Azure Active Directory 中的管理单元

本文介绍 Azure Active Directory (Azure AD) 中的管理单元。 管理单元是一种 Azure AD 资源,它可以是其他 Azure AD 资源的容器。 管理单元只能包含用户、组或设备。

管理单元将角色中的权限限制为你定义的组织的任何部分。 例如,可以使用管理单元将帮助台管理员角色委派给区域支持专家,以便他们仅管理其支持的区域中的用户。

部署场景

在由任何类型的独立部门组成的组织中,使用管理单元限制管理范围非常有用。 假设一个由多个自治学院(商业院、工程学院等)组成的大型大学示例。 每个学院都有一个 IT 管理员团队,他们负责控制访问、管理用户并为学校设置策略。

中心管理员可以:

  • 为商学院创建管理单元。
  • 仅可将商学院学生和员工填充到该管理单元。
  • 创建仅对商学院管理单元中的 Azure AD 用户具有管理权限的角色。
  • 将商学院 IT 团队及其范围添加到角色中。

“设备和管理单元”页的屏幕截图,其中显示了“从管理单元中删除”选项。

约束

下面是管理单元的一些约束。

  • 管理单元不能嵌套。
  • 管理单元范围的用户帐户管理员无法创建或删除用户。
  • 管理单元当前在 Azure AD Identity Governance 中不可用。

将组添加到管理单元会将该组本身纳入管理单元的管理范围,但不包括该组的成员。 换句话说,在管理单元范围内的管理员可以管理组的属性,例如组名称和成员身份,但不能管理组内用户和设备的属性(除非将这些用户和设备单独添加为管理单元的成员)。

例如,范围确定为包含组的管理单元的用户管理员可以和不可以执行的操作如下:

权限 有权执行的操作
管理组名称 ✔️
管理组成员身份 ✔️
管理组中各个成员的用户属性
管理组中各个成员的用户身份验证方法
重置组中各个成员的密码

为了让用户管理员管理群组中各个成员的用户属性或用户身份验证方法,必须将群组成员(用户)直接添加为管理单元的成员。

许可要求

使用管理单元要求每个管理单元管理员具有 Azure AD Premium P1 许可证,要求每个管理单元成员具有 Azure AD Free 许可证。 如果对管理单元使用动态成员身份规则,则每个管理单元成员都需要 Azure AD Premium P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能

对管理单元进行管理

可使用 Azure 门户、PowerShell cmdlet 和脚本或 Microsoft Graph API 对管理单元进行管理。 有关详细信息,请参阅:

规划管理单元

可使用管理单元对 Azure AD 资源进行逻辑分组。 IT 部门分散在世界各地的组织可能会创建定义相关地理边界的管理单元。 在另一种情况下,如果一个全球化组织的次级组织采用半自治运营模式,那么管理单元就可代表次级组织。

创建管理单元的条件将遵循组织的独特要求。 管理单元是跨 Microsoft 365 服务定义结构的常用方法。 建议你在准备管理单元时考虑它们在各项 Microsoft 365 服务中的使用。 如果可以在管理单元下跨 Microsoft 365 关联共有资源,则可以通过管理单元获取最大价值。

组织中管理单元的创建会经历以下阶段:

  1. 初始采用:组织将开始基于初始条件创建管理单元,并且随着条件的优化,管理单元的数量将增加。
  2. 删除:在定义条件后,不再需要的管理单元将被删除。
  3. 稳定化:定义组织结构之后,管理单元的数量在短期内不会发生显著变化。

当前支持的场景

作为全局管理员或特权角色管理员,你可以使用 Azure 门户来执行以下操作:

  • 创建管理单元
  • 将用户、组或设备添加为管理单元的成员
  • 管理具有动态成员身份规则的管理单元的用户或设备(预览版)
  • 将 IT 人员分配给管理单元范围管理员角色。

管理单元范围管理员可以使用 Microsoft 365 管理中心对其管理单元中的用户进行基本管理。 管理单元范围组管理员可以使用 PowerShell、Microsoft Graph 和 Microsoft 365 管理中心来管理组。

管理单元仅对管理权限应用范围。 它们不会阻止成员或管理员使用其默认用户权限浏览管理单元外部的其他用户、组或资源。 在 Microsoft 365 管理中心,管理员的管理单元范围外的用户会被筛选掉。但你可以在 Azure 门户、PowerShell 和其他 Microsoft 服务中浏览其他用户。

注意

Microsoft 365 管理中心仅提供本节中介绍的功能。 没有为管理单元范围 Azure AD 角色提供组织级功能。

以下各节描述了对管理单元场景的当前支持。

管理单元管理

权限 Microsoft Graph/PowerShell Azure 门户 Microsoft 365 管理中心
创建或删除管理单元 ✔️ ✔️ ✔️
添加或删除成员 ✔️ ✔️ ✔️
分配管理单元范围管理员 ✔️ ✔️ ✔️
基于规则动态添加或删除用户或设备(预览版) ✔️ ✔️
基于规则动态添加或删除组

用户管理

权限 Microsoft Graph/PowerShell Azure 门户 Microsoft 365 管理中心
用户属性、密码的管理单元范围管理 ✔️ ✔️ ✔️
用户许可证的管理单元范围管理 ✔️ ✔️ ✔️
用户登录的管理单元范围阻止和取消阻止 ✔️ ✔️ ✔️
用户多重身份验证凭据的管理单元范围管理 ✔️ ✔️

组管理

权限 Microsoft Graph/PowerShell Azure 门户 Microsoft 365 管理中心
管理单元范围的组创建和删除 ✔️ ✔️ ✔️
组属性和成员的管理单元范围管理 ✔️ ✔️ ✔️
组许可的管理单元范围管理 ✔️ ✔️

设备管理

权限 Microsoft Graph/PowerShell Azure 门户 Microsoft 365 管理中心
启用、禁用或删除设备 ✔️ ✔️
读取 BitLocker 恢复密钥 ✔️ ✔️

目前不支持在 Intune 中管理设备。

后续步骤