Eingeschränkte Verwaltungseinheiten in Microsoft Entra ID (Vorschau)
Wichtig
Verwaltungseinheiten mit eingeschränkter Verwaltung befinden sich derzeit in der VORSCHAU. Rechtliche Bedingungen für Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind, finden Sie in den Produktbedingungen.
Mithilfe von Verwaltungseinheiten mit eingeschränkter Verwaltung können Sie bestimmte Objekte in Ihrem Mandanten vor einer Änderung durch andere Personen als einer bestimmten, von Ihnen festgelegten Gruppe von Administratoren schützen. Dadurch können Sie Sicherheits- oder Complianceanforderungen erfüllen, ohne Rollenzuweisungen auf Mandantenebene für Administratoren aufheben zu müssen.
Warum sollten Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden?
Im Folgenden finden Sie einige Gründe, warum Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden sollten, um den Zugriff in Ihrem Mandanten zu verwalten.
- Sie möchten die Benutzerkonten Ihrer Geschäftsführung und deren Geräte vor Helpdeskadministratoren schützen, die andernfalls ihre Kennwörter zurücksetzen oder auf BitLocker-Wiederherstellungsschlüssel zugreifen können. Sie können die Benutzerkonten Ihrer Geschäftsführung einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und eine bestimmte Gruppe vertrauenswürdiger Administratoren aktivieren, die ihre Kennwörter zurücksetzen und bei Bedarf auf BitLocker-Wiederherstellungsschlüssel zugreifen können.
- Sie implementieren eine Compliancekontrolle, um sicherzustellen, dass bestimmte Ressourcen nur von Administratoren in einem bestimmten Land verwaltet werden können. Sie können diese Ressourcen in einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und lokale Administratoren zuweisen, um diese Objekte zu verwalten. Auch globale Administratoren dürfen die Objekte nicht ändern, es sei denn, sie weisen sich selbst explizit einer Rolle zu, die der Verwaltungseinheit mit eingeschränkter Verwaltung zugeordnet ist (was ein überprüfbares Ereignis ist).
- Sie verwenden Sicherheitsgruppen, um den Zugriff auf vertrauliche Anwendungen in Ihrer Organisation zu steuern, und möchten nicht zulassen, dass mandantenbezogene Administratoren, die Gruppen ändern können, steuern können, wer auf die Anwendungen zugreifen kann. Sie können diese Sicherheitsgruppen einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und dann sicherstellen, dass sie nur von den spezifischen, von Ihnen zugewiesenen Administratoren verwaltet werden können.
Hinweis
Das Platzieren von Objekten in Verwaltungseinheiten mit eingeschränkter Verwaltung schränkt stark ein, wer Änderungen an den Objekten vornehmen kann. Diese Einschränkung kann dazu führen, dass vorhandene Workflows unterbrochen werden.
Welche Objekte können Mitglieder sein?
Hier sind die Objekte aufgeführt, die Mitglieder von Verwaltungseinheiten mit eingeschränkter Verwaltung sein können.
| Microsoft Entra-Objekttyp | Verwaltungseinheit | Verwaltungseinheit mit aktivierter Einstellung für die eingeschränkte Verwaltung |
|---|---|---|
| Benutzer | Ja | Ja |
| Geräte | Ja | Ja |
| Gruppen (Sicherheit) | Ja | Ja |
| Gruppen (Microsoft 365) | Ja | Nein |
| Gruppen (E-Mail-aktivierte Sicherheit) | Ja | Nein |
| Gruppen (Verteilung) | Ja | Nein |
Welche Arten von Vorgängen werden blockiert?
Für Administratoren, die nicht explizit im Bereich der Verwaltungseinheit mit eingeschränkter Verwaltung zugewiesen sind, werden Vorgänge blockiert, die die Microsoft Entra-Eigenschaften von Objekten in Verwaltungseinheiten mit eingeschränkter Verwaltung direkt ändern, während Vorgänge für verwandte Objekte in Microsoft 365-Diensten nicht betroffen sind.
| Vorgangsart | Blockiert | Zulässig |
|---|---|---|
| Lesen von Standardeigenschaften wie Benutzerprinzipalname, Benutzerfoto | ✅ | |
| Ändern von Microsoft Entra-Eigenschaften des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Löschen des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Aktualisieren des Kennworts für einen Benutzer | ❌ | |
| Ändern von Besitzern oder Mitgliedern der Gruppe in der Verwaltungseinheit mit eingeschränkter Verwaltung | ❌ | |
| Hinzufügen von Benutzern, Gruppen oder Geräten in einer Verwaltungsverwaltungseinheit mit eingeschränkter Verwaltung zu Gruppen in Microsoft Entra ID | ✅ | |
| Ändern der E-Mail- und Postfacheinstellungen in Exchange für den Benutzer in der Verwaltungseinheit mit eingeschränkter Verwaltung | ✅ | |
| Anwenden von Richtlinien auf ein Gerät in einer Verwaltungseinheit für die eingeschränkte Verwaltung mithilfe von Intune | ✅ | |
| Hinzufügen oder Entfernen einer Gruppe als Websitebesitzer in SharePoint | ✅ |
Wer kann Objekte ändern?
Nur Administratoren mit einer expliziten Zuweisung im Bereich einer Verwaltungseinheit für die eingeschränkte Verwaltung können die Microsoft Entra-Eigenschaften von Objekten in der Verwaltungseinheit für die eingeschränkte Verwaltung ändern.
| Benutzerrolle | Blockiert | Zulässig |
|---|---|---|
| Globaler Administrator | ❌ | |
| Mandantenbezogene Administratoren (einschließlich globaler Administrator) | ❌ | |
| Administratoren, die im Bereich der Verwaltungseinheit für die eingeschränkte Verwaltung zugewiesen sind | ✅ | |
| Administratoren, die im Bereich einer anderen Verwaltungseinheit für die eingeschränkte Verwaltung, der das Objekt angehört, zugewiesen sind | ✅ | |
| Administratoren, die im Bereich einer anderen regulären Verwaltungseinheit, der das Objekt angehört, zugewiesen sind | ❌ | |
| Gruppenadministrator, Benutzeradministrator und andere Rollen, die im Bereich einer Ressource zugewiesen werden | ❌ | |
| Besitzer von Gruppen oder Geräten, die zu Verwaltungseinheiten mit eingeschränkter Verwaltung hinzugefügt wurden | ❌ |
Einschränkungen
Für Verwaltungseinheiten mit eingeschränkter Verwaltung gelten die folgenden Grenzwerte und Einschränkungen.
- Die Einstellung für die eingeschränkte Verwaltung muss während der Erstellung einer Verwaltungseinheit angewendet werden und kann nach der Erstellung der Verwaltungseinheit nicht mehr geändert werden.
- Gruppen in einer eingeschränkten Verwaltungseinheit können nicht mit Microsoft Entra ID Governance-Features wie Microsoft Entra Privileged Identity Management oder Microsoft Entra-Berechtigungsverwaltung verwaltet werden.
- Die Mitgliedschaft von Gruppen, denen Rollen zugewiesen werden können, kann nicht geändert werden, wenn sie einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzugefügt werden. Gruppenbesitzer dürfen keine Gruppen in Verwaltungseinheiten mit eingeschränkter Verwaltung verwalten. Nur globale Administratoren und Administratoren mit privilegierten Rollen (die nicht im Bereich der Verwaltungseinheit zugewiesen werden können) können die Mitgliedschaft ändern.
- Bestimmte Aktionen sind unter Umständen nicht möglich, wenn sich ein Objekt in einer Verwaltungseinheit mit eingeschränkter Verwaltung befindet, wenn die erforderliche Rolle nicht zu den Rollen gehört, die im Bereich der Verwaltungseinheit zugewiesen werden können. Beispielsweise kann ein globaler Administrator in einer Verwaltungseinheit mit eingeschränkter Verwaltung sein Kennwort nicht von einem anderen Administrator im System zurücksetzen lassen, da es keine Administratorrolle gibt, die im Bereich der Verwaltungseinheit zugewiesen werden kann, die das Kennwort eines globalen Administrators zurücksetzen kann. In solchen Szenarien muss der globale Administrator zuerst aus der Verwaltungseinheit mit eingeschränkter Verwaltung entfernt werden und dann sein Kennwort von einem anderen globalen Administrator oder Administrator für privilegierte Rollen zurücksetzen lassen.
- Beim Löschen einer Verwaltungseinheit mit eingeschränkter Verwaltung kann es bis zu 30 Minuten dauern, bis alle Schutzmechanismen von den ehemaligen Mitgliedern entfernt worden sind.
Programmierbarkeit
Anwendungen können Objekte in Verwaltungseinheiten mit eingeschränkter Verwaltung standardmäßig nicht ändern. Um einer Anwendung Zugriff zum Verwalten von Objekten in einer eingeschränkten Verwaltungsverwaltungseinheit zu gewähren, müssen Sie die Berechtigung Directory.Write.Restricted in Microsoft Graph zuweisen.
Lizenzanforderungen
Bei der Verwendung von Verwaltungseinheiten mit eingeschränkter Verwaltung ist für jeden Administrator einer Verwaltungseinheit eine Microsoft Entra ID Premium P1-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Microsoft Entra ID Free-Lizenzen. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.