Delen via


Beheereenheden in Microsoft Entra-id

In dit artikel worden beheereenheden in Microsoft Entra-id beschreven. Een beheereenheid is een Microsoft Entra-resource die een container kan zijn voor andere Microsoft Entra-resources. Een beheereenheid kan alleen gebruikers, groepen en apparaten bevatten.

Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld via beheereenheden de rol Helpdeskbeheerder delegeren aan regionale ondersteuningsspecialisten, zodat deze alleen de gebruikers beheren in de regio die zij ondersteunen. Als u een rol toewijst aan een gebruiker die geen lid is van een beheereenheid, is het bereik van de rol de hele tenant.

Gebruikers kunnen lid zijn van meerdere beheereenheden. U kunt bijvoorbeeld gebruikers toevoegen aan beheereenheden per geografie en afdeling; Megan Bowen bevindt zich mogelijk in de beheereenheden 'Seattle' en 'Marketing'.

Implementatiescenario

Het kan nuttig zijn het beheerbereik te beperken met behulp van beheereenheden in organisaties die bestaan uit onafhankelijke divisies van welke aard dan ook. Bekijk het voorbeeld van een grote universiteit die bestaat uit een groot aantal zelfstandige scholen (faculteit Bedrijfskunde, faculteit Bouwkunde, enzovoort). Elke school heeft een team van IT-beheerders die de toegang beheren, gebruikers beheren en beleidsregels voor hun school instellen.

Een centrale beheerder kan het volgende doen:

  • Een beheereenheid maken voor de faculteit Bedrijfskunde.
  • De beheereenheid vullen met alleen studenten en medewerkers binnen de faculteit Bedrijfskunde.
  • Maak een rol met beheerdersmachtigingen voor alleen Microsoft Entra-gebruikers in de beheereenheid School of Business.
  • Het IT-team van de faculteit Bedrijfskunde toevoegen aan de rol samen met het bijbehorende bereik.

Schermopname van de pagina Apparaat- en beheereenheden met de optie Verwijderen uit beheereenheid.

Beperkingen

Hier volgen enkele beperkingen voor beheereenheden.

Groepen

Als u een groep toevoegt aan een beheereenheid, wordt de groep zelf opgenomen in het beheerbereik van de beheereenheid, maar niet de leden van de groep. Met andere woorden, een beheerder die is gericht op de beheereenheid, kan eigenschappen van de groep beheren, zoals groepsnaam of lidmaatschap, maar kan geen eigenschappen van de gebruikers of apparaten binnen die groep beheren (tenzij deze gebruikers en apparaten afzonderlijk worden toegevoegd als leden van de beheereenheid).

Een Gebruikersbeheerder met het bereik van een beheereenheid die een groep bevat, kan bijvoorbeeld het volgende wel en niet doen:

Machtigingen Wel
De naam van de groep beheren
Het lidmaatschap van de groep beheren
De gebruikerseigenschappen voor afzonderlijke leden van de groep beheren
De gebruikersverificatiemethoden van afzonderlijke leden van de groep beheren
De wachtwoorden van afzonderlijke leden van de groep opnieuw instellen

Als u wilt dat de Gebruikersbeheerder de gebruikerseigenschappen of verificatiemethoden van afzonderlijke leden van de groep beheert, moeten de groepsleden (gebruikers) rechtstreeks worden toegevoegd als leden van de beheereenheid.

Licentievereisten

Voor het gebruik van beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke beheerder van een beheereenheid die directoryrollen heeft toegewezen binnen het bereik van de beheereenheid en een gratis Licentie voor Microsoft Entra ID voor elk lid van de beheereenheid. Het maken van beheereenheden is beschikbaar met een gratis Licentie voor Microsoft Entra ID. Als u regels gebruikt voor dynamische lidmaatschapsgroepen voor beheereenheden, is voor elk lid van de beheereenheid een Microsoft Entra ID P1-licentie vereist. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.

Beheereenheden beheren

U kunt beheereenheden beheren met behulp van het Microsoft Entra-beheercentrum, PowerShell-cmdlets en -scripts of Microsoft Graph API. Zie voor meer informatie:

Plan uw beheereenheden

U kunt beheereenheden gebruiken om Microsoft Entra-resources logisch te groeperen. Het kan zijn dat een organisatie waarvan de IT-afdeling over de hele wereld is verspreid beheereenheden maakt waarmee de relevante geografische grenzen worden gedefinieerd. In een ander scenario waarin een wereldwijde organisatie suborganisaties heeft die semi-autonoom hun activiteiten uitvoeren, kunnen beheereenheden een weerspiegeling vormen van de suborganisaties.

De criteria voor het maken van beheereenheden worden bepaald door de unieke vereisten van een organisatie. Beheereenheden zijn een veelgebruikte manier om structuur aan te brengen in Microsoft 365-services. Het wordt aanbevolen om bij het voorbereiden van uw beheereenheden rekening te houden met het gebruik ervan in Microsoft 365-services. U kunt beheereenheden optimaal benutten wanneer u veelgebruikte resources in Microsoft 365 kunt koppelen in een beheereenheid.

Het maken van beheereenheden in de organisatie doorloopt doorgaans de volgende fasen:

  1. Initiële acceptatie: uw organisatie begint met het maken van beheereenheden op basis van initiële criteria en het aantal beheereenheden neemt toe naarmate de criteria worden verfijnd.
  2. Verwijderen: Nadat de criteria zijn gedefinieerd, worden beheereenheden verwijderd die niet meer nodig zijn.
  3. Stabilisatie: Uw organisatiestructuur wordt gedefinieerd en het aantal beheereenheden zal op korte termijn niet aanzienlijk veranderen.

Scenario's die momenteel worden ondersteund

Als beheerder van bevoorrechte rollen kunt u het Microsoft Entra-beheercentrum gebruiken om:

  • Beheereenheden maken
  • Gebruikers, groepen of apparaten toevoegen als leden van beheereenheden
  • Gebruikers of apparaten beheren voor een beheereenheid met regels voor dynamische lidmaatschapsgroepen
  • Wijs IT-personeel toe aan de rol Beheerder voor een specifieke beheereenheid.

Beheerders van een specifieke beheereenheid kunnen het Microsoft 365-beheercentrum gebruiken voor het basisbeheer van gebruikers in hun beheereenheden. Een groepsbeheerder voor een specifieke beheereenheid kan groepen beheren met PowerShell, Microsoft Graph en de Microsoft 365-beheercentra.

Het bereik van beheereenheden is alleen van toepassing op beheermachtigingen. Ze verhinderen niet dat leden of beheerders hun standaardgebruikersmachtigingen gebruiken om door andere gebruikers, groepen of resources buiten de beheereenheid te bladeren. In de Microsoft 365-beheercentrum worden gebruikers buiten de beheereenheden van een bereikbeheerder uitgefilterd. U kunt echter door andere gebruikers bladeren in het Microsoft Entra-beheercentrum, PowerShell en andere Microsoft-services.

Notitie

Alleen de functies die in deze sectie worden beschreven, zijn beschikbaar in het Microsoft 365-beheercentrum. Er zijn geen functies op organisatieniveau beschikbaar voor een Microsoft Entra-rol met beheereenheidbereik.

In de volgende secties wordt de huidige ondersteuning voor scenario's met beheereenheden beschreven.

Het beheren van beheereenheden

Machtigingen Microsoft Graph/PowerShell Microsoft Entra-beheercentrum Microsoft 365-beheercentrum
Beheereenheden maken of verwijderen
Leden toevoegen of verwijderen
Beheerders voor een specifieke beheereenheid toewijzen
Gebruikers of apparaten dynamisch toevoegen of verwijderen op basis van regels
Groepen dynamisch toevoegen of verwijderen op basis van regels

Gebruikersbeheer

Machtigingen Microsoft Graph/PowerShell Microsoft Entra-beheercentrum Microsoft 365-beheercentrum
Beheer van gebruikerseigenschappen en wachtwoorden voor een specifieke beheereenheid
Beheer van gebruikerslicenties voor een specifieke beheereenheid
Blokkeren en deblokkeren van gebruikersaanmeldingen voor een specifieke beheereenheid
Beheer van meervoudige verificatie-referenties van gebruikers voor een specifieke beheereenheid

Groepsbeheer

Machtigingen Microsoft Graph/PowerShell Microsoft Entra-beheercentrum Microsoft 365-beheercentrum
Het maken en verwijderen van groepen voor een specifieke beheereenheid
Beheer van groepseigenschappen en lidmaatschap voor Microsoft 365-groepen met een bereik van beheereenheden
Beheer van groepseigenschappen en lidmaatschap voor alle andere groepen binnen het bereik van de beheereenheid
Beheer van groepslicenties voor een specifieke beheereenheid

Apparaatbeheer

Machtigingen Microsoft Graph/PowerShell Microsoft Entra-beheercentrum Microsoft 365-beheercentrum
Apparaten inschakelen, uitschakelen of verwijderen
BitLocker-herstelsleutels lezen

Het beheren van apparaten in Intune wordt momenteel niet ondersteund.

Volgende stappen