Gestione delle unità amministrative in Azure Active Directory (preview)

Un’unità amministrativa è una risorsa di Azure AD che può fungere da container per altre risorse di Azure AD. Questa versione in preview, permette all’unità amministrativa di contenere solo utenti e gruppi.

Le unità amministrative consentono di concedere autorizzazioni di amministratore limitate a un dipartimento, una regione o un segmento dell’azienda definito. È possibile utilizzarle per delegare le autorizzazioni agli amministratori regionali o per impostare policy a livello granulare. Ad esempio, un amministratore dell’account utente può aggiornare le informazioni del profilo, reimpostare le password ed assegnare licenze per gli utenti solo nella sua unità amministrativa.
Può, ad esempio, delegare agli specialisti dell’assistenza regionale il ruolo di Helpdesk Administrator destinato alla sola gestione degli utenti nella regione che supportano.

Scenario di distribuzione
La limitazione dell’ambito amministrativo mediante le unità amministrative può essere utile nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo.
Per esempio: una grande università composta da molte scuole autonome (School of Business, School of Engineering e così via) in cui ognuna ha un team di amministratori IT che controlla l’accesso, gestisce gli utenti e definisce le politiche per la loro scuola.
Un central administrator potrebbe:

  • Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Azure AD nell’unità amministrativa della business school;
  • Creare un’unità amministrativa per la business school;
  • Popolare l’unità di amministrazione solo con gli studenti e il personale della business school;
  • Aggiungere il team IT della business school al ruolo.

Requisiti di licenza

L’uso delle unità amministrative richiede una licenza di Azure Active Directory Premium per ciascun amministratore e la licenza gratuita di Azure Active Directory per i membri.
Per altre informazioni, vi rimandiamo all’articolo: Iniziare ad utilizzare Azure AD Premium

Gestire le unità amministrative
Con questa preview, è possibile gestire le unità amministrative utilizzando il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.
È possibile fare riferimento alla seguente documentazione per i dettagli:

Creare, rimuovere, popolare e aggiungere ruoli alle unità amministrative: completare le procedure pratiche;
Lavorare con le unità amministrative: come lavorare con le unità amministrative usando PowerShell;
Supporto grafico all’unità amministrativa: documentazione dettagliata su Microsoft Graph per unità amministrative.

Pianificare le proprie unità amministrative
Le unità amministrative possono essere usate per raggruppare logicamente le risorse di Azure AD. Ad esempio, per un’organizzazione il cui dipartimento IT è diffuso a livello globale, potrebbe avere senso creare unità amministrative che definiscano tali confini geografici. In un altro esempio, in cui una multinazionale ha diverse “sub-organizzazioni”, che sono semi-autonome nelle operazioni, ognuna di esse può essere rappresentata da un’unità amministrativa.

I criteri su cui vengono create le unità amministrative saranno guidati dai requisiti unici di un’organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi M365. È possibile ottenere il massimo valore dalle unità amministrative quando è possibile associare risorse comuni su M365 in un’unità amministrativa.

Fasi per la creazione di unità amministrative nell’azienda:

  1. Adozione iniziale: l’organizzazione inizierà a creare unità amministrative in base a criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati;
  2. Potatura: una volta definiti i criteri, le unità amministrative non più necessarie verranno eliminate;
  3. Stabilizzazione: la struttura organizzativa è ben definita e il numero di unità amministrative non cambierà in modo significativo nel breve periodo.

Scenari attualmente supportati
Gli amministratori globali o gli amministratori con ruolo privilegiato possono usare il portale di Azure AD per creare unità amministrative, aggiungere utenti come membri di unità amministrative ed assegnare il personale IT a ruoli di amministratore. Questi amministratori potranno quindi utilizzare il portale di Office 365 per la gestione di base degli utenti nelle loro unità amministrative.

Inoltre, i gruppi potranno essere aggiunti come membri dell’unità amministrativa e l’amministratore del gruppo potrà gestirli usando PowerShell, Microsoft Graph e il portale di Azure AD.

Le seguenti tabelle descrivono il supporto corrente per gli scenari delle unità amministrative.

Gestione dell’unità amministrativa

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
Creazione/eliminazione di unità amministrativeSupportatoSupportatoNon supportato
Aggiunta/rimozione membri dell’unità amministrativa singolarmenteSupportatoSupportatoNon supportato
Aggiunta/rimozione in blocco dei membri dell’unità amministrativa utilizzando il file .csvNon supportatoSupportatoNessun piano da supportare
Assegnazione di amministratori con ambito unità amministrativaSupportatoSupportatoNon supportato
Aggiunta e rimozione di membri AU in modo dinamico in base agli attributiSupportatoNon supportatoNon supportato

Gestione Utenti

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione unità amministrative di proprietà utente, password, licenzeSupportatoSupportatoSupportato
blocco e sblocco nell’ambito delle unità amministrative degli accessi degli utentiSupportatoSupportatoSupportato
gestione nell’ambito delle unità amministrative delle credenziali MFA dell’utenteSupportatoSupportatoNon supportato

Gestione Gruppo

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione nell’ambito delle unità amministrative delle proprietà e dei membri del gruppoSupportatoSupportatoNon supportato
gestione nell’ambito delle unità amministrative delle licenze di gruppoSupportatoSupportatoNon supportato

Nota: Gli amministratori in ambito di unità amministrativa non possono gestire le regole di appartenenza al gruppo dinamico.Le unità amministrative applicano l’ambito solo alle autorizzazioni di gestione. Non impediscono ai membri o agli amministratori di utilizzare le Autorizzazioni utente predefinite per scoprire altri utenti, gruppi o risorse al di fuori dell’unità amministrativa. Nel portale di Office 365, gli utenti esterni alle unità amministrative vengono filtrati, ma è possibile scoprire altri utenti nel portale di Azure AD, PowerShell e altri servizi Microsoft.

<hr>

Le informazioni presenti in questo post, sono prese dall’articolo: Administrative units management in Azure Active Directory (preview).