部署Microsoft Entra ID 管理单元
前面和大家聊了Microsoft Entra ID管理单元的一些基础概念,掌握管理单元范围的概念至关重要,因为它定义了管理单元内管理资源和权限的范围。它为高效的 Microsoft Entra ID 管理奠定了基础。
通过管理单元,我们可以将角色的权限限制为组织中所需的部分。例如,许多组织可能定义管理单位来将支持角色委派给特定区域。重要的是要了解,根据资源访问需求,用户也可以是多个管理单元的成员。
创建 Entra ID 管理单元是一个有条不紊的过程,需要彻底了解 Azure AD 和 Microsoft Entra ID。接下来我们会详细介绍在 Entra ID 中创建管理单元的分步过程
首先,我们需要登录到Azure Portal,然后点击Microsoft Entra ID > 管理单元 > 添加:
点击以后将启动添加管理单元向导。命名管理单元并输入描述(可选)。我们还可以将 AU 设置为受限管理管理单元。如果不希望租户级管理员继承到该管理单元中的角色,则受限管理管理单元会将该管理单元标记为受限管理。
在分配角色页面上,我们可以将用户分配给列出的角色。在这里,我们将分配“Helpdesk Administrator”。单击角色。下面我们看到所有行政单位的角色。将角色与管理单位一起使用会将范围应用于受让人。
接下来,我们分配将成为该角色成员的用户。单击添加:
在“HelpdeskAdministrator”的Assigned位置,我们可以看到已经分配了1个用户,然后点击“查看+创建”:
确认无误,点击创建:
创建完成,如下图所示:
创建好了以后,我们要将需要“Helpdesk Administrator”帮忙管理的用户成员,添加到管理单元中,具体可以参考如下步骤。
打开管理单元,点击左侧的 用户 > 添加成员:
选择需要用户,然后点击保存:
添加好以后,如下图所示:
到这里我们就已经配置好了管理单元。感兴趣的小伙伴可以自己动手操作一下。
另外大家在使用的过程中,可以将管理单元和动态成员组相结合。动态成员组规则提供了管理单位内组成员资格的自动化管理。了解这些规则至关重要,因为它们会根据预定义的标准自动执行添加或删除成员的过程。
