Presentazione delle unita' amministrative in Microsoft 365

Ho voluto scrivere questo articolo perché sempre più spesso mi imbatto in persone che non sanno cosa siano le Unità Amministrative (In Inglese Administrative Units) in Microsoft 365.

Eppure, stranamente Microsoft non ha inserito una grossa barriera d’ingresso in questa tecnologia, dato che, per attivarla, serve avere almeno una licenza Entra ID P1 per amministratore. Pertanto, molte realtà hanno questa feature a disposizione, ma non si interessano a studiarla ed implementarla.

Voglio quindi rispondere, con questo articolo, alla domanda: “Che cosa sono le Unità Amministrative?”

Queste, in parole estremamente povere, risultano essere una segmentazione dei permessi amministrativi in un tenant.

Nel corso del tempo, e dello sviluppo del servizio di Microsoft 365, è sorta la necessità, per aziende più grandi, di avere degli amministratori per country o addirittura per sedi. Microsoft ha quindi inserito questa tecnologia in modo da permettere di creare delle sorte di contenitori all’interno del tenant, contenenti utenti e gruppi, e di permettere solo ad alcuni amministratori di poter modificare questi oggetti, senza poter mettere mano agli altri presenti nel tenant, ma magari gestiti da altri amministratori.

Pertanto, per fare un caso pratico, se nella mia azienda ho 5 sedi che si trovano in 5 Paesi differenti, con 5 IT differenti, io posso procedere a creare 5 Unità Amministrative, quindi una per singolo Paese, ed assegnare i rispettivi account amministrativi dell’IT che deve seguire quella specifica sede, in modo che possa lavorare solo ed esclusivamente sugli oggetti contenuti nella sua Administrative Unit.

Ovviamente la visibilità del contenuto del tenant, sulla base dei propri ruoli, permarrà: non esiste, al momento, la possibilità di nascondere ad un amministratore gli oggetti utenti o gruppi; però, con questa segmentazione, possiamo limitare la possibilità di modifica solo ad alcuni oggetti ben definiti.

Ovviamente questa tecnologia serve perché i ruoli di Entra ID, una volta assegnati, ci permettono di lavorare nella sezione di portale con i permessi indicati senza limitazioni. Quindi, se dobbiamo definire un perimetro amministrativo all’interno del nostro tenant per l’azione di alcuni amministratori, possiamo farlo con le Unità Amministrative.

Questi contenitori possono essere utilizzati non solo per contenere utenti e gruppi; infatti, abbiamo la possibilità di andare ad inserire altri oggetti, quali le policy di Data Loss Prevention, le policy di pubblicazione delle etichette, etc.

Vorrei chiudere l’articolo con una riflessione che mi è capitato di affrontare. Ovviamente, le nostre utenze e gruppi possono essere sincronizzati dal nostro mondo on-prem mediante l’applicativo Entra Connect o dal Cloud Connect. All’interno del mondo on-prem abbiamo già dei contenitori per raggruppare i nostri oggetti di Active Directory, e sono le Unità Organizzative (in inglese Organizational Units).

Nonostante la logica delle Unità Amministrative sia estremamente simile a quella delle Unità Organizzative, non vi è la possibilità di sincronizzare sul mondo cloud queste ultime in modo che ricadano nelle Unità Amministrative.

È presente solo la possibilità di crearle a mano e di popolarle a mano.


Per approfondire quanto spiegato in questo articolo, puoi guardare il mio video su YouTube, dove con una presentazione costruita ad hoc illustro e racconto tutti i concetti sopra descritti

Guarda il video qui