Microsoft Entra-szerepkörök hozzárendelése felügyeleti egység hatókörével
A Microsoft Entra ID-ban a részletesebb felügyeleti vezérlés érdekében hozzárendelhet egy Microsoft Entra-szerepkört egy vagy több felügyeleti egységre korlátozott hatókörrel. Ha egy Microsoft Entra-szerepkör egy felügyeleti egység hatókörébe van rendelve, a szerepkör-engedélyek csak akkor érvényesek, ha a felügyeleti egység tagjait kezelik, és nem vonatkoznak a bérlői szintű beállításokra vagy konfigurációkra.
A felügyeleti egység hatókörében a Csoportok Rendszergazda istrator szerepkörrel rendelkező rendszergazdák például kezelhetik a felügyeleti egység tagjait, de nem kezelhetik a bérlő más csoportjait. Nem tudják kezelni a csoportokhoz kapcsolódó bérlőszintű beállításokat is, például a lejárati vagy a csoportelnevezési szabályzatokat.
Ez a cikk a Microsoft Entra-szerepkörök felügyeleti egység hatókörrel való hozzárendelését ismerteti.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- A Microsoft Entra ID ingyenes licencei a felügyeleti egység tagjai számára
- Kiemelt szerepkörű rendszergazda
- Microsoft Graph PowerShell-modul a PowerShell használatakor
- Rendszergazda hozzájárulás a Graph Explorer microsoft graph API-hoz való használatakor
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
A felügyeleti egység hatókörével hozzárendelhető szerepkörök
A következő Microsoft Entra-szerepkörök rendelhetők hozzá felügyeleti egység hatókörrel. Emellett bármely egyéni szerepkör hozzárendelhető felügyeleti egység hatókörével, amennyiben az egyéni szerepkör engedélyei legalább egy, a felhasználókra, csoportokra vagy eszközökre vonatkozó engedélyt tartalmaznak.
Szerepkör | Leírás |
---|---|
Hitelesítési Rendszergazda istrator | Hozzáféréssel rendelkezik a hitelesítési módszer információinak megtekintéséhez, beállításához és alaphelyzetbe állításához a hozzárendelt felügyeleti egységben lévő nem rendszergazdai felhasználók számára. |
Cloud Device Rendszergazda istrator | Korlátozott hozzáférés az eszközök kezeléséhez a Microsoft Entra-azonosítóban. |
Csoportok Rendszergazda istrator | A csoportok minden aspektusát csak a hozzárendelt felügyeleti egységben kezelheti. |
Segélyszolgálat Rendszergazda istrator | A nem rendszergazdák jelszavai csak a hozzárendelt felügyeleti egységben állíthatók alaphelyzetbe. |
Licenc Rendszergazda istrator | Csak a felügyeleti egységen belül rendelhet hozzá, távolíthat el és frissíthet licenchozzárendeléseket. |
Jelszó Rendszergazda istrator | A nem rendszergazdai jelszavakat csak a hozzárendelt felügyeleti egységen belül állíthatja vissza. |
Nyomtató Rendszergazda istrator | Kezelheti a nyomtatókat és a nyomtató-összekötőket. További információ: Nyomtatók delegálása az Univerzális nyomtatásban. |
Privileged Authentication Rendszergazda istrator | Bármely felhasználó (rendszergazda vagy nem rendszergazda) számára hozzáférhet a hitelesítési módszer adatainak megtekintéséhez, beállításához és alaphelyzetbe állításához. |
SharePoint Rendszergazda istrator | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. A Microsoft 365-csoportokhoz társított SharePoint-webhelyek esetében a felügyeleti egységben a webhelytulajdonságok (webhelynév, URL-cím és külső megosztási szabályzat) is frissíthetők a Microsoft 365 Felügyeleti központ használatával. A SharePoint Felügyeleti központ és a SharePoint API-k nem használhatók webhelyek kezelésére. |
Teams Rendszergazda istrator | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. A Microsoft 365 Felügyeleti központ csak a hozzárendelt felügyeleti egységben lévő csoportokkal társított csoportok csapattagjai kezelhetők. A Teams felügyeleti központ nem használható. |
Teams-eszközök Rendszergazda istrator | Képes felügyeleti feladatokat végezni a Teams-tanúsítvánnyal rendelkező eszközökön. |
Felhasználói rendszergazda | Kezelheti a felhasználók és csoportok összes aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását csak a hozzárendelt felügyeleti egységen belül. A felhasználók profilképei jelenleg nem kezelhetők. |
<Egyéni szerepkör> | A felhasználókra, csoportokra vagy eszközökre vonatkozó műveleteket az egyéni szerepkör definíciójának megfelelően hajthatja végre. |
Bizonyos szerepkör-engedélyek csak rendszergazdai jogosultsággal nem rendelkező felhasználókra vonatkoznak, ha egy felügyeleti egység hatókörével vannak hozzárendelve. Más szóval a felügyeleti egység hatókörébe tartozó súgó Rendszergazda istratorok csak akkor állíthatják vissza a rendszergazdai egység felhasználóinak jelszavát, ha ezek a felhasználók nem rendelkeznek rendszergazdai szerepkörrel. Az engedélyek alábbi listája korlátozott, ha egy művelet célja egy másik rendszergazda:
- Felhasználói hitelesítési módszerek olvasása és módosítása, illetve a felhasználói jelszavak alaphelyzetbe állítása
- Bizalmas felhasználói tulajdonságok, például telefonszámok, másodlagos e-mail-címek vagy nyílt engedélyezési (OAuth) titkos kulcsok módosítása
- Felhasználói fiókok törlése vagy visszaállítása
A felügyeleti egység hatókörével hozzárendelhető biztonsági tagok
A következő biztonsági tagok rendelhetők hozzá egy felügyeleti egység hatókörével rendelkező szerepkörhöz:
- Felhasználók
- Microsoft Entra szerepkörhöz hozzárendelhető csoportok
- Szolgáltatási elvek
Szolgáltatásnevek és vendégfelhasználók
A szolgáltatásnevek és a vendégfelhasználók csak akkor használhatnak rendszergazdai egységre hatókörrel rendelkező szerepkör-hozzárendelést, ha az objektumok olvasására vonatkozó megfelelő engedélyeket is hozzárendelnek hozzájuk. Ennek az az oka, hogy a szolgáltatásnevek és a vendégfelhasználók alapértelmezés szerint nem kapnak címtár-olvasási engedélyeket, amelyek rendszergazdai műveletek végrehajtásához szükségesek. Ahhoz, hogy egy szolgáltatásnév vagy vendégfelhasználó egy felügyeleti egységre hatókörrel rendelkező szerepkör-hozzárendelést használhasson, hozzá kell rendelnie a Címtárolvasó szerepkört (vagy egy másik, olvasási engedélyeket tartalmazó szerepkört) egy bérlői hatókörhöz.
A címtár olvasási engedélyeinek hozzárendelése jelenleg nem lehetséges egy felügyeleti egységhez. A felhasználók alapértelmezett engedélyeiről további információt az alapértelmezett felhasználói engedélyek című témakörben talál.
Szerepkör hozzárendelése felügyeleti egység hatókörével
A Microsoft Entra felügyeleti egység hatókörével rendelkező Microsoft Entra-szerepköröket a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph használatával rendelheti hozzá.
Microsoft Entra felügyeleti központ
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza ki azt a felügyeleti egységet, amelyhez felhasználói szerepköri hatókört kíván hozzárendelni.
A bal oldali panelen válassza a Szerepkörök és rendszergazdák lehetőséget az összes elérhető szerepkör listázásához.
Jelölje ki a hozzárendelni kívánt szerepkört, majd válassza a Hozzárendelések hozzáadása lehetőséget.
A Hozzárendelések hozzáadása panelen válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.
Feljegyzés
Ha szerepkört szeretne hozzárendelni egy felügyeleti egységhez a Microsoft Entra Privileged Identity Management (PIM) használatával, olvassa el a Microsoft Entra-szerepkörök hozzárendelése a PIM-ben című témakört.
PowerShell
A New-MgRoleManagementDirectoryRoleAssignment paranccsal és a DirectoryScopeId
paraméterrel rendeljen hozzá egy szerepkört a felügyeleti egység hatókörével.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Az Add a scopedRoleMember API használatával rendeljen hozzá egy szerepkört a felügyeleti egység hatókörével.
Kérés
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Törzs
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Szerepkör-hozzárendelések listázása felügyeleti egység hatókörével
A Microsoft Entra szerepkör-hozzárendeléseinek listáját felügyeleti egység hatókörrel tekintheti meg a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph használatával.
Microsoft Entra felügyeleti központ
A felügyeleti egység hatókörével létrehozott szerepkör-hozzárendeléseket a Microsoft Entra felügyeleti központ Rendszergazda egységek szakaszában tekintheti meg.
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válassza ki a megtekinteni kívánt szerepkör-hozzárendelések listájához tartozó felügyeleti egységet.
Válassza a Szerepkörök és rendszergazdák lehetőséget, majd nyisson meg egy szerepkört a hozzárendelések megtekintéséhez a felügyeleti egységben.
PowerShell
A Get-MgDirectory Rendszergazda istrativeUnitScopedRoleMember paranccsal listázhatja a felügyeleti egység hatókörével rendelkező szerepkör-hozzárendeléseket.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
A List scopedRoleMembers API használatával listázhatja a szerepkör-hozzárendeléseket a felügyeleti egység hatókörével.
Kérés
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Törzs
{}