Přiřazení rolí Microsoft Entra s oborem jednotek pro správu
V MICROSOFT Entra ID pro podrobnější správu můžete přiřadit roli Microsoft Entra s oborem omezeným na jednu nebo více jednotek pro správu. Pokud je role Microsoft Entra přiřazena v oboru jednotky pro správu, oprávnění role se vztahují pouze na správu členů samotné jednotky pro správu a nevztahují se na nastavení nebo konfigurace pro celého tenanta.
Například správce, který má přiřazenou roli Správce skupin v oboru jednotky pro správu, může spravovat skupiny, které jsou členy jednotky pro správu, ale nemůžou spravovat jiné skupiny v tenantovi. Nemůžou také spravovat nastavení na úrovni tenanta související se skupinami, jako jsou zásady vypršení platnosti nebo pojmenování skupin.
Tento článek popisuje, jak přiřadit role Microsoft Entra s oborem jednotek pro správu.
Požadavky
- Licence Microsoft Entra ID P1 nebo P2 pro každého správce jednotek pro správu
- Bezplatné licence Microsoft Entra ID pro členy jednotek pro správu
- Správce privilegovaných rolí
- Modul Microsoft Graph PowerShellu při použití PowerShellu
- Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API
Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Role, které je možné přiřadit s oborem jednotek správy
Následující role Microsoft Entra je možné přiřadit s oborem jednotek pro správu. Kromě toho je možné přiřadit jakoukoli vlastní roli s oborem jednotek pro správu, pokud oprávnění vlastní role zahrnují alespoň jedno oprávnění relevantní pro uživatele, skupiny nebo zařízení.
| Role | Popis |
|---|---|
| Správce ověřování | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce v přiřazené jednotce pro správu. |
| Správce cloudových zařízení | Omezený přístup ke správě zařízení v Microsoft Entra ID. |
| Správce skupin | Může spravovat všechny aspekty skupin pouze v přiřazené jednotce pro správu. |
| Správce helpdesku | V přiřazené jednotce pro správu můžete resetovat hesla pouze pro správce. |
| Správce licencí | Může přiřazovat, odebírat a aktualizovat přiřazení licencí pouze v rámci jednotky pro správu. |
| Správce hesel | Může resetovat hesla pro uživatele, kteří nejsou správci, pouze v přiřazené jednotce pro správu. |
| Správce tiskárny | Může spravovat tiskárny a konektory tiskárny. Další informace naleznete v tématu Delegování správy tiskáren v univerzálním tisku. |
| Správce privilegovaného ověřování | Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce). |
| Správce SharePointu | Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. U sharepointových webů přidružených ke skupinám Microsoftu 365 v jednotce pro správu můžete aktualizovat také vlastnosti webu (název webu, adresu URL a zásady externího sdílení) pomocí Centrum pro správu Microsoftu 365. Ke správě webů nelze použít Centrum pro správu SharePointu nebo rozhraní API služby SharePoint. |
| Správce Teams | Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. Může spravovat členy týmu v Centrum pro správu Microsoftu 365 pro týmy přidružené ke skupinám pouze v přiřazené jednotce pro správu. Centrum pro správu Teams se nedá použít. |
| Správce zařízení Teams | Může provádět úlohy související se správou na certifikovaných zařízeních Teams. |
| Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel jenom pro omezené správce v rámci přiřazené jednotky pro správu. V současné době nelze spravovat profilové fotografie uživatelů. |
| <Vlastní role> | Může provádět akce, které se vztahují na uživatele, skupiny nebo zařízení podle definice vlastní role. |
Určitá oprávnění role se vztahují pouze na uživatele, kteří nejsou správci, pokud jsou přiřazeni s oborem jednotky pro správu. Jinými slovy, můžou správci helpdesku s vymezeným oborem správy resetovat hesla pro uživatele v jednotce pro správu jenom v případě, že tito uživatelé nemají role správce. Následující seznam oprávnění je omezený, pokud je cílem akce jiný správce:
- Čtení a úpravy metod ověřování uživatelů nebo resetování uživatelských hesel
- Úprava citlivých vlastností uživatelů, jako jsou telefonní čísla, alternativní e-mailové adresy nebo tajné klíče OAuth (Open Authorization)
- Odstranění nebo obnovení uživatelských účtů
Objekty zabezpečení, které je možné přiřadit s oborem jednotek správy
K roli s oborem jednotky pro správu je možné přiřadit následující objekty zabezpečení:
- Uživatelé
- Přiřazovatelné skupiny rolí Microsoft Entra
- Instanční objekty
Instanční objekty a uživatelé typu host
Instanční objekty a uživatelé typu host nebudou moct používat přiřazení role vymezené jednotce pro správu, pokud jim nebudou přiřazena odpovídající oprávnění ke čtení objektů. Důvodem je to, že instanční objekty a uživatelé typu host ve výchozím nastavení nedostávají oprávnění ke čtení adresáře, která jsou nutná k provádění akcí správy. Pokud chcete instančnímu objektu nebo uživateli typu host povolit použití přiřazení role vymezené jednotce pro správu, musíte přiřadit roli Čtenáře adresáře (nebo jinou roli, která zahrnuje oprávnění ke čtení) v oboru tenanta.
V současné době není možné přiřadit k jednotce pro správu oprávnění ke čtení adresáře s vymezeným oborem. Další informace o výchozích oprávněních pro uživatele najdete v tématu Výchozí uživatelská oprávnění.
Přiřazení role s oborem jednotky pro správu
Roli Microsoft Entra s oborem jednotek pro správu můžete přiřadit pomocí Centra pro správu Microsoft Entra, PowerShellu nebo Microsoft Graphu.
Centrum pro správu Microsoft Entra
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
Přejděte do části Role identit>a jednotky pro správu.>
Vyberte jednotku pro správu, ke které chcete přiřadit obor role uživatele.
V levém podokně vyberte Role a správci a vypíšete všechny dostupné role.
Vyberte roli, která se má přiřadit, a pak vyberte Přidat přiřazení.
V podokně Přidat přiřazení vyberte jednoho nebo více uživatelů, kteří mají být přiřazeni k roli.
Poznámka:
Pokud chcete přiřadit roli v jednotce pro správu pomocí nástroje Microsoft Entra Privileged Identity Management (PIM), přečtěte si téma Přiřazení rolí Microsoft Entra v PIM.
PowerShell
Pomocí příkazu New-MgRoleManagementDirectoryRoleAssignment a parametru DirectoryScopeId přiřaďte roli s oborem jednotky správy.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
K přiřazení role s oborem jednotky pro správu použijte rozhraní API pro přidání oboru roleRoleMember.
Žádost
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Text
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Výpis přiřazení rolí s oborem jednotek pro správu
Seznam přiřazení rolí Microsoft Entra s oborem jednotek správy můžete zobrazit pomocí Centra pro správu Microsoft Entra, PowerShellu nebo Microsoft Graphu.
Centrum pro správu Microsoft Entra
Všechna přiřazení rolí vytvořená s oborem jednotek pro správu můžete zobrazit v části Jednotky pro správu v Centru pro správu Microsoft Entra.
Přihlaste se do Centra pro správu Microsoft Entra.
Přejděte do části Role identit>a jednotky pro správu.>
Vyberte jednotku pro správu seznamu přiřazení rolí, která chcete zobrazit.
Vyberte Role a správci a potom otevřete roli, abyste zobrazili přiřazení v jednotce pro správu.
PowerShell
Pomocí příkazu Get-MgDirectoryAdministrativeUnitScopedRoleMember zobrazte seznam přiřazení rolí s oborem jednotek pro správu.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
Pomocí rozhraní API List scopedRoleMembers můžete vypsat přiřazení rolí s oborem jednotky správy.
Žádost
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Text
{}