Beheer istische eenheden in Microsoft Entra-id
In dit artikel worden beheereenheden in Microsoft Entra-id beschreven. Een beheereenheid is een Microsoft Entra-resource die een container kan zijn voor andere Microsoft Entra-resources. Een beheereenheid kan alleen gebruikers, groepen en apparaten bevatten.
Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld via beheereenheden de rol Helpdeskbeheerder delegeren aan regionale ondersteuningsspecialisten, zodat deze alleen de gebruikers beheren in de regio die zij ondersteunen.
Gebruikers kunnen lid zijn van meerdere beheereenheden. U kunt bijvoorbeeld gebruikers toevoegen aan beheereenheden per geografie en afdeling; Megan Bowen bevindt zich mogelijk in de beheereenheden 'Seattle' en 'Marketing'.
Implementatiescenario
Het kan nuttig zijn het beheerbereik te beperken met behulp van beheereenheden in organisaties die bestaan uit onafhankelijke divisies van welke aard dan ook. Bekijk het voorbeeld van een grote universiteit die bestaat uit een groot aantal zelfstandige scholen (faculteit Bedrijfskunde, faculteit Bouwkunde, enzovoort). Elke school heeft een team van IT-beheerders die de toegang beheren, gebruikers beheren en beleidsregels voor hun school instellen.
Een centrale beheerder kan het volgende doen:
- Een beheereenheid maken voor de faculteit Bedrijfskunde.
- De beheereenheid vullen met alleen studenten en medewerkers binnen de faculteit Bedrijfskunde.
- Maak een rol met beheerdersmachtigingen voor alleen Microsoft Entra-gebruikers in de beheereenheid School of Business.
- Het IT-team van de faculteit Bedrijfskunde toevoegen aan de rol samen met het bijbehorende bereik.
Beperkingen
Hier volgen enkele beperkingen voor beheereenheden.
- Beheereenheden kunnen niet worden genest.
- Beheer aantal eenheden zijn momenteel niet beschikbaar in Microsoft Entra ID-governance.
Groepen
Als u een groep toevoegt aan een beheereenheid, wordt de groep zelf opgenomen in het beheerbereik van de beheereenheid, maar niet de leden van de groep. Met andere woorden, een beheerder die is gericht op de beheereenheid, kan eigenschappen van de groep beheren, zoals groepsnaam of lidmaatschap, maar kan geen eigenschappen van de gebruikers of apparaten binnen die groep beheren (tenzij deze gebruikers en apparaten afzonderlijk worden toegevoegd als leden van de beheereenheid).
Een Gebruikersbeheerder met het bereik van een beheereenheid die een groep bevat, kan bijvoorbeeld het volgende wel en niet doen:
| Machtigingen | Wel |
|---|---|
| De naam van de groep beheren | ✅ |
| Het lidmaatschap van de groep beheren | ✅ |
| De gebruikerseigenschappen voor afzonderlijke leden van de groep beheren | ❌ |
| De gebruikersverificatiemethoden van afzonderlijke leden van de groep beheren | ❌ |
| De wachtwoorden van afzonderlijke leden van de groep opnieuw instellen | ❌ |
Als u wilt dat de Gebruikersbeheerder de gebruikerseigenschappen of verificatiemethoden van afzonderlijke leden van de groep beheert, moeten de groepsleden (gebruikers) rechtstreeks worden toegevoegd als leden van de beheereenheid.
Licentievereisten
Voor het gebruik van beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke beheerder van een beheereenheid die directoryrollen heeft toegewezen binnen het bereik van de beheereenheid en een gratis Licentie voor Microsoft Entra ID voor elk lid van de beheereenheid. Het maken van beheereenheden is beschikbaar met een gratis Licentie voor Microsoft Entra ID. Als u dynamische lidmaatschapsregels voor beheereenheden gebruikt, is voor elk lid van de beheereenheid een Microsoft Entra ID P1-licentie vereist. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.
Beheereenheden beheren
U kunt beheereenheden beheren met behulp van het Microsoft Entra-beheercentrum, PowerShell-cmdlets en -scripts of Microsoft Graph API. Zie voor meer informatie:
- Beheereenheden maken of verwijderen
- Gebruikers, groepen of apparaten toevoegen aan een beheereenheid
- Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels (preview)
- Microsoft Entra-rollen toewijzen met beheereenheidbereik
- Werken met beheereenheden: Hierin wordt beschreven hoe u met beheereenheden kunt werken met behulp van PowerShell.
- ondersteuning voor Beheer istratieve eenheid Graph: biedt gedetailleerde documentatie over Microsoft Graph voor beheereenheden.
Plan uw beheereenheden
U kunt beheereenheden gebruiken om Microsoft Entra-resources logisch te groeperen. Het kan zijn dat een organisatie waarvan de IT-afdeling over de hele wereld is verspreid beheereenheden maakt waarmee de relevante geografische grenzen worden gedefinieerd. In een ander scenario waarin een wereldwijde organisatie suborganisaties heeft die semi-autonoom hun activiteiten uitvoeren, kunnen beheereenheden een weerspiegeling vormen van de suborganisaties.
De criteria voor het maken van beheereenheden worden bepaald door de unieke vereisten van een organisatie. Beheereenheden zijn een veelgebruikte manier om structuur aan te brengen in Microsoft 365-services. Het wordt aanbevolen om bij het voorbereiden van uw beheereenheden rekening te houden met het gebruik ervan in Microsoft 365-services. U kunt beheereenheden optimaal benutten wanneer u veelgebruikte resources in Microsoft 365 kunt koppelen in een beheereenheid.
Het maken van beheereenheden in de organisatie doorloopt doorgaans de volgende fasen:
- Initiële acceptatie: uw organisatie begint met het maken van beheereenheden op basis van initiële criteria en het aantal beheereenheden neemt toe naarmate de criteria worden verfijnd.
- Verwijderen: Nadat de criteria zijn gedefinieerd, worden beheereenheden verwijderd die niet meer nodig zijn.
- Stabilisatie: Uw organisatiestructuur wordt gedefinieerd en het aantal beheereenheden zal op korte termijn niet aanzienlijk veranderen.
Scenario's die momenteel worden ondersteund
Als globale Beheer istrator of een bevoorrechte rol Beheer istrator kunt u het Microsoft Entra-beheercentrum gebruiken om:
- Beheereenheden maken
- Gebruikers, groepen of apparaten toevoegen als leden van beheereenheden
- Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels (preview)
- Wijs IT-personeel toe aan de rol Beheerder voor een specifieke beheereenheid.
Beheerders van een specifieke beheereenheid kunnen het Microsoft 365-beheercentrum gebruiken voor het basisbeheer van gebruikers in hun beheereenheden. Een groepsbeheerder voor een specifieke beheereenheid kan groepen beheren met PowerShell, Microsoft Graph en de Microsoft 365-beheercentra.
Het bereik van beheereenheden is alleen van toepassing op beheermachtigingen. Ze verhinderen niet dat leden of beheerders hun standaardgebruikersmachtigingen gebruiken om door andere gebruikers, groepen of resources buiten de beheereenheid te bladeren. In de Microsoft 365-beheercentrum worden gebruikers buiten de beheereenheden van een bereikbeheerder uitgefilterd. U kunt echter door andere gebruikers bladeren in het Microsoft Entra-beheercentrum, PowerShell en andere Microsoft-services.
Notitie
Alleen de functies die in deze sectie worden beschreven, zijn beschikbaar in het Microsoft 365-beheercentrum. Er zijn geen functies op organisatieniveau beschikbaar voor een Microsoft Entra-rol met beheereenheidbereik.
In de volgende secties wordt de huidige ondersteuning voor scenario's met beheereenheden beschreven.
Het beheren van beheereenheden
| Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
|---|---|---|---|
| Beheereenheden maken of verwijderen | ✅ | ✅ | ✅ |
| Leden toevoegen of verwijderen | ✅ | ✅ | ✅ |
| Beheerders voor een specifieke beheereenheid toewijzen | ✅ | ✅ | ✅ |
| Gebruikers of apparaten dynamisch toevoegen of verwijderen op basis van regels (preview) | ✅ | ✅ | ❌ |
| Groepen dynamisch toevoegen of verwijderen op basis van regels | ❌ | ❌ | ❌ |
Gebruikersbeheer
| Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
|---|---|---|---|
| Beheer van gebruikerseigenschappen en wachtwoorden voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
| Beheer van gebruikerslicenties voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
| Blokkeren en deblokkeren van gebruikersaanmeldingen voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
| Beheer van meervoudige verificatie-referenties van gebruikers voor een specifieke beheereenheid | ✅ | ✅ | ❌ |
Groepsbeheer
| Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
|---|---|---|---|
| Het maken en verwijderen van groepen voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
| Beheer istisch eenheidsbereikbeheer van groepseigenschappen en lidmaatschap voor Microsoft 365-groepen | ✅ | ✅ | ✅ |
| Beheer istisch beheer van groepseigenschappen en lidmaatschap voor alle andere groepen | ✅ | ✅ | ❌ |
| Beheer van groepslicenties voor een specifieke beheereenheid | ✅ | ✅ | ❌ |
Apparaatbeheer
| Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
|---|---|---|---|
| Apparaten inschakelen, uitschakelen of verwijderen | ✅ | ✅ | ❌ |
| BitLocker-herstelsleutels lezen | ✅ | ✅ | ❌ |
Het beheren van apparaten in Intune wordt momenteel niet ondersteund.