Długi czas temu bawiłem się z jednym nardzędziem w Azure nazwanym – Administrative Units. Spodobało mi się, dawało możliwość przyznawania uprawnień lokalnemu IT w celu zarządzania użytkownikami. Czyli to, co najcześciej jest problemem.
Ludzie nie muszą dzwonić co centralnego IT, robić ticketów w globalnym systemie. Mogli by po prostu udać się do lokalnego IT i.. Zrobić to od ręki. A takie lokalne IT miało by możliwość pracy tylko na swoich użytkownikach.
No, ale to narzędzie miało jedną, gigantyczną wadę. Nie było dynamicznie zarządzane. Mogłem sobie zrobić nazwijmy – lokację, dodać do nich pracowników, grupy – ale jak pojawił się nowy pracownik w danej lokacji, trzeba było pamiętać, aby dodać go manualnie do lokacji w Administrative Units.
NO NIEZBYT.
Dlatego odłożyłem zabawę z Administrative Units. Do wczoraj.
Pojawiła się opcja używania dynamicznego przypisywania użytkowników LUB urządzeń do danego AU. Dzięki temu, dzięki używaniu Administrative Units mamy w końcu możliwość nadania uprawień lokalnemu IT do:
- Zarządzania użytkownikami lub
- Zarządzania grupami lub
- Zarządzania urządzeniami
Muszę przyznać, że wygląda to mega interesująco obecnie. Więc przejdźmy do realnej pracy z tym narzędziem.
W moim testowym tenancie mam kilkunastu pracowników z dwóch krajów. Polska oraz Stany Zjednoczone. Zrobię sobie dwa AU – dla tych pracowników a następnie dam jednemu z pracowników z danej lokalizacji możliwość pracy z kontami użytkowników.
Przechodzimy do portalu AAD > Administrative Units na jednym z kont z uprawienienami: Global Administrator lub Privileged Role Administrator. Klikamy na Add i uzupełniamy nazwę oraz opis.
W drugim kroku możemy albo nadać role dla użytkowników z uprawnieniami albo stworzyć takie AU. Ja najpierw stworzę, dodam użytowników a dopiero potem zajmę się rolami.
Więc przechodzę do następnego kroku gdzie mam podsumowanie i klikam na przycisk Create.
Otwieram nowo stworzone AU, przechodzę do zakładki Propeties i polu Membership type wybieram Dynamic User zamiast Assigned. Klikamy na Add dynamic query w celu otwarcia edytora i z dostępnych pól wybieramy – Property: Country. Jako operator wybieramy Equals i dodajemy value: Poland.
Dwukrotnie zapisujemy poprzez użycie przycisku Save.
Po kilku minutach w zakładce Users pojawią się użytkownicy z danego kraju.
Teraz zajmijmy się uprawnieniami.
Dla przykładu, chciałbym, aby Andrzej Zawada miał możliwość edytowania użytkowników tylko z tego AU. Więc przejdźmy do zakładki Roles and administrators w celu zobaczenia jakie obecnie mamy dostępne role:
Jest ich sporo – ja wybiorę sobie wbudowaną rolę User Administrator – na początek wystarczy do zarządzania użytkownikami i grupami. Wybieramy ją i naszym oczom ukaże się coś takiego:
Wiadomo, lista jest teraz pusta. Dlatego klikamy add assignmets i wybieramy Andrzeja Zawadę z listy. Po dodaniu użytkownika pojawi się on na liście oraz będzie przypisany tylko do danego AU. I nie będzie mógł edytować użytkowników / grup z Stanów Zjednoczonych.
Ten sam scenariusz możemy potwórzyć do stworzenia Administrative Units dla urządzeń lub grup.
Dla urządzeń możemy zrobić poprzez np. device.enrollmentProfileName dla AutoPilota. Czyli dana lokalizacja ma swój profil, który się nazywa inaczej niż dla głównej lokalizacji.
A grupy? No tutaj musimy zrobić static group. Dodać manualnie grupy i użytkowników z uprawnieniami. Ale dzięki temu IT ma dostęp do swoich grup… i żadnych więcej.
Oczywiście, możemy zrobić z nich właścicieli grup i także to rozwiąże problem. Ale możemy także użyć AU do tego celu.
Muszę przyznać, że teraz jestem zadowolony z tego rozwiązania i myślę, że… W końcu zacznie być przydatne! 🙂
