Beheereenheden in Microsoft Entra-id
In dit artikel worden beheereenheden in Microsoft Entra-id beschreven. Een beheereenheid is een Microsoft Entra-resource die een container kan zijn voor andere Microsoft Entra-resources. Een beheereenheid kan alleen gebruikers, groepen en apparaten bevatten.
Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld via beheereenheden de rol Helpdeskbeheerder delegeren aan regionale ondersteuningsspecialisten, zodat deze alleen de gebruikers beheren in de regio die zij ondersteunen. Als u een rol toewijst aan een gebruiker die geen lid is van een beheereenheid, is het bereik van de rol de hele tenant.
Gebruikers kunnen lid zijn van meerdere beheereenheden. U kunt bijvoorbeeld gebruikers toevoegen aan beheereenheden per geografie en afdeling; Megan Bowen bevindt zich mogelijk in de beheereenheden 'Seattle' en 'Marketing'.
Implementatiescenario
Het kan nuttig zijn het beheerbereik te beperken met behulp van beheereenheden in organisaties die bestaan uit onafhankelijke divisies van welke aard dan ook. Bekijk het voorbeeld van een grote universiteit die bestaat uit een groot aantal zelfstandige scholen (faculteit Bedrijfskunde, faculteit Bouwkunde, enzovoort). Elke school heeft een team van IT-beheerders die de toegang beheren, gebruikers beheren en beleidsregels voor hun school instellen.
Een centrale beheerder kan het volgende doen:
- Een beheereenheid maken voor de faculteit Bedrijfskunde.
- De beheereenheid vullen met alleen studenten en medewerkers binnen de faculteit Bedrijfskunde.
- Maak een rol met beheerdersmachtigingen voor alleen Microsoft Entra-gebruikers in de beheereenheid School of Business.
- Het IT-team van de faculteit Bedrijfskunde toevoegen aan de rol samen met het bijbehorende bereik.
Beperkingen
Hier volgen enkele beperkingen voor beheereenheden.
- Beheereenheden kunnen niet worden genest.
- Beheereenheden zijn momenteel niet beschikbaar in Microsoft Entra ID-governance.
Groepen
Als u een groep toevoegt aan een beheereenheid, wordt de groep zelf opgenomen in het beheerbereik van de beheereenheid, maar niet de leden van de groep. Met andere woorden, een beheerder die is gericht op de beheereenheid, kan eigenschappen van de groep beheren, zoals groepsnaam of lidmaatschap, maar kan geen eigenschappen van de gebruikers of apparaten binnen die groep beheren (tenzij deze gebruikers en apparaten afzonderlijk worden toegevoegd als leden van de beheereenheid).
Een Gebruikersbeheerder met het bereik van een beheereenheid die een groep bevat, kan bijvoorbeeld het volgende wel en niet doen:
Machtigingen | Wel |
---|---|
De naam van de groep beheren | ✅ |
Het lidmaatschap van de groep beheren | ✅ |
De gebruikerseigenschappen voor afzonderlijke leden van de groep beheren | ❌ |
De gebruikersverificatiemethoden van afzonderlijke leden van de groep beheren | ❌ |
De wachtwoorden van afzonderlijke leden van de groep opnieuw instellen | ❌ |
Als u wilt dat de Gebruikersbeheerder de gebruikerseigenschappen of verificatiemethoden van afzonderlijke leden van de groep beheert, moeten de groepsleden (gebruikers) rechtstreeks worden toegevoegd als leden van de beheereenheid.
Licentievereisten
Voor het gebruik van beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke beheerder van een beheereenheid die directoryrollen heeft toegewezen binnen het bereik van de beheereenheid en een gratis Licentie voor Microsoft Entra ID voor elk lid van de beheereenheid. Het maken van beheereenheden is beschikbaar met een gratis Licentie voor Microsoft Entra ID. Als u regels gebruikt voor dynamische lidmaatschapsgroepen voor beheereenheden, is voor elk lid van de beheereenheid een Microsoft Entra ID P1-licentie vereist. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.
Beheereenheden beheren
U kunt beheereenheden beheren met behulp van het Microsoft Entra-beheercentrum, PowerShell-cmdlets en -scripts of Microsoft Graph API. Zie voor meer informatie:
- Beheereenheden maken of verwijderen
- Gebruikers, groepen of apparaten toevoegen aan een beheereenheid
- Gebruikers of apparaten beheren voor een beheereenheid met regels voor dynamische lidmaatschapsgroepen
- Microsoft Entra-rollen toewijzen met beheereenheidbereik
- Werken met beheereenheden: Hierin wordt beschreven hoe u met beheereenheden kunt werken met behulp van PowerShell.
- Ondersteuning voor Graph voor beheereenheden: biedt gedetailleerde documentatie over Microsoft Graph voor beheereenheden.
Plan uw beheereenheden
U kunt beheereenheden gebruiken om Microsoft Entra-resources logisch te groeperen. Het kan zijn dat een organisatie waarvan de IT-afdeling over de hele wereld is verspreid beheereenheden maakt waarmee de relevante geografische grenzen worden gedefinieerd. In een ander scenario waarin een wereldwijde organisatie suborganisaties heeft die semi-autonoom hun activiteiten uitvoeren, kunnen beheereenheden een weerspiegeling vormen van de suborganisaties.
De criteria voor het maken van beheereenheden worden bepaald door de unieke vereisten van een organisatie. Beheereenheden zijn een veelgebruikte manier om structuur aan te brengen in Microsoft 365-services. Het wordt aanbevolen om bij het voorbereiden van uw beheereenheden rekening te houden met het gebruik ervan in Microsoft 365-services. U kunt beheereenheden optimaal benutten wanneer u veelgebruikte resources in Microsoft 365 kunt koppelen in een beheereenheid.
Het maken van beheereenheden in de organisatie doorloopt doorgaans de volgende fasen:
- Initiële acceptatie: uw organisatie begint met het maken van beheereenheden op basis van initiële criteria en het aantal beheereenheden neemt toe naarmate de criteria worden verfijnd.
- Verwijderen: Nadat de criteria zijn gedefinieerd, worden beheereenheden verwijderd die niet meer nodig zijn.
- Stabilisatie: Uw organisatiestructuur wordt gedefinieerd en het aantal beheereenheden zal op korte termijn niet aanzienlijk veranderen.
Scenario's die momenteel worden ondersteund
Als beheerder van bevoorrechte rollen kunt u het Microsoft Entra-beheercentrum gebruiken om:
- Beheereenheden maken
- Gebruikers, groepen of apparaten toevoegen als leden van beheereenheden
- Gebruikers of apparaten beheren voor een beheereenheid met regels voor dynamische lidmaatschapsgroepen
- Wijs IT-personeel toe aan de rol Beheerder voor een specifieke beheereenheid.
Beheerders van een specifieke beheereenheid kunnen het Microsoft 365-beheercentrum gebruiken voor het basisbeheer van gebruikers in hun beheereenheden. Een groepsbeheerder voor een specifieke beheereenheid kan groepen beheren met PowerShell, Microsoft Graph en de Microsoft 365-beheercentra.
Het bereik van beheereenheden is alleen van toepassing op beheermachtigingen. Ze verhinderen niet dat leden of beheerders hun standaardgebruikersmachtigingen gebruiken om door andere gebruikers, groepen of resources buiten de beheereenheid te bladeren. In de Microsoft 365-beheercentrum worden gebruikers buiten de beheereenheden van een bereikbeheerder uitgefilterd. U kunt echter door andere gebruikers bladeren in het Microsoft Entra-beheercentrum, PowerShell en andere Microsoft-services.
Notitie
Alleen de functies die in deze sectie worden beschreven, zijn beschikbaar in het Microsoft 365-beheercentrum. Er zijn geen functies op organisatieniveau beschikbaar voor een Microsoft Entra-rol met beheereenheidbereik.
In de volgende secties wordt de huidige ondersteuning voor scenario's met beheereenheden beschreven.
Het beheren van beheereenheden
Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
---|---|---|---|
Beheereenheden maken of verwijderen | ✅ | ✅ | ✅ |
Leden toevoegen of verwijderen | ✅ | ✅ | ✅ |
Beheerders voor een specifieke beheereenheid toewijzen | ✅ | ✅ | ✅ |
Gebruikers of apparaten dynamisch toevoegen of verwijderen op basis van regels | ✅ | ✅ | ❌ |
Groepen dynamisch toevoegen of verwijderen op basis van regels | ❌ | ❌ | ❌ |
Gebruikersbeheer
Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
---|---|---|---|
Beheer van gebruikerseigenschappen en wachtwoorden voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
Beheer van gebruikerslicenties voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
Blokkeren en deblokkeren van gebruikersaanmeldingen voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
Beheer van meervoudige verificatie-referenties van gebruikers voor een specifieke beheereenheid | ✅ | ✅ | ❌ |
Groepsbeheer
Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
---|---|---|---|
Het maken en verwijderen van groepen voor een specifieke beheereenheid | ✅ | ✅ | ✅ |
Beheer van groepseigenschappen en lidmaatschap voor Microsoft 365-groepen met een bereik van beheereenheden | ✅ | ✅ | ✅ |
Beheer van groepseigenschappen en lidmaatschap voor alle andere groepen binnen het bereik van de beheereenheid | ✅ | ✅ | ❌ |
Beheer van groepslicenties voor een specifieke beheereenheid | ✅ | ✅ | ❌ |
Apparaatbeheer
Machtigingen | Microsoft Graph/PowerShell | Microsoft Entra-beheercentrum | Microsoft 365-beheercentrum |
---|---|---|---|
Apparaten inschakelen, uitschakelen of verwijderen | ✅ | ✅ | ❌ |
BitLocker-herstelsleutels lezen | ✅ | ✅ | ❌ |
Het beheren van apparaten in Intune wordt momenteel niet ondersteund.