Konfigurera delegering med hjälp av administrativa enheter

  • 7 minuter

Administrativa enheter är Microsoft Entra ID-resurser som kan vara containrar för andra Microsoft Entra-resurser. En administrativ enhet kan endast innehålla användare, grupper och enheter.

Administrativa enheter begränsar behörigheter i en roll till valfri del av organisationen som du definierar. Du kan till exempel använda administrativa enheter för att delegera rollen Supportadministratör till regionala supportspecialister, så att de bara kan hantera användare i den region som de ger support till. Du kan hantera administrativa enheter med hjälp av Azure Portal, PowerShell-cmdletar och skript eller Microsoft Graph.

Vad är en administrativ enhet?

I Microsoft Entra-ID använder du en enda klientorganisation om du tilldelar en användare någon administratörsroll, de är nu administratör över alla användare i klientorganisationen. Tänk alltid på säkerhetsprincipen för lägsta behörighet, det är alltid det bästa sättet att bevilja administrativt ansvar. Administrativa enheter är containrar som skapats för att lösa den här utmaningen i Microsoft Entra-ID. Om du vill att en användaradministratör endast ska kunna hantera en viss uppsättning användare och grupper. Anta att endast hantera användare på forskningsavdelningen på ett sjukhus. Du kan konfigurera en administrativ enhet. Inom den administrativa enheten skulle du lägga till användare och grupper för forskargruppen, och sedan lägga till en specifik användare i rollen Användaradministratör i den administrativa enheten och kalla dem Admin-for-research. Admin-for-research skulle kunna hantera användarna i den administrativa enheten men inte över hela klientorganisationen, vilket bidrar till att uppnå principen om minsta behörighet.

Vilka administratörsroller är tillgängliga för en administrativ enhet?

Du kan ha användare i följande roller för att hantera din administrativa enhet:

  • Autentiseringsadministratör
  • Gruppadministratör
  • Supportadministratör
  • Licensadministratör
  • Lösenordsadministratör
  • Användaradministratör

Kommentar

Om du är bekant med lokal Active Directory hanterades den här funktionen genom att konfigurera organisationsenheter (OUs) i din katalog och lägga till användarna i organisationsenheten.

Planera dina administrativa enheter

Du kan använda administrativa enheter för att logiskt gruppera Microsoft Entra-resurser. En organisation vars IT-avdelning är utspridda globalt kan skapa administrativa enheter som definierar relevanta geografiska gränser. I ett annat scenario, där en global organisation har underorganiseringar som är halvautonoma i sin verksamhet, kan administrativa enheter representera underorganiseringarna.

Kriterierna för vilka administrativa enheter skapas styrs av organisationens unika krav. Administrativa enheter är ett vanligt sätt att definiera struktur i Microsoft 365-tjänster. Vi rekommenderar att du förbereder dina administrativa enheter med deras användning i Microsoft 365-tjänster i åtanke. Du kan få ut maximalt värde av administrativa enheter när du kan associera gemensamma resurser i Microsoft 365 under en administrativ enhet.

Du kan förvänta dig att skapande av administrativa enheter i organisationen går igenom följande steg:

  1. Inledande implementering: Din organisation börjar skapa administrativa enheter baserat på inledande kriterier och antalet administrativa enheter ökar när kriterierna förfinas.
  2. Beskärning: När kriterierna har definierats tas administrativa enheter som inte längre krävs bort.
  3. Stabilisering: Organisationsstrukturen definieras och antalet administrativa enheter kommer inte att ändras nämnvärt på kort sikt.

Delegera administration i Microsoft Entra-ID

Med organisationstillväxt kommer komplexitet. Ett vanligt svar är att minska en del av arbetsbelastningen för åtkomsthantering med Microsoft Entra-administratörsroller. Du kan tilldela användare minsta möjliga behörighet att komma åt sina appar och utföra sina uppgifter. Även om du inte tilldelar rollen Global administratör till varje programägare lägger du ansvaret för programhantering på befintliga globala administratörer. Det finns många orsaker till att en organisation går mot en mer decentraliserad administration.

I Microsoft Entra-ID kan du delegera behörigheter för att skapa och hantera program på följande sätt:

  • Begränsa vem som kan skapa program och hantera de program som de skapar. Som standard i Microsoft Entra-ID kan alla användare registrera programregistreringar och hantera alla aspekter av program som de skapar. Du kan begränsa till att endast tillåta valda personer som behörighet.
  • Tilldela en eller flera ägare till ett program. Ett enkelt sätt att ge någon möjlighet att hantera alla aspekter av Microsoft Entra ID-konfiguration för ett visst program.
  • Tilldela en inbyggd administrativ roll som ger åtkomst till att hantera konfiguration i Microsoft Entra-ID för alla program. Det rekommenderade sättet att ge IT-experter åtkomst till att hantera breda programkonfigurationsbehörigheter utan att ge åtkomst till att hantera andra delar av Microsoft Entra-ID som inte är relaterade till programkonfiguration.
  • Skapa en anpassad roll för att definiera specifika behörigheter. Tilldela sedan rollen till en användare för att tilldela en begränsad ägare. Eller så kan du tilldela i katalogomfånget – alla program – som begränsad administratör.

När du beviljar åtkomst använder du någon av ovanstående metoder av två skäl. För det första minskar delegering av möjligheten att utföra administrativa uppgifter globala administratörskostnader. För det andra förbättrar användningen av begränsade behörigheter din säkerhetsstatus och minskar risken för obehörig åtkomst.

Planera för delegering

Det är ett arbete med att utveckla en delegeringsmodell som passar dina behov. Att utveckla en delegeringsmodell är en iterativ designprocess, och vi föreslår att du följer dessa steg:

  • Definiera de roller du behöver
  • Delegera appadministration
  • Ge möjlighet att registrera program
  • Delegera appägarskap
  • Utveckla en säkerhetsplan
  • Upprätta nödkonton
  • Skydda dina administratörsroller
  • Gör privilegierad höjning tillfällig

Definiera roller

Fastställ de Active Directory-uppgifter som utförs av administratörer och hur de mappar till roller. Varje uppgift bör utvärderas för frekvens, prioritet och svårigheter. Dessa kriterier är viktiga aspekter av uppgiftsdefinitionen eftersom de styr om en behörighet ska delegeras:

  • Uppgifter som du utför rutinmässigt, har begränsad risk och är triviala att utföra är utmärkta kandidater för delegering.
  • Uppgifter som du sällan men har potentiell risk i hela organisationen och kräver höga kompetensnivåer bör övervägas noggrant innan du delegerar. I stället kan du tillfälligt höja ett konto till den roll som krävs eller omtilldela uppgiften.

Delegera appadministration

Spridningen av appar i din organisation kan belasta din delegeringsmodell. Om den lägger bördan för hantering av programåtkomst på den globala administratören är det troligt att modellen ökar sina omkostnader allt eftersom tiden går. Om du har gett personer rollen Global administratör för saker som att konfigurera företagsprogram kan du nu avlasta dem till följande mindre privilegierade roller. Detta bidrar till att förbättra din säkerhetsstatus och minskar risken för olyckliga misstag. De mest privilegierade programadministratörsrollerna är:

  • Rollen Programadministratör, som ger möjlighet att hantera alla program i katalogen, inklusive registreringar, inställningar för enkel inloggning, användar- och grupptilldelningar och licensiering, Programproxy inställningar och medgivande. Den ger inte möjlighet att hantera villkorsstyrd åtkomst.
  • Rollen Molnprogramadministratör, som ger programadministratören alla funktioner, förutom att den inte ger åtkomst till Programproxy inställningar (eftersom den inte har någon lokal behörighet).

Delegera appregistrering

Som standard kan alla användare skapa programregistreringar. Så här beviljar du selektivt möjligheten att skapa programregistreringar:

  • Ange Användare kan registrera program till Nej i användarinställningar
  • Tilldela användaren rollen Programutvecklare

För att selektivt ge möjlighet att samtycka till att tillåta ett program att komma åt data:

  • Ange Användare kan godkänna att program får åtkomst till företagsdata för deras räkning till Nej i användarinställningar under Företagsappar
  • Tilldela användaren rollen Programutvecklare

När en programutvecklare skapar en ny programregistrering läggs de automatiskt till som den första ägaren.

Delegera appägarskap

För ännu mer detaljerad appåtkomstdelegering kan du tilldela ägarskap till enskilda företagsprogram. Du kan förbättra det befintliga stödet för att tilldela programregistreringsägare. Ägarskap tilldelas per företag-program på skärmen Företagsprogram. Fördelen är att ägarna bara kan hantera de företagsprogram de äger. Du kan till exempel tilldela en ägare för Salesforce-programmet och ägaren kan hantera åtkomst till och konfiguration för Salesforce och inga andra program. Ett företagsprogram kan ha många ägare och en användare kan vara ägare för många företagsprogram. Det finns två roller för appägare:

  • Rollen Ägare av företagsprogram ger möjlighet att hantera de företagsprogram som användaren äger, inklusive inställningar för enkel inloggning, användar- och grupptilldelningar och att lägga till fler ägare. Det ger inte möjlighet att hantera Programproxy inställningar eller villkorsstyrd åtkomst.
  • Rollen Programregistreringsägare ger möjlighet att hantera programregistreringar för appen som användaren äger, inklusive programmanifestet och lägga till andra ägare.

Utveckla en säkerhetsplan

Microsoft Entra ID innehåller en omfattande guide för att planera och köra en säkerhetsplan för dina Microsoft Entra-administratörsroller, Skydda privilegierad åtkomst för hybrid- och molndistributioner.

Upprätta nödkonton

För att upprätthålla åtkomsten till ditt identitetshanteringsarkiv när problemet uppstår förbereder du konton för nödåtkomst enligt Skapa administrativa konton för nödåtkomst.

Skydda dina administratörsroller

Angripare som får kontroll över privilegierade konton kan göra enorm skada. Skydda alltid dessa konton först. Använd funktionen Standardinställningar för säkerhet som är tillgänglig för alla Microsoft Entra-organisationer. Standardinställningar för säkerhet tillämpar multifaktorautentisering på privilegierade Microsoft Entra-konton.