a Microsoft Entra-felhasználók felett a School of Business felügyeleti egységben.
  • Adja hozzá az üzleti iskola informatikai csapatát a szerepkörhöz a hatókörével együtt.

Screenshot of Devices and Administrative units page with Remove from administrative unit option.

Megszorítások

Íme néhány a felügyeleti egységekre vonatkozó korlátozások közül.

  • Rendszergazda osztó egységek nem ágyazhatók be.
  • Rendszergazda-egységek jelenleg nem érhetők el Microsoft Entra ID-kezelés.

Csoportok

Ha hozzáad egy csoportot egy felügyeleti egységhez, azzal magát a csoportot a felügyeleti egység felügyeleti hatókörébe helyezi, a csoport tagjait azonban nem . Más szóval a felügyeleti egységre hatókörrel rendelkező rendszergazdák kezelhetik a csoport tulajdonságait, például a csoport nevét vagy tagságát, de nem kezelhetik a csoporton belüli felhasználók vagy eszközök tulajdonságait (kivéve, ha ezek a felhasználók és eszközök külön vannak hozzáadva a felügyeleti egység tagjaiként).

Egy felhasználó például Rendszergazda istrator hatóköre olyan felügyeleti egységre terjed ki, amely egy csoportot tartalmaz, és nem tudja elvégezni a következőket:

Engedélyek Megteheti
A csoport nevének kezelése
A csoporttagság kezelése
A csoport egyes tagjainak felhasználói tulajdonságainak kezelése
A csoport egyes tagjainak felhasználói hitelesítési módszereinek kezelése
A csoport egyes tagjainak jelszavainak alaphelyzetbe állítása

Ahhoz, hogy a Felhasználó Rendszergazda istrator kezelje a csoport egyes tagjainak felhasználói tulajdonságait vagy felhasználói hitelesítési módszereit, a csoporttagokat (felhasználókat) közvetlenül a felügyeleti egység tagjaiként kell hozzáadni.

Licenckövetelmények

A felügyeleti egységek használatához Microsoft Entra ID P1 licencre van szükség minden olyan felügyeleti egység rendszergazdájához, aki a felügyeleti egység hatókörén keresztül címtárszerepkörökkel rendelkezik, és egy Ingyenes Microsoft Entra-licencre minden felügyeleti egység tagjához. A felügyeleti egységek létrehozása ingyenes Microsoft Entra-azonosítós licenccel érhető el. Ha dinamikus tagsági szabályokat használ a felügyeleti egységekhez, minden felügyeleti egységhez Microsoft Entra-azonosítójú P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

Felügyeleti egységek kezelése

A felügyeleti egységeket a Microsoft Entra felügyeleti központ, a PowerShell-parancsmagok és szkriptek vagy a Microsoft Graph API használatával kezelheti. További információkért lásd:

A felügyeleti egységek tervezése

Felügyeleti egységek használatával logikailag csoportosíthatja a Microsoft Entra-erőforrásokat. Egy olyan szervezet, amelynek informatikai részlege globálisan szétszórva van, olyan felügyeleti egységeket hozhat létre, amelyek meghatározzák a releváns földrajzi határokat. Egy másik forgatókönyvben, amikor egy globális szervezet működése részben autonóm alszervezetekkel rendelkezik, a felügyeleti egységek képviselhetik az alszervezeteket.

A felügyeleti egységek létrehozásának feltételeit a szervezet egyedi követelményei vezérlik. Rendszergazda szkenvedő egységek a Microsoft 365-szolgáltatások struktúrájának meghatározására. Javasoljuk, hogy a felügyeleti egységeket a Microsoft 365-szolgáltatásokban való használatukkal készítse elő. A felügyeleti egységek maximális értékét akkor kaphatja meg, ha a Microsoft 365-ben közös erőforrásokat társíthat egy felügyeleti egységhez.

A szervezet felügyeleti egységeinek létrehozása a következő szakaszokban várható:

  1. Kezdeti bevezetés: A szervezet a kezdeti feltételek alapján elkezdi létrehozni a felügyeleti egységeket, és a feltételek pontosításakor a felügyeleti egységek száma megnő.
  2. Metszés: A feltételek meghatározása után a már nem szükséges felügyeleti egységek törlődnek.
  3. Stabilizálás: A szervezeti struktúra definiálva van, és a felügyeleti egységek száma rövid távon nem fog jelentősen változni.

Jelenleg támogatott forgatókönyvek

Globális Rendszergazda istratorként vagy kiemelt szerepkörű Rendszergazda istratorként a Microsoft Entra felügyeleti központtal a következőkre használhatja:

  • Felügyeleti egységek létrehozása
  • Felhasználók, csoportok vagy eszközök hozzáadása felügyeleti egységek tagjaiként
  • Felügyeleti egység felhasználóinak vagy eszközeinek kezelése dinamikus tagsági szabályokkal (előzetes verzió)
  • Rendszergazdai egység hatókörű rendszergazdai szerepkörökhöz rendelje hozzá az informatikai személyzetet.

Rendszergazda osztható egység hatókörű rendszergazdák a Microsoft 365 Felügyeleti központ használhatják a felügyeleti egységekben lévő felhasználók alapszintű felügyeletéhez. A felügyeleti egység hatókörével rendelkező csoportadminisztrátor a PowerShell, a Microsoft Graph és a Microsoft 365 Felügyeleti központ használatával kezelheti a csoportokat.

Rendszergazda osztó egységek csak a felügyeleti engedélyekre vonatkoznak. Nem akadályozzák meg, hogy a tagok vagy rendszergazdák az alapértelmezett felhasználói engedélyeiket használják a felügyeleti egységen kívüli felhasználók, csoportok vagy erőforrások böngészéséhez. A Microsoft 365 Felügyeleti központ a hatókörrel rendelkező rendszergazda felügyeleti egységén kívül eső felhasználók szűrve lesznek. A Microsoft Entra Felügyeleti központban, a PowerShellben és más Microsoft-szolgáltatások azonban tallózhat más felhasználók között.

Feljegyzés

A Microsoft 365 Felügyeleti központ csak az ebben a szakaszban leírt funkciók érhetők el. A felügyeleti egység hatókörével rendelkező Microsoft Entra-szerepkörökhöz nem érhetők el szervezeti szintű funkciók.

A következő szakaszok a felügyeleti egységek forgatókönyveinek aktuális támogatását ismertetik.

Rendszergazda osztóegység-kezelés

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Felügyeleti egységek létrehozása vagy törlése
Tagok hozzáadása vagy eltávolítása
Rendszergazdai egység hatókörű rendszergazdák hozzárendelése
Felhasználók vagy eszközök dinamikus hozzáadása vagy eltávolítása szabályok alapján (előzetes verzió)
Csoportok dinamikus hozzáadása vagy eltávolítása szabályok alapján

Felhasználók kezelése

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Rendszergazda felhasználói tulajdonságok, jelszavak egységes hatókörű kezelése
Rendszergazda felhasználói licencek egységes hatókörű kezelése
Rendszergazda felhasználói bejelentkezések letiltásának és letiltásának tiltásának egységes hatókörű letiltása és feloldása
Rendszergazda felhasználói többtényezős hitelesítési hitelesítő adatok egységes hatókörű kezelése

Csoportkezelés

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Rendszergazda csoportok létrehozásának és törlésének Rendszergazda
Rendszergazda Microsoft 365-csoportok csoporttulajdonságainak és tagságának egységhatókörű kezelése
Rendszergazda csoporttulajdonságok és tagságok Rendszergazda a csoporttulajdonságok és tagságok egységes kezelése az összes többi csoport esetében
Rendszergazda csoportlicencek egységes hatókörű kezelése

Eszközfelügyelet

Engedélyek Microsoft Graph/PowerShell Microsoft Entra felügyeleti központ Microsoft 365 felügyeleti központ
Eszközök engedélyezése, letiltása vagy törlése
BitLocker helyreállítási kulcsok olvasása

Az intune-beli eszközök kezelése jelenleg nem támogatott.

Következő lépések