top of page

🧩 Del 4: Tilgangsstyring med Administrative Units

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • 23 hours ago
  • 2 min read

I mindre organisasjoner er det ofte greit at en IT-avdeling har full kontroll over alle brukere, grupper og ressurser. Men i større virksomheter – med mange avdelinger, lokasjoner eller datterselskaper – blir det fort upraktisk og risikabelt.

Administrative Units (AUs) i Microsoft Entra ID lar deg dele opp katalogen i logiske enheter, og delegere administrasjon til lokale administratorer – uten å gi dem tilgang til hele miljøet.


Active Directory OUs vs. Entra ID AUs:

Tenk deg at Active Directory er som en gammeldags kontorbygning med mange etasjer og rom, mens Entra ID er som en moderne coworking-plattform i skyen.
  • OUs i AD er som kontorrom med navneskilt på døra: "HR", "IT", "Salg". Du kan fysisk gå inn, sette opp regler, og låse døra med gruppepolicyer.

  • AUs i Entra ID er mer som digitale adgangsgrupper i en app: Du får tilgang til visse funksjoner og personer, men du trenger ikke vite hvor de "bor" – du bare vet at du har kontroll over dem.

Kort sagt:OUs er som å organisere ansatte etter hvor de sitter – AUs er som å organisere dem etter hva du har lov til å gjøre med dem.

🧱 Hva er en Administrative Unit?

En Administrative Unit er en slags "beholder" i Entra ID som kan inneholde:

  • Brukere

  • Grupper

  • Enheter


Du kan så tildele roller (f.eks. brukeradministrator, gruppeadministrator) begrenset til den aktuelle AU-en. Det betyr at en lokal IT-ansatt kan administrere brukere i sin avdeling – men ikke se eller endre brukere i andre deler av organisasjonen.


Eksempel: Delegert administrasjon i praksis

La oss si at du har en organisasjon med tre avdelinger:

  • Oslo

  • Bergen

  • Trondheim


Da kan du opprette en AU for hver avdeling, og tildele lokale administratorer som kun har rettigheter innenfor sin AU. De kan:

  • Tilbakestille passord

  • Endre brukerattributter

  • Legge til/fjerne brukere i grupper

  • Administrere Teams og SharePoint-tilgang (indirekte)


Men de kan ikke:

  • Se brukere i andre AU

  • Endre globale innstillinger

  • Tildele roller utenfor sitt område


🎛️ Hva kan du delegere?

Eksempler, ikke uttømmende liste

Rolle

Hva den kan gjøre (innenfor AU)

Brukeradministrator

Administrere brukere (passord, attributter, medlemskap)

Gruppeadministrator

Opprette og administrere grupper

Helpdesk-administrator

Tilbakestille passord og låse opp kontoer

Enhetsadministrator

Administrere enheter (f.eks. Intune-registrerte)

💡 Du kan kombinere AUs med PIM (Privileged Identity Management) for å gi midlertidig tilgang.

Hvordan opprette og bruke AUs?

  • Opprett AU i Entra admin center eller via PowerShell

  • Legg til objekter (brukere, grupper, enheter)

  • Tildel roller til brukere med scope begrenset til AU




Fordeler med AUs

✅ Økt sikkerhet – færre med globale rettigheter

✅ Bedre oversikt – lokal kontroll uten sentral overbelastning

✅ Skalerbart

✅ Mindre risiko for feil – administratorer ser kun det de trenger


Begrensninger

  • AUs gjelder kun for Entra ID – ikke for hele Microsoft 365 (f.eks. Exchange eller SharePoint direkte)

  • Ikke alle roller støtter AU-scope

  • Krever Microsoft Entra ID P1 eller P2, avhengig av funksjon


🚀 Neste steg

I neste innlegg ser vi på gjestebrukere og ekstern deling – hvordan du kan gi tilgang til eksterne på en sikker og kontrollert måte, uten å åpne hele butikken.


Bjørnar&AI

Comments


bottom of page