Administrative Units Administrative Units
Delegation nach Region oder Abteilung, Restricted Management, dynamische Regeln, AU-Scoped Roles und Graph/PowerShell-Referenz. Delegation by region or department, restricted management, dynamic rules, AU-scoped roles, and Graph/PowerShell reference.
Delegation nach Region
Regional delegation
Administrative Units begrenzen Verwaltungsrechte auf definierte Teilmengen des Verzeichnisses. Administrative units limit administrative rights to defined subsets of the directory.
Restricted Management
Restricted management
Schützt besonders sensible Identitäten zusätzlich gegen nicht autorisierte Verzeichnisadministration. Protects especially sensitive identities against unauthorized directory administration.
Dynamische Mitgliedschaft
Dynamic membership
Regelbasiertes Scoping reduziert manuellen Aufwand in dezentralen Organisationen. Rule-based scoping reduces manual effort in decentralized organizations.
Graph- und Rollenfokus
Graph and role focus
Erstellung, Mitgliedschaft und Rollenzuweisung lassen sich vollständig automatisieren und auditieren. Creation, membership, and role assignment can be fully automated and audited.
Überblick, Typen und Mitgliedschaft Overview, types, and membership
| Thema Topic | Beschreibung Description | Hinweis Note |
|---|---|---|
| Standard AU Standard AU | Begrenzt Rollenrechte auf Mitglieder der AU. Limits role rights to AU members. | Geeignet für regionale oder fachliche Delegation. Suitable for regional or departmental delegation. |
| Restricted Management AU Restricted management AU | Zusätzlicher Schutz für besonders sensible Benutzer und Gruppen. Additional protection for especially sensitive users and groups. | Erfordert sorgfältige Rollen- und Prozessplanung. Requires careful role and process planning. |
| Statische Mitgliedschaft Static membership | Benutzer, Gruppen oder Geräte werden manuell hinzugefügt. Users, groups, or devices are added manually. | Einfach, aber pflegeintensiver. Simple but more maintenance intensive. |
| Dynamische Mitgliedschaft Dynamic membership | Mitglieder werden über Regeln bestimmt. Members are determined through rules. | Sehr nützlich für Regionen, Länder, Kostenstellen. Very useful for regions, countries, and cost centers. |
| Verschachtelte Gruppen Nested groups | Gruppen können Mitglied sein; effektive Delegation muss mit Gruppendesign abgestimmt werden. Groups can be members; effective delegation must be aligned with group design. | Transitive Effekte immer testen. Always test transitive effects. |
Rollen mit AU-Scoping und Restricted Management Roles that support AU scoping and restricted management
| Rolle Role | Bedeutung Meaning | Praxis Practice |
|---|---|---|
| Authentication Administrator Authentication Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Cloud Device Administrator Cloud Device Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Groups Administrator Groups Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Helpdesk Administrator Helpdesk Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| License Administrator License Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Password Administrator Password Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Printer Administrator Printer Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Privileged Authentication Administrator Privileged Authentication Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| SharePoint Administrator SharePoint Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Teams Administrator Teams Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Teams Devices Administrator Teams Devices Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| User Administrator User Administrator | Unterstützt AU-Scoping für die im AU enthaltenen Benutzer, Gruppen oder Geräte. Supports AU scoping for users, groups, or devices contained in the AU. | Vor Zuweisung die exakte Aufgabentrennung dokumentieren. Document the exact separation of duties before assignment. |
| Restricted-Management-Effekt Restricted management effect | Was blockiert wird What is blocked | Worauf achten What to watch |
|---|---|---|
| Geschützte Benutzerverwaltung Protected user administration | Breite Adminrechte wirken nicht mehr automatisch auf Mitglieder der Restricted AU. Broad admin rights no longer automatically apply to members of the restricted AU. | Berechtigungen explizit und minimal zuweisen. Assign permissions explicitly and minimally. |
| Höhere Hürde für Helpdesk Higher bar for helpdesk | Standard-Helpdesk-Prozesse greifen nicht zwangsläufig. Standard helpdesk processes do not necessarily apply. | Sonderprozesse für VIPs und Break-Glass definieren. Define special processes for VIPs and break-glass. |
| Audit-Relevanz Audit relevance | Änderungen an Restricted AUs sind besonders prüfungsrelevant. Changes to restricted AUs are especially audit relevant. | Benachrichtigungen und regelmäßige Reviews einrichten. Set up notifications and regular reviews. |
Dynamische Regeln und Delegationsmuster Dynamic rules and delegation patterns
| Regelthema Rule topic | Beispiel Example | Kommentar Comment |
|---|---|---|
| Land Country | user.country -eq "DE" user.country -eq "DE" | Klassisches regionales Scoping. Classic regional scoping. |
| Abteilung Department | user.department -eq "Finance" user.department -eq "Finance" | Hilfreich für Fachbereichsdelegation. Helpful for department delegation. |
| Nutzung von -in Use of -in | user.companyName -in ["Contoso","Fabrikam"] user.companyName -in ["Contoso","Fabrikam"] | Gut für mehrere Tochtergesellschaften. Good for multiple subsidiaries. |
| Geräteeigenschaft Device property | device.deviceOwnership -eq "Company" device.deviceOwnership -eq "Company" | Für Geräte-AUs und Cloud Device Admins. For device AUs and cloud device admins. |
| Nicht-Operatoren Negation operators | user.department -ne "Executive" user.department -ne "Executive" | Nur mit Vorsicht für Exklusionen. Use carefully for exclusions. |
| Kombination Combination | (user.country -eq "DE") and (user.department -eq "Retail") (user.country -eq "DE") and (user.department -eq "Retail") | Klar dokumentieren, um Drift zu vermeiden. Document clearly to avoid drift. |
- Regionale IT-Admins: AU pro Land oder Region plus User Administrator und Helpdesk Administrator. Regional IT admins: AU per country or region plus User Administrator and Helpdesk Administrator.
- Fachbereichs-Helpdesk: AU nach Abteilung plus Password Administrator oder Authentication Administrator. Department helpdesk: AU by department plus Password Administrator or Authentication Administrator.
- Gerätebetrieb: Geräte-AU plus Cloud Device Administrator für dedizierte Gerätezonen. Device operations: device AU plus Cloud Device Administrator for dedicated device zones.
- VIP-/Executive-Schutz: Restricted Management AU für Vorstand, Security Leads und Break-Glass-Nutzer. VIP/executive protection: restricted management AU for executives, security leads, and break-glass users.
Graph API, PowerShell, Audit und Limits Graph API, PowerShell, audit, and limits
| API / Cmdlet API / cmdlet | Zweck Purpose | Hinweis Note |
|---|---|---|
| POST /directory/administrativeUnits POST /directory/administrativeUnits | Erstellt eine AU. Creates an AU. | Für Restricted Management zusätzliche Eigenschaften setzen. Set additional properties for restricted management. |
| POST /directory/administrativeUnits/{id}/members/$ref POST /directory/administrativeUnits/{id}/members/$ref | Fügt Mitglieder hinzu. Adds members. | Unterstützte Objekttypen beachten. Observe supported object types. |
| Get-MgDirectoryAdministrativeUnit Get-MgDirectoryAdministrativeUnit | Liest AUs und deren Eigenschaften. Reads AUs and their properties. | Gut für Inventur und Export. Good for inventory and export. |
| New-MgRoleManagementDirectoryRoleAssignment New-MgRoleManagementDirectoryRoleAssignment | Weist Rolle auf AU-Scope zu. Assigns a role at AU scope. | scopeId bzw. directoryScopeId korrekt angeben. Provide the correct scopeId or directoryScopeId. |
JSON
JSON
{
"displayName": "AU-DE-Retail",
"description": "Administrative unit for German retail users",
"membershipType": "Dynamic",
"membershipRule": "(user.country -eq "DE") and (user.department -eq "Retail")"
}
PowerShell
PowerShell
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All","RoleManagement.ReadWrite.Directory"
Get-MgDirectoryAdministrativeUnit -All |
Select-Object Id, DisplayName, MembershipType| Bekannte Grenze / Thema Known limit / topic | Bedeutung Meaning | Empfehlung Recommendation |
|---|---|---|
| Nur bestimmte Rollen Only selected roles | Nicht jede Entra-Rolle unterstützt AU-Scoping. Not every Entra role supports AU scoping. | Immer aktuelle Rollenmatrix prüfen. Always validate the current role matrix. |
| Regellatenz Rule latency | Dynamische Mitgliedschaft ist nicht instantan. Dynamic membership is not instantaneous. | Bei JIT-Prozessen keine Null-Minuten-Erwartung annehmen. Do not assume zero-minute latency for JIT processes. |
| Gruppennesting Group nesting | Komplexe Verschachtelung erschwert Delegationsanalyse. Complex nesting makes delegation analysis harder. | Flache Gruppendesigns bevorzugen. Prefer flatter group designs. |
| Audit Audit | Rollen- und Mitgliedschaftsänderungen sind revisionsrelevant. Role and membership changes are audit relevant. | Review- und Alert-Prozesse etablieren. Establish review and alert processes. |
Betriebscheckliste Operational checklist
| Checkpunkt Checkpoint | Erwarteter Zustand Expected state | Bewertung Assessment |
|---|---|---|
| Scope-Modell dokumentiert Scope model documented | Regionen, Abteilungen und Rollen klar beschrieben. Regions, departments, and roles clearly documented. | Ja/Nein Yes/No |
| Restricted AUs identifiziert Restricted AUs identified | VIPs und sensible Gruppen separat geschützt. VIPs and sensitive groups protected separately. | Ja/Nein Yes/No |
| Dynamische Regeln geprüft Dynamic rules validated | Regeln liefern erwartete Mitglieder. Rules yield expected members. | Ja/Nein Yes/No |
| Role assignments minimal Role assignments minimal | Nur erforderliche Rollen pro AU vergeben. Only required roles assigned per AU. | Ja/Nein Yes/No |
| Owner/Helpdesk Prozesse Owner/helpdesk processes | Tickets und Eskalationen kennen AU-Grenzen. Tickets and escalations understand AU boundaries. | Ja/Nein Yes/No |
| Audit geprüft Audit reviewed | Mitgliedschafts- und Rollenevents landen im Monitoring. Membership and role events reach monitoring. | Ja/Nein Yes/No |
| Nesting reduziert Nesting reduced | Komplexität der Gruppenstruktur begrenzt. Group structure complexity limited. | Ja/Nein Yes/No |
| Break-glass ausgenommen Break-glass excluded | Notfallkonten bewusst in/aus AUs geplant. Emergency accounts are deliberately handled in/out of AUs. | Ja/Nein Yes/No |
Glossar & Schnellreferenz Glossary & quick reference
| Begriff Term | Definition Definition |
|---|---|
| AU AU | Administrative Unit. Administrative Unit. |
| Directory Scope Directory Scope | Begrenzter Verwaltungsbereich im Verzeichnis. Limited administration scope in the directory. |
| Restricted Management Restricted Management | Zusätzlicher Schutz für sensible Objekte. Additional protection for sensitive objects. |
| Dynamic Membership Dynamic Membership | Rule-based member calculation. Regelbasierte Mitgliedsberechnung. |
| Scoped Role Scoped Role | Rolle mit AU-spezifischem Wirkbereich. Role with AU-specific effect scope. |
| DirectoryScopeId DirectoryScopeId | Graph-Feld für Scope-Zuweisung. Graph field for scope assignment. |
| Group Nesting Group Nesting | Verschachtelte Gruppeneffekte in AUs. Nested group effects inside AUs. |
| Role Assignment Role Assignment | Zuweisung einer Rolle auf AU-Scope. Assignment of a role on AU scope. |