Korlátozott felügyeleti felügyeleti egységek a Microsoft Entra-azonosítóban (előzetes verzió)
Fontos
A korlátozott felügyeleti felügyeleti egységek jelenleg előzetes verzióban érhetők el. A bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-szolgáltatásokra vonatkozó jogi feltételekért tekintse meg a termékfeltételeket.
A korlátozott felügyeleti felügyeleti egységek lehetővé teszik, hogy a bérlő bizonyos objektumait megvédje az Ön által kijelölt rendszergazdáktól eltérő felhasználók módosításával szemben. Ez lehetővé teszi a biztonsági vagy megfelelőségi követelmények teljesítését anélkül, hogy el kellene távolítania a bérlőszintű szerepkör-hozzárendeléseket a rendszergazdáktól.
Miért érdemes korlátozott felügyeleti felügyeleti egységeket használni?
Az alábbiakban néhány okot talál arra, hogy miért használhat korlátozott felügyeleti felügyeleti egységeket a bérlői hozzáférés kezeléséhez.
- A C szintű vezetői fiókokat és azok eszközeit meg szeretné védeni a Segélyszolgálat Rendszergazda istratoroktól, akik egyébként alaphelyzetbe állíthatják a jelszavaikat, vagy hozzáférhetnek a BitLocker helyreállítási kulcsaihoz. C-szintű felhasználói fiókjait egy korlátozott felügyeleti felügyeleti egységben veheti fel, és engedélyezheti a rendszergazdák egy meghatározott megbízható csoportját, akik szükség esetén alaphelyzetbe állíthatják a jelszavaikat, és hozzáférhetnek a BitLocker helyreállítási kulcsaihoz.
- Megfelelőségi ellenőrzést vezet be, hogy bizonyos erőforrásokat csak egy adott ország rendszergazdái kezelhessenek. Ezeket az erőforrásokat felveheti egy korlátozott felügyeleti felügyeleti egységbe, és hozzárendelheti a helyi rendszergazdákat az objektumok kezeléséhez. Még a globális Rendszergazda istratorok sem módosíthatják az objektumokat, hacsak nem rendelik magukat kifejezetten a korlátozott felügyeleti felügyeleti egységhez (amely egy naplózható esemény) hatókörű szerepkörhöz.
- Biztonsági csoportokkal szabályozhatja a szervezet bizalmas alkalmazásaihoz való hozzáférést, és nem szeretné engedélyezni, hogy a csoportokat módosító bérlői hatókörű rendszergazdák szabályozhassák, hogy kik férhetnek hozzá az alkalmazásokhoz. Ezeket a biztonsági csoportokat hozzáadhatja egy korlátozott felügyeleti felügyeleti egységhez, majd győződjön meg arról, hogy csak az ön által hozzárendelt rendszergazdák kezelhetik őket.
Feljegyzés
Az objektumok korlátozott felügyeleti egységekben való elhelyezése szigorúan korlátozza, hogy ki módosíthatja az objektumokat. Ez a korlátozás a meglévő munkafolyamatok megszakadását okozhatja.
Milyen objektumok lehetnek tagok?
Az alábbi objektumok lehetnek korlátozott felügyeleti felügyeleti egységek tagjai.
| Microsoft Entra objektumtípus | Felügyeleti egység | Rendszergazda korlátozott felügyeleti beállítással rendelkező egység engedélyezése |
|---|---|---|
| Felhasználók | Igen | Igen |
| Eszközök | Igen | Igen |
| Csoportok (biztonság) | Igen | Igen |
| Csoportok (Microsoft 365) | Igen | Nem |
| Csoportok (Levelezési szolgáltatással engedélyezett biztonság) | Igen | Nem |
| Csoportok (disztribúció) | Igen | Nem |
Milyen típusú műveletek vannak letiltva?
A korlátozott felügyeleti felügyeleti egység hatókörében explicit módon nem hozzárendelt rendszergazdák esetében a korlátozott felügyeleti egységek objektumainak Microsoft Entra-tulajdonságait közvetlenül módosító műveletek le lesznek tiltva, míg a Microsoft 365-szolgáltatások kapcsolódó objektumainak műveleteire nincs hatással.
| Művelettípus | Blokkolva | Engedélyezve |
|---|---|---|
| Szabványos tulajdonságok olvasása, például egyszerű felhasználónév, felhasználói fénykép | ✅ | |
| A felhasználó, csoport vagy eszköz Microsoft Entra-tulajdonságainak módosítása | ❌ | |
| Felhasználó, csoport vagy eszköz törlése | ❌ | |
| Felhasználó jelszavának frissítése | ❌ | |
| A csoport tulajdonosainak vagy tagjainak módosítása a korlátozott felügyeleti felügyeleti egységben | ❌ | |
| Felhasználók, csoportok vagy eszközök hozzáadása korlátozott felügyeleti felügyeleti egységben a Microsoft Entra ID-ban lévő csoportokhoz | ✅ | |
| E-mail- és postaláda-beállítások módosítása az Exchange-ben a felhasználó számára a korlátozott felügyeleti felügyeleti egységben | ✅ | |
| Szabályzatok alkalmazása korlátozott felügyeleti felügyeleti egységben lévő eszközökre az Intune használatával | ✅ | |
| Csoport hozzáadása vagy eltávolítása webhelytulajdonosként a SharePointban | ✅ |
Ki módosíthatja az objektumokat?
Csak a korlátozott felügyeleti felügyeleti egység hatókörében explicit hozzárendeléssel rendelkező rendszergazdák módosíthatják a Microsoft Entra objektumtulajdonságait a korlátozott felügyeleti felügyeleti egységben.
| Felhasználói szerepkör | Blokkolva | Engedélyezve |
|---|---|---|
| Globális rendszergazda | ❌ | |
| Bérlői hatókörű rendszergazdák (beleértve a globális Rendszergazda istratort is) | ❌ | |
| korlátozott felügyeleti felügyeleti egység hatókörébe rendelt Rendszergazda istratorok | ✅ | |
| Rendszergazda egy másik korlátozott felügyeleti felügyeleti egység hatókörében hozzárendelt rendszergazdák, amelyeknek az objektum tagja | ✅ | |
| Rendszergazda egy másik rendszeres felügyeleti egység hatókörébe rendelt elosztók, amelyeknek az objektum tagja | ❌ | |
| Csoportok Rendszergazda istrator, felhasználói Rendszergazda istrator és más szerepkörök hozzárendelve egy erőforrás hatókörében | ❌ | |
| Korlátozott felügyeleti felügyeleti egységekhez hozzáadott csoportok vagy eszközök tulajdonosai | ❌ |
Korlátozások
Az alábbiakban néhány korlátozást és korlátozást talál a korlátozott felügyeleti felügyeleti egységekre vonatkozóan.
- A korlátozott felügyeleti beállítást a felügyeleti egység létrehozásakor kell alkalmazni, és a felügyeleti egység létrehozása után nem módosítható.
- A korlátozott felügyeleti felügyeleti egység csoportjai nem kezelhetők Microsoft Entra ID-kezelés olyan funkciókkal, mint a Microsoft Entra Privileged Identity Management vagy a Microsoft Entra jogosultságkezelés.
- A szerepkörhöz hozzárendelhető csoportok, ha korlátozott felügyeleti felügyeleti egységhez vannak hozzáadva, nem módosíthatják a tagságukat. A csoporttulajdonosok nem kezelhetik a csoportokat korlátozott felügyeleti felügyeleti egységekben, és csak a globális Rendszergazda istratorok és a kiemelt szerepkörű Rendszergazda istratorok módosíthatják a tagságot (egyik sem rendelhető hozzá a felügyeleti egység hatókörében).
- Előfordulhat, hogy bizonyos műveletek nem lehetségesek, ha egy objektum korlátozott felügyeleti felügyeleti egységben van, ha a szükséges szerepkör nem tartozik a felügyeleti egység hatókörében hozzárendelhető szerepkörök közé. Egy korlátozott felügyeleti felügyeleti egységben lévő globális Rendszergazda istrator például nem rendelkezhet jelszó-visszaállítással a rendszer bármely más rendszergazdája által, mert nincs olyan rendszergazdai szerepkör, amely a felügyeleti egység hatókörében rendelhető hozzá, amely alaphelyzetbe állíthatja a globális Rendszergazda istrator jelszavát. Ilyen esetekben a globális Rendszergazda istratort először el kell távolítani a korlátozott felügyeleti felügyeleti egységből, majd egy másik globális Rendszergazda istrator vagy privileged szerepkör Rendszergazda istrator által alaphelyzetbe kell állítania a jelszót.
- Egy korlátozott felügyeleti felügyeleti egység törlése akár 30 percet is igénybe vehet, amíg eltávolítja az összes védelmet a korábbi tagoktól.
Programozhatóság
Az alkalmazások alapértelmezés szerint nem módosíthatják a korlátozott felügyeleti felügyeleti egységek objektumait. Ahhoz, hogy egy alkalmazás hozzáférést biztosítson az objektumok korlátozott felügyeleti felügyeleti egységben való kezeléséhez, hozzá kell rendelnie a Directory.Write.Restrictedengedélyt a Microsoft Graph-ban.
Licenckövetelmények
A korlátozott felügyeleti felügyeleti egységekhez minden felügyeleti egység rendszergazdájához Microsoft Entra-azonosító P1 licencre, a felügyeleti egységek tagjai pedig ingyenes Microsoft Entra-azonosítós licencekre van szükség. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.