Unit administratif di ID Microsoft Entra
Artikel ini menjelaskan unit administratif di MICROSOFT Entra ID. Unit administratif adalah sumber daya Microsoft Entra yang dapat menjadi kontainer untuk sumber daya Microsoft Entra lainnya. Unit administratif hanya dapat berisi pengguna, grup, atau perangkat.
Unit administratif membatasi izin dalam peran pada bagian organisasi apa pun yang Anda tetapkan. Misalnya, Anda dapat menggunakan unit administratif untuk mendelegasikan peran Administrator Bantuan Teknis ke spesialis dukungan wilayah, sehingga mereka hanya dapat mengelola pengguna di wilayah yang mereka dukung. Perhatikan bahwa jika Anda menetapkan peran kepada pengguna yang bukan anggota unit administratif, cakupan peran adalah seluruh penyewa.
Pengguna dapat menjadi anggota beberapa unit administratif. Misalnya, Anda dapat menambahkan pengguna ke unit administratif berdasarkan geografi dan pembagian; Megan Bowen mungkin berada di unit administratif "Seattle" dan "Pemasaran".
Skenario penyebaran
Hal ini dapat berguna untuk membatasi cakupan administratif dengan menggunakan unit administratif dalam organisasi yang terdiri dari divisi independen dalam bentuk apa pun. Pertimbangkan contoh universitas besar yang terdiri dari banyak sekolah otonom (Sekolah Bisnis, Sekolah Teknik, dan sebagainya). Setiap sekolah memiliki tim admin TI yang mengontrol akses, mengelola pengguna, dan menetapkan kebijakan untuk sekolah mereka.
Administrator pusat dapat:
- Membuat unit administratif untuk Sekolah Bisnis.
- Memenuhi unit administrasi hanya dengan siswa dan staf yang ada di Sekolah Bisnis.
- Buat peran dengan izin administratif hanya atas pengguna Microsoft Entra di unit administratif School of Business.
- Tambahkan tim IT sekolah bisnis ke peran tersebut, bersama dengan cakupannya.
Kendala
Berikut adalah beberapa batasan untuk unit administrasi.
- Unit administrasi tidak dapat ditumpuk.
- Unit administratif saat ini tidak tersedia di Tata Kelola ID Microsoft Entra.
Grup
Menambahkan grup ke unit administratif membawa grup itu sendiri ke dalam lingkup pengelolaan unit administratif, tetapi bukan anggota grup. Dengan kata lain, administrator yang terlingkup ke unit administratif dapat mengelola properti grup, seperti nama grup atau keanggotaan, tetapi mereka tidak dapat mengelola properti pengguna atau perangkat dalam grup tersebut (kecuali pengguna dan perangkat tersebut ditambahkan secara terpisah sebagai anggota unit administratif).
Misalnya, Administrator Pengguna yang terlingkup ke unit administratif yang berisi grup bisa dan tidak bisa melakukan hal berikut:
| Izin | Bisa |
|---|---|
| Mengelola nama grup | ✅ |
| Mengelola keanggotaan grup | ✅ |
| Mengelola properti pengguna untuk masing-masing anggota grup | ❌ |
| Mengelola metode autentikasi pengguna dari masing-masing anggota grup | ❌ |
| Mengatur ulang kata sandi masing-masing anggota grup | ❌ |
Agar Administrator Pengguna dapat mengelola properti pengguna atau metode autentikasi pengguna dari masing-masing anggota grup, anggota grup (pengguna) harus ditambahkan langsung sebagai anggota unit administratif.
Persyaratan lisensi
Menggunakan unit administratif memerlukan lisensi Microsoft Entra ID P1 untuk setiap administrator unit administratif yang diberi peran direktori melalui cakupan unit administratif, dan lisensi Microsoft Entra ID Free untuk setiap anggota unit administratif. Membuat unit administratif tersedia dengan lisensi Microsoft Entra ID Free. Jika Anda menggunakan aturan untuk grup keanggotaan dinamis untuk unit administratif, setiap anggota unit administratif memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur paket Gratis dan Premium yang tersedia secara umum.
Mengelola unit administratif
Anda dapat mengelola unit administratif dengan menggunakan pusat admin Microsoft Entra, cmdlet dan skrip PowerShell, atau Microsoft Graph API. Untuk informasi selengkapnya, lihat:
- Membuat atau menghapus unit administratif
- Menambahkan pengguna, grup, atau perangkat ke unit administratif
- Mengelola pengguna atau perangkat untuk unit administratif dengan aturan untuk grup keanggotaan dinamis
- Menetapkan peran Microsoft Entra dengan lingkup unit administratif
- Bekerja dengan unit administratif: Mencakup cara bekerja dengan unit administratif dengan menggunakan PowerShell.
- Dukungan Microsoft Graph untuk unit administratif: Menyediakan dokumentasi terperinci tentang Microsoft Graph untuk unit administratif.
Rencanakan unit administratif Anda
Anda dapat menggunakan unit administratif untuk mengelompokkan sumber daya Microsoft Entra secara logis. Organisasi di mana departemen TI-nya tersebar secara global dapat membuat unit administratif yang menentukan batas geografis yang relevan. Dalam skenario lain, di mana organisasi global memiliki suborganisasi yang semi-otonom dalam operasi mereka, unit administratif dapat mewakili suborganisasi.
Kriteria di mana unit administratif dibuat dipandu oleh persyaratan unik organisasi. Unit administratif adalah cara umum untuk menentukan struktur pada layanan Microsoft 365. Sebaiknya siapkan unit administratif dengan mengingat penggunaannya pada layanan Microsoft 365. Anda bisa mendapatkan nilai maksimum dari unit administratif saat anda dapat mengaitkan sumber daya umum pada Microsoft 365 di bawah unit administratif.
Anda dapat mengharapkan pembuatan unit administratif di organisasi akan melalui tahapan berikut:
- Adopsi awal: Organisasi Anda akan mulai membuat unit administratif berdasarkan kriteria awal, dan jumlah unit administratif akan meningkat karena kriteria disempurnakan.
- Pemangkasan: Setelah kriteria ditentukan, unit administratif yang tidak lagi diperlukan akan dihapus.
- Stabilisasi: Struktur organisasi Anda ditentukan, dan jumlah unit administratif tidak akan berubah secara signifikan dalam jangka pendek.
Skenario yang saat ini didukung
Sebagai Administrator Peran Istimewa, Anda dapat menggunakan pusat admin Microsoft Entra untuk:
- Membuat unit administratif
- Menambahkan pengguna, grup, atau perangkat sebagai anggota unit administratif
- Mengelola pengguna atau perangkat untuk unit administratif dengan aturan untuk grup keanggotaan dinamis
- Tetapkan staf TI ke peran administrator yang ditetapkan dalam unit administratif.
Admin yang tercakup dalam unit administratif dapat menggunakan pusat admin Microsoft 365 untuk manajemen dasar pengguna di unit administratif mereka. Administrator grup dengan cakupan unit administratif dapat mengelola grup dengan menggunakan PowerShell, Microsoft Graph, dan pusat admin Microsoft 365.
Unit administratif hanya memiliki cakupan khusus untuk izin manajemen. Mereka tidak mencegah anggota atau administrator untuk menggunakan izin pengguna default untuk menelusuri pengguna, grup, atau sumber daya lain di luar unit administratif. Dalam pusat admin Microsoft 365, pengguna di luar unit administratif admin terlingkup difilter. Tetapi Anda dapat menelusuri pengguna lain di pusat admin Microsoft Entra, PowerShell, dan layanan Microsoft lainnya.
Catatan
Hanya fitur yang dijelaskan di bagian ini yang tersedia di pusat admin Microsoft 365. Tidak ada fitur tingkat organisasi yang tersedia untuk peran Microsoft Entra dengan cakupan unit administratif.
Bagian berikut ini menjelaskan dukungan saat ini untuk skenario unit administratif.
Manajemen unit administratif
| Hak Akses | Microsoft Graph/PowerShell | Pusat admin Microsoft Entra | Pusat admin Microsoft 365 |
|---|---|---|---|
| Membuat atau menghapus unit administratif | ✅ | ✅ | ✅ |
| Menambahkan atau menghapus anggota | ✅ | ✅ | ✅ |
| Menetapkan administrator dengan lingkup unit administratif | ✅ | ✅ | ✅ |
| Menambahkan atau menghapus pengguna atau perangkat secara dinamis berdasarkan aturan | ✅ | ✅ | ❌ |
| Menambahkan atau menghapus grup secara dinamis berdasarkan aturan | ❌ | ❌ | ❌ |
Pengelolaan pengguna
| Hak Akses | Microsoft Graph/PowerShell | Pusat admin Microsoft Entra | Pusat admin Microsoft 365 |
|---|---|---|---|
| Manajemen ruang lingkup unit administratif dari properti pengguna dan kata sandi | ✅ | ✅ | ✅ |
| Manajemen lisensi pengguna yang berfokus pada unit administratif | ✅ | ✅ | ✅ |
| Pemblokiran dan pembatalan pemblokiran masuk pengguna yang dibatasi oleh unit administratif | ✅ | ✅ | ✅ |
| Manajemen kredensial autentikasi multifaktor pengguna yang berbasis unit administratif | ✅ | ✅ | ❌ |
Manajemen grup
| Izin | Microsoft Graph/PowerShell | Pusat admin Microsoft Entra | Pusat admin Microsoft 365 |
|---|---|---|---|
| Pembuatan dan penghapusan grup dengan cakupan unit administratif | ✅ | ✅ | ✅ |
| Manajemen properti dan keanggotaan grup dalam lingkup unit administratif untuk grup Microsoft 365 | ✅ | ✅ | ✅ |
| Manajemen properti grup dan keanggotaan yang terlingkup dalam unit administratif untuk semua grup lain | ✅ | ✅ | ❌ |
| Manajemen lisensi grup yang berfokus pada unit administratif | ✅ | ✅ | ❌ |
Manajemen perangkat
| Izin | Microsoft Graph/PowerShell | Pusat admin Microsoft Entra | Pusat admin Microsoft 365 |
|---|---|---|---|
| Mengaktifkan, menonaktifkan, atau menghapus perangkat | ✅ | ✅ | ❌ |
| Membaca kunci pemulihan BitLocker | ✅ | ✅ | ❌ |
Mengelola perangkat di Intune tidak didukung saat ini.