🧩 Del 4: Tilgangsstyring med Administrative Units
- Bjørnar Aassveen
- 23 hours ago
- 2 min read
I mindre organisasjoner er det ofte greit at en IT-avdeling har full kontroll over alle brukere, grupper og ressurser. Men i større virksomheter – med mange avdelinger, lokasjoner eller datterselskaper – blir det fort upraktisk og risikabelt.
Administrative Units (AUs) i Microsoft Entra ID lar deg dele opp katalogen i logiske enheter, og delegere administrasjon til lokale administratorer – uten å gi dem tilgang til hele miljøet.
Active Directory OUs vs. Entra ID AUs:
Tenk deg at Active Directory er som en gammeldags kontorbygning med mange etasjer og rom, mens Entra ID er som en moderne coworking-plattform i skyen.
OUs i AD er som kontorrom med navneskilt på døra: "HR", "IT", "Salg". Du kan fysisk gå inn, sette opp regler, og låse døra med gruppepolicyer.
AUs i Entra ID er mer som digitale adgangsgrupper i en app: Du får tilgang til visse funksjoner og personer, men du trenger ikke vite hvor de "bor" – du bare vet at du har kontroll over dem.
Kort sagt:OUs er som å organisere ansatte etter hvor de sitter – AUs er som å organisere dem etter hva du har lov til å gjøre med dem.
🧱 Hva er en Administrative Unit?
En Administrative Unit er en slags "beholder" i Entra ID som kan inneholde:
Brukere
Grupper
Enheter
Du kan så tildele roller (f.eks. brukeradministrator, gruppeadministrator) begrenset til den aktuelle AU-en. Det betyr at en lokal IT-ansatt kan administrere brukere i sin avdeling – men ikke se eller endre brukere i andre deler av organisasjonen.
Eksempel: Delegert administrasjon i praksis
La oss si at du har en organisasjon med tre avdelinger:
Oslo
Bergen
Trondheim
Da kan du opprette en AU for hver avdeling, og tildele lokale administratorer som kun har rettigheter innenfor sin AU. De kan:
Tilbakestille passord
Endre brukerattributter
Legge til/fjerne brukere i grupper
Administrere Teams og SharePoint-tilgang (indirekte)
Men de kan ikke:
Se brukere i andre AU
Endre globale innstillinger
Tildele roller utenfor sitt område
🎛️ Hva kan du delegere?
Eksempler, ikke uttømmende liste
Rolle | Hva den kan gjøre (innenfor AU) |
Brukeradministrator | Administrere brukere (passord, attributter, medlemskap) |
Gruppeadministrator | Opprette og administrere grupper |
Helpdesk-administrator | Tilbakestille passord og låse opp kontoer |
Enhetsadministrator | Administrere enheter (f.eks. Intune-registrerte) |
💡 Du kan kombinere AUs med PIM (Privileged Identity Management) for å gi midlertidig tilgang.
Hvordan opprette og bruke AUs?
Opprett AU i Entra admin center eller via PowerShell

Legg til objekter (brukere, grupper, enheter)


Tildel roller til brukere med scope begrenset til AU
Fordeler med AUs
✅ Økt sikkerhet – færre med globale rettigheter
✅ Bedre oversikt – lokal kontroll uten sentral overbelastning
✅ Skalerbart
✅ Mindre risiko for feil – administratorer ser kun det de trenger
Begrensninger
AUs gjelder kun for Entra ID – ikke for hele Microsoft 365 (f.eks. Exchange eller SharePoint direkte)
Ikke alle roller støtter AU-scope
Krever Microsoft Entra ID P1 eller P2, avhengig av funksjon
🚀 Neste steg
I neste innlegg ser vi på gjestebrukere og ekstern deling – hvordan du kan gi tilgang til eksterne på en sikker og kontrollert måte, uten å åpne hele butikken.
Bjørnar&AI
Comments