Administrativa enheter i Azure Active DirectoryAdministrative units in Azure Active Directory

I den här artikeln beskrivs administrativa enheter i Azure Active Directory (Azure AD).This article describes administrative units in Azure Active Directory (Azure AD). En administrativ enhet är en Azure AD-resurs som kan vara en behållare för andra Azure AD-resurser.An administrative unit is an Azure AD resource that can be a container for other Azure AD resources. En administrativ enhet kan bara innehålla användare och grupper.An administrative unit can contain only users and groups.

Administrativa enheter begränsar behörigheter i en roll till någon del av din organisation som du definierar.Administrative units restrict permissions in a role to any portion of your organization that you define. Du kan till exempel använda administrativa enheter för att delegera Administratörs rollen för supportavdelningen till regionala support specialister, så att de bara kan hantera användare i den region som de stöder.You could, for example, use administrative units to delegate the Helpdesk Administrator role to regional support specialists, so they can manage users only in the region that they support.

DistributionsscenarioDeployment scenario

Det kan vara användbart att begränsa administrativ omfattning genom att använda administrativa enheter i organisationer som består av oberoende avdelningar av något slag.It can be useful to restrict administrative scope by using administrative units in organizations that are made up of independent divisions of any kind. Överväg exemplet på en stor University som består av många autonoma skolor (skola, skola och så vidare).Consider the example of a large university that's made up of many autonomous schools (School of Business, School of Engineering, and so on). Varje skola har en grupp IT-administratörer som kontrollerar åtkomst, hanterar användare och ställer in principer för sin skola.Each school has a team of IT admins who control access, manage users, and set policies for their school.

En central administratör kan:A central administrator could:

  • Skapa en roll med administratörs behörighet enbart för Azure AD-användare i den administrativa enheten för affärs skolan.Create a role with administrative permissions over only Azure AD users in the business school administrative unit.
  • Skapa en administrativ enhet för affärs skolan.Create an administrative unit for the School of Business.
  • Fyll i den administrativa enheten med endast affärs studenter och personal.Populate the administrative unit with only the business school students and staff.
  • Lägg till IT-teamet för affärs skolan i rollen, tillsammans med dess omfattning.Add the business school IT team to the role, along with its scope.

LicenskravLicense requirements

Om du vill använda administrativa enheter behöver du en Azure Active Directory Premium-licens för varje administrativ enhets administratör och Azure Active Directory Free licenser för administrativa enhets medlemmar.To use administrative units, you need an Azure Active Directory Premium license for each administrative unit admin, and Azure Active Directory Free licenses for administrative unit members. Mer information finns i komma igång med Azure AD Premium.For more information, see Getting started with Azure AD Premium.

Hantera administrativa enheterManage administrative units

Du kan hantera administrativa enheter med hjälp av Azure Portal, PowerShell-cmdletar och skript, eller Microsoft Graph.You can manage administrative units by using the Azure portal, PowerShell cmdlets and scripts, or Microsoft Graph. Mer information finns i:For more information, see:

Planera dina administrativa enheterPlan your administrative units

Du kan använda administrativa enheter för att logiskt gruppera Azure AD-resurser.You can use administrative units to logically group Azure AD resources. En organisation vars IT-avdelning är spridd globalt kan skapa administrativa enheter som definierar relevanta geografiska gränser.An organization whose IT department is scattered globally might create administrative units that define relevant geographical boundaries. I ett annat scenario, där en global organisation har under organisationer som är halv autonom i deras verksamhet, kan administrativa enheter representera underorganisationarna.In another scenario, where a global organization has suborganizations that are semi-autonomous in their operations, administrative units could represent the suborganizations.

De kriterier som de administrativa enheterna skapas i vägleds av de unika kraven för en organisation.The criteria on which administrative units are created are guided by the unique requirements of an organization. Administrativa enheter är ett vanligt sätt att definiera strukturen mellan Microsoft 365 tjänster.Administrative units are a common way to define structure across Microsoft 365 services. Vi rekommenderar att du förbereder dina administrativa enheter med deras användning i Microsoft 365 tjänster i åtanke.We recommend that you prepare your administrative units with their use across Microsoft 365 services in mind. Du kan få det maximala värdet av administrativa enheter när du kan koppla vanliga resurser mellan Microsoft 365 under en administrativ enhet.You can get maximum value out of administrative units when you can associate common resources across Microsoft 365 under an administrative unit.

Du kan vänta dig att skapa administrativa enheter i organisationen för att gå igenom följande steg:You can expect the creation of administrative units in the organization to go through the following stages:

  1. Första införande: din organisation kommer att börja skapa administrativa enheter baserat på inledande kriterier och antalet administrativa enheter ökar när villkoren är raffinerade.Initial adoption: Your organization will start creating administrative units based on initial criteria, and the number of administrative units will increase as the criteria are refined.
  2. Rensning: när villkoren har definierats tas administrativa enheter som inte längre behövs bort.Pruning: After the criteria are defined, administrative units that are no longer required will be deleted.
  3. Stabilisering: organisationens struktur definieras och antalet administrativa enheter kommer inte att ändras avsevärt på kort sikt.Stabilization: Your organizational structure is defined, and the number of administrative units isn't going to change significantly in the short term.

Scenarier som stöds för närvarandeCurrently supported scenarios

Som global administratör eller administratör för privilegierade roller kan du använda Azure AD-portalen för att:As a Global Administrator or a Privileged Role Administrator, you can use the Azure AD portal to:

  • Skapa administrativa enheterCreate administrative units
  • Lägg till användare och grupper medlemmar i administrativa enheterAdd users and groups members of administrative units
  • Tilldela IT-personal till administrativa roller för enhets omfångs administratörer.Assign IT staff to administrative unit-scoped administrator roles.

Administrativa enhets omfångs administratörer kan använda Microsoft 365 administrations Center för grundläggande hantering av användare i deras administrativa enheter.Administrative unit-scoped admins can use the Microsoft 365 admin center for basic management of users in their administrative units. En grupp administratör med administrativ enhets omfattning kan hantera grupper med hjälp av PowerShell, Microsoft Graph och Microsoft 365 administrations Center.A group administrator with administrative unit scope can manage groups by using PowerShell, Microsoft Graph, and the Microsoft 365 admin centers.

Anteckning

Endast de funktioner som beskrivs i det här avsnittet är tillgängliga i Microsoft 365 administrations centret.Only the features described in this section are available in the Microsoft 365 admin center. Det finns inga tillgängliga funktioner på organisations nivå för en Azure AD-roll med det administrativa enhets omfånget.No organization-level features are available for an Azure AD role with administrative unit scope.

I följande avsnitt beskrivs aktuella stöd för administrativa enhets scenarier.The following sections describe current support for administrative unit scenarios.

Hantering av administrativa enheterAdministrative unit management

BehörigheterPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Administrationscenter för Microsoft 365Microsoft 365 admin center
Skapa och ta bort administrativa enheterCreating and deleting administrative units StödsSupported StödsSupported Stöds inteNot supported
Lägga till och ta bort administrativa enhets medlemmar individuelltAdding and removing administrative unit members individually StödsSupported StödsSupported Stöds inteNot supported
Lägga till och ta bort administrativa enhets medlemmar i bulk genom att använda CSV-filerAdding and removing administrative unit members in bulk by using CSV files Stöds inteNot supported StödsSupported Ingen Support planNo plan to support
Tilldela administratörer av administrativa enhets omfångAssigning administrative unit-scoped administrators StödsSupported StödsSupported Stöds inteNot supported
Att lägga till och ta bort administrativa enhets medlemmar dynamiskt baserat på attributAdding and removing administrative unit members dynamically based on attributes Stöds inteNot supported Stöds inteNot supported Stöds inteNot supported

AnvändarhanteringUser management

BehörigheterPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Administrationscenter för Microsoft 365Microsoft 365 admin center
Administrativ enhets hantering av användar egenskaper, lösen ord och licenserAdministrative unit-scoped management of user properties, passwords, and licenses StödsSupported StödsSupported StödsSupported
Administrativ enhet – definition av blockerade och avblockerade användar inloggningarAdministrative unit-scoped blocking and unblocking of user sign-ins StödsSupported StödsSupported StödsSupported
Administrativ enhets begränsad hantering av autentiseringsuppgifter för användarens multifaktorautentiseringAdministrative unit-scoped management of user multifactor authentication credentials StödsSupported StödsSupported Stöds inteNot supported

GrupphanteringGroup management

BehörigheterPermissions Graph/PowerShellGraph/PowerShell Azure AD-PortalAzure AD portal Administrationscenter för Microsoft 365Microsoft 365 admin center
Administrativ enhets hantering av grupp egenskaper och medlemmarAdministrative unit-scoped management of group properties and members StödsSupported StödsSupported Stöds inteNot supported
Administrativ enhets hantering av grupp licensieringAdministrative unit-scoped management of group licensing StödsSupported StödsSupported Stöds inteNot supported

Administrativa enheter tillämpar endast omfång på hanterings behörigheter.Administrative units apply scope only to management permissions. De förhindrar inte att medlemmar eller administratörer använder sina standard användar behörigheter för att bläddra bland andra användare, grupper eller resurser utanför den administrativa enheten.They don't prevent members or administrators from using their default user permissions to browse other users, groups, or resources outside the administrative unit. I Microsoft 365 administrations centret filtreras användare utanför en omfångs administratörs administrativa enheter. Men du kan söka efter andra användare i Azure AD-portalen, PowerShell och andra Microsoft-tjänster.In the Microsoft 365 admin center, users outside a scoped admin's administrative units are filtered out. But you can browse other users in the Azure AD portal, PowerShell, and other Microsoft services.

Nästa stegNext steps