Správa Administrative units v portálu Azure AD

Pro mnoho organizací a firem může být při využívání cloudových služeb trochu omezující to, že zavedený systém organizačních jednotek v Active Directory (včetně delegování oprávnění na objekty, které jsou do nich vnořené) je nutné převést na jiný administrativní model pro cloudové identity.

Již několik let je možné využívat tzv. „Administrative units“ (které umožňují, alespoň částečně, zastoupit organizační jednotky v Azure AD). Jejich správa ovšem nebyla příliš přívětivá a pro veškeré operace bylo nutné používat PowerShell moduly v Preview verzích.

Na příkladu níže se podíváme na existující AU a vytvoříme jednu novou:

Následně přidáme uživatele do nové AU a vypíšeme si seznam objektů v naší nové AU:

A teď to hlavní. Rozšíření této vychytávky může konečně začít, protože nově jsou v Azure AD portálu k dispozici nástroje pro základní operace s Administrative Units. Pro pořádek připomínám, že delegovaní správci budou potřebovat licenci Azure AD Premium, pro členy AU postačí licence Azure Active Directory Free.

Seznam AU je k dispozici prozatím pouze v Azure AD portálu:

Přidání nové AU je velmi jednoduché…

… stejně jako přidání uživatelů do AU.

Delegování na úrovni AD je také otázka chvilky (neuvažujeme-li vytváření vlastních administrativních rolí). V seznamu vybereme například roli „Helpdesk adminstrator“ nebo „Groups adminsitrator“ …

… a přidáme správce („Add assignments“).

Všimněte si, že na jiné AU pak seznam členů stejné role obsahuje odlišné členy.

Delegovaný správce pak v Microsoft 365 admin centru uvidí rozbalovací nabídku se seznamem AU, ke kterým má oprávnění.

A na závěr pár odkazů pro ty, které Administrative Units zaujaly.

• Working with Administrative Units

• Administrative units management in Azure Active Directory (preview)