Azure Active Directory系統管理單位

Azure Active Directory(Azure AD)為Azure Subscription、Microsoft 365等雲端服務及雲端應用程式提供身分驗證與存取管理，如果我們希望委派分公司的IT管理人員管理分公司在Azure AD中的使用者、群組或應用程式，除了使用多個Azure AD之外，我們也可以僅使用一個Azure AD並建立多個系統管理單位進行委派管理，這樣更能夠降低管理負擔。

先決條件

使用Azure AD系統管理單位時，每一個Azure AD系統管理單位的管理者都需要有 Azure AD Premium P1(或P2)的授權，而Azure AD系統管理單位的成員則僅需要有 Azure AD Free授權。但是，如果您在Azure AD系統管理單位使用動態成員規則，則每個成員都需要Azure AD Premium P1(或P2)授權。

目前的限制

• 在Azure AD系統管理單位中，無法再建立子層的系統管理單位(不支援巢狀)。
• Azure AD系統管理單位的使用者系統管理員無法新建或刪除使用者。
• Azure AD Identity Governance無法使用Azure AD系統管理單位。
• Azure AD系統管理單位的角色指派只支援：印表機管理員、使用者系統管理員、服務台管理員、密碼管理員、授權管理員、雲端裝置管理員、雲端應用程式管理員、群組管理員、應用程式系統管理員、驗證管理員、SharePoint管理員、Teams系統管理員以及Teams裝置管理員這些管理角色。

建立Azure AD系統管理單位

需全域管理員(或特殊權限角色管理員)角色的帳號。

1. 連到Azure Portal(https://portal.azure.com)登入。
2. 在 portal menu(左上角)選取〔Azure Active Directory〕。
3. 選取〔系統管理單位〕後，按〔+ 加入〕。
4. 在〔名稱〕，輸入您系統管理單位的名稱(例如：AU1)，然後按〔下一個：指派角色〕。


圖一



5. 在〔指派角色〕，選取您要在此系統管理單位指派的管理角色(例如：使用者系統管理員)，然後在右方新增指派選取將在此系統管理單位被指派此管理角色的使用者帳號(例如：user1)後，按〔加入〕→〔下一個：檢閱+建立〕。


圖二



6. 按〔建立〕。

將使用者新增至系統管理單位

1. 在〔系統管理單位〕中選取您所建立的系統管理單位(例如：AU1)。


圖三



2. 在〔使用者〕，按〔+ 加入成員〕，然後在右方的〔選取〕頁面選取要被管理的使用者帳號(例如：user2及user3)後，按〔選取〕。


圖四

以上述的步驟為例，user1已被賦予在AU1的範圍中具有使用者系統管理員角色，可以對user2及user3進行管理，但是對其他的使用者帳號則沒有管理權。