Jednostki administracyjne w Azure Active DirectoryAdministrative units in Azure Active Directory

W tym artykule opisano jednostki administracyjne w Azure Active Directory (Azure AD).This article describes administrative units in Azure Active Directory (Azure AD). Jednostka administracyjna to zasób usługi Azure AD, który może być kontenerem dla innych zasobów usługi Azure AD.An administrative unit is an Azure AD resource that can be a container for other Azure AD resources. Jednostka administracyjna może zawierać tylko użytkowników i grupy.An administrative unit can contain only users and groups.

Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej części zdefiniowanej organizacji.Administrative units restrict permissions in a role to any portion of your organization that you define. Można na przykład użyć jednostek administracyjnych, aby delegować rolę administratora działu pomocy technicznej do specjalistów, aby mogli zarządzać użytkownikami tylko w regionie, w którym są one obsługiwane.You could, for example, use administrative units to delegate the Helpdesk Administrator role to regional support specialists, so they can manage users only in the region that they support.

Scenariusz wdrożeniaDeployment scenario

Może być przydatne, aby ograniczyć zakres administracyjny przy użyciu jednostek administracyjnych w organizacjach, które składają się z niezależnych oddziałów dowolnego rodzaju.It can be useful to restrict administrative scope by using administrative units in organizations that are made up of independent divisions of any kind. Rozważmy przykład dużego University, który składa się z wielu szkół autonomicznych (Szkoła biznesowa, szkoły inżynieryjnej itp.).Consider the example of a large university that's made up of many autonomous schools (School of Business, School of Engineering, and so on). Każda szkoła ma zespół administratorów IT, którzy kontrolują dostęp, zarządzać użytkownikami i ustawiać zasady dla swojej szkoły.Each school has a team of IT admins who control access, manage users, and set policies for their school.

Administrator centralny może:A central administrator could:

  • Utwórz rolę z uprawnieniami administracyjnymi tylko dla użytkowników usługi Azure AD w jednostce administracyjnej szkoły biznesowej.Create a role with administrative permissions over only Azure AD users in the business school administrative unit.
  • Utwórz jednostkę administracyjną dla szkoły biznesowej.Create an administrative unit for the School of Business.
  • Wypełnij jednostkę administracyjną wyłącznie uczniami i personelem szkoły szkolnej.Populate the administrative unit with only the business school students and staff.
  • Dodaj zespół ds. biznesu IT do roli wraz z jego zakresem.Add the business school IT team to the role, along with its scope.

Wymagania licencyjneLicense requirements

Aby korzystać z jednostek administracyjnych, należy Azure Active Directory — wersja Premium licencję dla każdego administratora jednostki administracyjnej i Azure Active Directory — wersja Bezpłatna licencje dla członków jednostki administracyjnej.To use administrative units, you need an Azure Active Directory Premium license for each administrative unit admin, and Azure Active Directory Free licenses for administrative unit members. Aby uzyskać więcej informacji, zobacz wprowadzenie do Azure AD — wersja Premium.For more information, see Getting started with Azure AD Premium.

Zarządzanie jednostkami administracyjnymiManage administrative units

Jednostkami administracyjnymi można zarządzać za pomocą Azure Portal, poleceń cmdlet programu PowerShell i skryptów lub Microsoft Graph.You can manage administrative units by using the Azure portal, PowerShell cmdlets and scripts, or Microsoft Graph. Aby uzyskać więcej informacji, zobacz:For more information, see:

Planowanie jednostek administracyjnychPlan your administrative units

Jednostki administracyjne umożliwiają logiczne grupowanie zasobów usługi Azure AD.You can use administrative units to logically group Azure AD resources. Organizacja, której dział IT jest rozproszeni globalnie, może utworzyć jednostki administracyjne, które definiują odpowiednie granice geograficzne.An organization whose IT department is scattered globally might create administrative units that define relevant geographical boundaries. W innym scenariuszu, w którym organizacja globalna ma częściowo autonomiczne w swojej operacji, jednostki administracyjne mogą reprezentować podorganizacji.In another scenario, where a global organization has suborganizations that are semi-autonomous in their operations, administrative units could represent the suborganizations.

Kryteria, w których są tworzone jednostki administracyjne, podlegają unikatowym wymaganiom organizacji.The criteria on which administrative units are created are guided by the unique requirements of an organization. Jednostki administracyjne są typowym sposobem definiowania struktury w ramach usług Microsoft 365.Administrative units are a common way to define structure across Microsoft 365 services. Zalecamy przygotowanie jednostek administracyjnych do ich używania w ramach usług Microsoft 365.We recommend that you prepare your administrative units with their use across Microsoft 365 services in mind. Możesz uzyskać maksymalną wartość z jednostek administracyjnych, gdy można kojarzyć typowe zasoby w Microsoft 365 w ramach jednostki administracyjnej.You can get maximum value out of administrative units when you can associate common resources across Microsoft 365 under an administrative unit.

Aby utworzyć jednostki administracyjne w organizacji, możesz przejść przez następujące etapy:You can expect the creation of administrative units in the organization to go through the following stages:

  1. Początkowe wdrożenie: organizacja rozpocznie tworzenie jednostek administracyjnych na podstawie kryteriów początkowych, a liczba jednostek administracyjnych zwiększy się, gdy kryteria zostaną ulepszone.Initial adoption: Your organization will start creating administrative units based on initial criteria, and the number of administrative units will increase as the criteria are refined.
  2. Oczyszczanie: po zdefiniowaniu kryteriów jednostki administracyjne, które nie są już wymagane, zostaną usunięte.Pruning: After the criteria are defined, administrative units that are no longer required will be deleted.
  3. Stabilizacja: Struktura organizacyjna jest zdefiniowana, a liczba jednostek administracyjnych nie będzie znacząco zmieniana w krótkim czasie.Stabilization: Your organizational structure is defined, and the number of administrative units isn't going to change significantly in the short term.

Obecnie obsługiwane scenariuszeCurrently supported scenarios

Jako Administrator globalny lub administrator ról uprzywilejowanych możesz użyć portalu usługi Azure AD, aby:As a Global Administrator or a Privileged Role Administrator, you can use the Azure AD portal to:

  • Utwórz jednostki administracyjneCreate administrative units
  • Dodawanie użytkowników i grup członków jednostek administracyjnychAdd users and groups members of administrative units
  • Przypisz personelowi IT do ról administratora z zakresem jednostek administracyjnych.Assign IT staff to administrative unit-scoped administrator roles.

Administratorzy z zakresem administracyjnym mogą korzystać z centrum administracyjnego Microsoft 365, aby uzyskać podstawowe zarządzanie użytkownikami w ich jednostkach administracyjnych.Administrative unit-scoped admins can use the Microsoft 365 admin center for basic management of users in their administrative units. Administrator grupy z zakresem jednostek administracyjnych może zarządzać grupami przy użyciu programu PowerShell, Microsoft Graph i Microsoft 365 centrów administracyjnych.A group administrator with administrative unit scope can manage groups by using PowerShell, Microsoft Graph, and the Microsoft 365 admin centers.

Uwaga

Tylko funkcje opisane w tej sekcji są dostępne w centrum administracyjnym Microsoft 365.Only the features described in this section are available in the Microsoft 365 admin center. Dla roli usługi Azure AD z zakresem jednostki administracyjnej nie są dostępne żadne funkcje na poziomie organizacji.No organization-level features are available for an Azure AD role with administrative unit scope.

W poniższych sekcjach opisano bieżące wsparcie dla scenariuszy jednostek administracyjnych.The following sections describe current support for administrative unit scenarios.

Zarządzanie jednostkami administracyjnymiAdministrative unit management

UprawnieniaPermissions Graph/PowerShellGraph/PowerShell Portal usługi Azure ADAzure AD portal Centrum administracyjne platformy Microsoft 365Microsoft 365 admin center
Tworzenie i usuwanie jednostek administracyjnychCreating and deleting administrative units ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported
Dodawanie i usuwanie członków jednostki administracyjnej osobnoAdding and removing administrative unit members individually ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported
Zbiorcze dodawanie i usuwanie członków jednostek administracyjnych przy użyciu plików CSVAdding and removing administrative unit members in bulk by using CSV files NieobsługiwaneNot supported ObsługiwaneSupported Brak planu do obsługiNo plan to support
Przypisywanie administratorów z zakresem administracyjnymAssigning administrative unit-scoped administrators ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported
Dynamiczne dodawanie i usuwanie członków jednostki administracyjnej na podstawie atrybutówAdding and removing administrative unit members dynamically based on attributes NieobsługiwaneNot supported NieobsługiwaneNot supported NieobsługiwaneNot supported

Zarządzanie użytkownikamiUser management

UprawnieniaPermissions Graph/PowerShellGraph/PowerShell Portal usługi Azure ADAzure AD portal Centrum administracyjne platformy Microsoft 365Microsoft 365 admin center
Zarządzanie właściwościami użytkownika, hasłami i licencjami w zakresie jednostki administracyjnejAdministrative unit-scoped management of user properties, passwords, and licenses ObsługiwaneSupported ObsługiwaneSupported ObsługiwaneSupported
Blokowanie w zakresie jednostki administracyjnej i odblokowywanie logowania użytkownikówAdministrative unit-scoped blocking and unblocking of user sign-ins ObsługiwaneSupported ObsługiwaneSupported ObsługiwaneSupported
Administracyjne uwierzytelnianie wieloskładnikowe użytkownika w zakresie jednostki administracyjnejAdministrative unit-scoped management of user multifactor authentication credentials ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported

Zarządzanie grupamiGroup management

UprawnieniaPermissions Graph/PowerShellGraph/PowerShell Portal usługi Azure ADAzure AD portal Centrum administracyjne platformy Microsoft 365Microsoft 365 admin center
Zarządzanie właściwościami grupy i członkami w zakresie jednostki administracyjnejAdministrative unit-scoped management of group properties and members ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported
Zarządzanie licencjonowaniem grupowym w zakresie jednostki administracyjnejAdministrative unit-scoped management of group licensing ObsługiwaneSupported ObsługiwaneSupported NieobsługiwaneNot supported

Jednostki administracyjne stosują zakres tylko do uprawnień zarządzania.Administrative units apply scope only to management permissions. Nie uniemożliwiają członkom ani administratorom korzystania z ich domyślnych uprawnień użytkownika do przeglądania innych użytkowników, grup lub zasobów poza jednostką administracyjną.They don't prevent members or administrators from using their default user permissions to browse other users, groups, or resources outside the administrative unit. W centrum administracyjnym Microsoft 365 użytkownicy spoza jednostek administracyjnych administratora z zakresem są odfiltrowany. Można jednak przeglądać innych użytkowników w portalu usługi Azure AD, programie PowerShell i innych usługach firmy Microsoft.In the Microsoft 365 admin center, users outside a scoped admin's administrative units are filtered out. But you can browse other users in the Azure AD portal, PowerShell, and other Microsoft services.

Następne krokiNext steps