Административные единицы Azure AD: удобный инструмент для администрирования Microsoft 365

Более крупные организации почти всегда подразделяют административные обязанности, чтобы уберечь одного человека от чрезмерных разрешений и чтобы администраторы не были перегружены слишком большим количеством обязанностей. Исторически домены Active Directory часто использовались для ограничения объема административных полномочий. Администратор может, например, иметь права администратора в одном домене Active Directory, но не в другом. Несмотря на то, что необходимость ограничения административной области давно установлена, в Microsoft 365 обычно трудно добиться разделения административных границ. Хотя существуют механизмы управления доступом на основе ролей, которые можно использовать для контроля того, что администратор может делать в различные приложения Microsoft Office, все эти приложения зависят от Azure AD, и ограничение административной области в Azure AD может быть затруднено. Одним из лучших инструментов для ограничения административной области в Azure AD является механизм, называемый административными единицами. Прежде чем я покажу вам, как работают административные единицы, я должен указать, что для их использования вам потребуется лицензия Azure AD Premium в дополнение к вашим лицензиям Microsoft 365.
Чтобы создать административную единицу, откройте центр администрирования Azure Active Directory и щелкните вкладку административная единица. Вы можете найти эту вкладку в разделе «Управление», как показано на скриншоте ниже.
Нажмите кнопку «Добавить», чтобы создать новую административную единицу. После этого вы увидите экран, подобный показанному ниже, с просьбой указать имя и описание для новой административной единицы. Рекомендуется использовать имя, отражающее назначение административной единицы. Предположим, например, что вы создаете отдельную административную единицу для каждого из филиалов вашей организации. Вы можете назвать административную единицу в честь офиса, который она будет обслуживать.
Следующим шагом в этом процессе является назначение ролей административной единице. Нажмите кнопку «Далее: назначить роли», показанную внизу предыдущего рисунка. Когда вы это сделаете, вы попадете на экран «Назначить роли», показанный на следующем рисунке.
Вам нужно будет назначить некоторые роли новой административной единице. И когда вы посмотрите на снимок экрана выше, вы увидите, что есть несколько предопределенных ролей, которые можно назначить новой административной единице Azure AD. Описание появляется справа от имени каждой роли. Например, администратор групп может выполнять задачи управления группами в рамках административной единицы.
Когда вы назначаете роль административной единице, вы также должны сообщить Microsoft 365, кто будет выполнять эту роль. Например, предположим на мгновение, что вы решили добавить администратора групп в новую административную единицу, которую вы создаете. Вы могли заметить на предыдущем снимке экрана, что все имена ролей связаны гиперссылками. Если щелкнуть роль администратора групп (или любую другую роль в этом отношении), центр администрирования Azure Active Directory отобразит список пользователей в вашей организации. Вам нужно будет нажать на учетные записи пользователей, которым вы хотите делегировать роль. При этом эти пользователи добавляются в список «Выбранные элементы». Если вы случайно добавите в этот список не того пользователя, вы можете использовать кнопку «Удалить», чтобы удалить пользователя из списка. Вы можете увидеть, как это выглядит на скриншоте ниже.
Когда список выбранных пользователей будет готов, нажмите кнопку «Добавить». Когда вы это сделаете, вы должны увидеть увеличение числа назначенных для выбранной роли. Теперь приступайте к назначению любых других необходимых ролей. Когда вы закончите, нажмите кнопку Review + Create. Это приведет к тому, что в центре администрирования Azure Active Directory отобразятся имя и описание роли, а также все назначенные вами роли. Найдите минутку и убедитесь, что все эти данные верны. Предполагая, что все выглядит хорошо, нажмите кнопку «Создать». Теперь вы увидите новую административную единицу, указанную на вкладке административных единиц, как показано ниже.
Несмотря на то, что мы создали административную единицу, она еще ничего не делает. На данный момент административная единица — это просто набор назначений ролей, которые ни к чему не относятся.
Ключом к использованию административных единиц в качестве инструмента, позволяющего администраторам управлять ресурсами, но в ограниченных пределах, является добавление ресурсов в административную единицу. Вы можете добавлять пользователей и группы. Администраторы смогут управлять этими пользователями и группами в рамках ранее назначенных ролей.
Чтобы добавить пользователей и группы в административную единицу, щелкните административную единицу. Это приведет вас к экрану, подобному показанному ниже.
Как видно на рисунке, этот экран содержит вкладки как для пользователей, так и для групп. Вы можете добавить пользователей, перейдя на вкладку «Пользователи» и нажав кнопку «Добавить участника». Когда вы это сделаете, вы увидите список пользователей. Вы можете добавить пользователей в административную единицу, просто выбрав их. Когда вы закончите, нажмите кнопку Выбрать. Групповые задания работают точно так же.
Следует иметь в виду, что когда вы добавляете пользователей и группы в административную единицу: вы не вносите никаких изменений в разрешения пользователя или группы. Вы просто даете членам роли (администраторам) разрешение управлять пользователями и группами в контексте назначений ролей, которые вы установили ранее. Конечно, вы всегда можете вернуться и изменить эти назначения ролей позже.