Wprowadzenie
Korzystając z klasycznego Active Directory utrzymywanego w środowisku lokalnym możemy zarządzać naszymi użytkownikami czy urządzeniami za pomocą jednostek organizacyjnych. Jednakże w przypadku Azure Active Directory, nie mamy do dyspozycji tej funkcjonalności. Tutaj z pomocą przychodzą jednostki administracyjne, które swoją budową oraz funkcjonalnością przypominają klasyczne organizacyjne jednostki. Należy tutaj pamiętać, że nie wszystkie usprawnienia, które są dostępne w Active Directory wykorzystamy w instancji Azure AD. Jeżeli jesteś zainteresowany, jakie są różnice między lokalnym Active Directory, Azure AD oraz Azure AD Domain Services — które nie są tematem tego wpisu, to odsyłam cię do dokumentacji Microsoft’u, gdzie znajdziesz takie porównanie — Compare Active Directory-based services in Azure | Microsoft Docs
Jednostki Administracyjne
Jednostka administracyjna jest zasobem usługi Azure AD, która może zawierać użytkowników, grupy czy urządzenia. Po wdrożeniu jednostek administracyjnych możemy zezwolić pewnej grupie administratorów na zarządzanie obiektami wewnątrz jednostki. Takie podejście pozwala na zarządzanie środowiskami skali enterprise, w których zachowany jest wysoki poziom autonomii między oddziałami. Załóżmy sytuację, że mamy duży uniwersytet, który składa się z wydziału językowego, wydziału ekonomii oraz elektroniki. W przypadku wykorzystania Azure AD, bez implementacji jednostek administracyjnych, użytkownicy znajdują się w jednym kontenerze zawierającym wszystkie obiekty z danej instancji katalogu. Dzięki jednostkom administracyjnym nie dość, że możemy podzielić użytkowników na wydziały, to w dodatku możemy delegować uprawnienia administracyjne do danej jednostki. Takie podejście pozwala na zachowanie autonomii, oraz uproszczenie działań administracyjnych. Administrator wydziału ekonomicznego, zarządza jedynie obiektami należącymi do tego wydziału, a do reszty tożsamości nie ma dostępu. W przypadku braku jednostek musielibyśmy zapewnić mu dostęp do wszystkich obiektów w Azure AD lub zatrudnić globalnych administratorów, którzy będą zarządzać wszystkimi użytkownikami, bez względu na to, do jakiego należą wydziału.
Tworzenie jednostki administracyjnej
Jednostki administracyjne tworzymy z poziomu portalu Azure AD, wybierając zakładkę administrative units
Wyświetli nam się lista obecnie stworzonych jednostek administracyjnych oraz ich rodzaju, nas interesuje na ten moment przycisk „Add”
Na kolejnym ekranie, podajemy nazwę naszej jednostki, jej opis oraz jeżeli w tym momencie chcemy, to możemy przypisać role administracyjne do użytkowników
Klikamy „Create”, jednostka powinna powstać w ciągu paru sekund.
Dynamiczne Jednostki Administracyjne
Wyobraź sobie kilkanaście departamentów oraz kilkaset użytkowników, którymi zarządzasz za pomocą Azure AD. Przypisanie ich wszystkich do poprawnych jednostek administracyjnych, brzmi jak koszmar. Oczywiście możesz się wspierać za pomocą skryptów czy innych narzędzi, ale w przypadku jednostek administracyjnych z pomocą przychodzi Microsoft. W Azure AD niedawno otrzymaliśmy możliwość dynamicznego przypisania użytkowników do jednostki administracyjnej. W taki sposób możemy za pomocą danych, które już są zawarte w tożsamości użytkownika, automatycznie przypisać go do poprawnej jednostki. Przykładowo, jeżeli użytkownik ma zawartą informację w swoim profilu na temat biura, w którym pracuje lub departamentu, to możemy stworzyć reguły, które automatycznie przypiszą go do jednostki administracyjnej danego wydziału. Taka funkcjonalność ułatwia początkowe wdrożenie jednostek administracyjnych oraz ogranicza do minimum pracę potrzebną podczas tworzenia nowych użytkowników.
Tworzenie zasad dynamicznego przypisania do jednostki administracyjnej
Aby stworzyć dynamiczną jednostkę, wchodzimy w istniejący obecnie zasób oraz kierujemy się do zakładki „properties”
W zakładce „properties” pojawi nam się konfiguracja jednostki administracyjnej, czyli informacje takie jak nazwa, opis czy właśnie sposób przypisania. Rozwijamy listę zawierająca opcje przypisania oraz wybieramy „dynamic user”
Po wybraniu sposobu dynamicznego przypisania, poniżej wypełnionego pola, pojawi się kolejny obiekt konfiguracyjny. W tym miejscu możemy zadeklarować regułę, za pomocą której użytkownicy zostaną przypisani do jednostki.
Tworzymy zasadę za pomocą kodu lub przyjaznego w obsłudze interfejsu użytkownika.
Po takiej konfiguracji, użytkownicy, którzy w swoim profilu mają przypisany Wydział Elektryczny jako department, zostaną automatycznie przypisani do jednostki administracyjnej wydziału elektrycznego.
Podsumowanie
Jednostki administracyjne zdecydowanie ułatwiają administrację usługami Azure AD. Oczywiście, jeżeli korzystamy wciąż z rozwiązania hybrydowego i synchronizujemy nasz lokalny katalog z tym chmurowym, to ich zastosowanie będzie ograniczone. Jednakże, dla środowisk „Pure Cloud” jest to moim zdaniem must have w sytuacji większej skali. Dodatkowa funkcjonalność w postaci dynamicznego przypisywania użytkowników do jednostek bazując na ich danych, powoduje, że administracja samymi jednostkami ogranicza się do minimum. Obecnie ta funkcjonalność jest w statusie zapoznawczym, jednakże jestem pewny, że ułatwi wielu firmom administrację obiektami w Azure AD.
Jeżeli interesuje cię temat Azure AD, to więcej informacji na ten temat znajdziesz w moim wcześniejszym wpisie z serii kursu AZ-104 – [Azure] AZ-104 Kurs: Zarządzanie Tożsamością•Maciej Poborca.