Unit administratif manajemen terbatas di ID Microsoft Entra (Pratinjau)
Penting
Unit administratif manajemen terbatas saat ini dalam PRATINJAU. Lihat Ketentuan Produk untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Unit administratif manajemen terbatas memungkinkan Anda melindungi objek tertentu di penyewa Anda dari modifikasi oleh siapa pun selain sekumpulan administrator tertentu yang Anda tentukan. Ini memungkinkan Anda memenuhi persyaratan keamanan atau kepatuhan tanpa harus menghapus penetapan peran tingkat penyewa dari administrator Anda.
Mengapa menggunakan unit administratif manajemen terbatas?
Berikut adalah beberapa alasan mengapa Anda mungkin menggunakan unit administratif manajemen terbatas untuk membantu mengelola akses di penyewa Anda.
- Anda ingin melindungi akun eksekutif tingkat C Anda dan perangkat mereka dari Administrator Helpdesk yang jika tidak dapat mengatur ulang kata sandi mereka atau mengakses kunci pemulihan BitLocker. Anda dapat menambahkan akun pengguna tingkat C Anda di unit administratif manajemen terbatas dan mengaktifkan sekumpulan administrator tepercaya tertentu yang dapat mengatur ulang kata sandi mereka dan mengakses kunci pemulihan BitLocker saat diperlukan.
- Anda menerapkan kontrol kepatuhan untuk memastikan bahwa sumber daya tertentu hanya dapat dikelola oleh administrator di negara tertentu. Anda dapat menambahkan sumber daya tersebut di unit administratif manajemen terbatas dan menetapkan administrator lokal untuk mengelola objek tersebut. Bahkan Administrator Global tidak akan diizinkan untuk memodifikasi objek kecuali mereka menetapkan diri mereka secara eksplisit ke peran yang dilingkup ke unit administratif manajemen terbatas (yang merupakan peristiwa yang dapat diaudit).
- Anda menggunakan grup keamanan untuk mengontrol akses ke aplikasi sensitif di organisasi Anda, dan Anda tidak ingin mengizinkan administrator cakupan penyewa yang dapat memodifikasi grup untuk dapat mengontrol siapa yang dapat mengakses aplikasi. Anda dapat menambahkan grup keamanan tersebut ke unit administratif manajemen terbatas lalu memastikan bahwa hanya administrator tertentu yang Anda tetapkan yang dapat mengelolanya.
Catatan
Menempatkan objek di unit administratif manajemen terbatas sangat membatasi siapa yang dapat membuat perubahan pada objek. Pembatasan ini dapat menyebabkan alur kerja yang ada rusak.
Objek apa yang bisa menjadi anggota?
Berikut adalah objek yang dapat menjadi anggota unit administratif manajemen terbatas.
| Jenis objek Microsoft Entra | Unit administrasi | Unit administratif dengan pengaturan manajemen terbatas diaktifkan |
|---|---|---|
| Pengguna | Ya | Ya |
| Perangkat | Ya | Ya |
| Grup (Keamanan) | Ya | Ya |
| Grup (Microsoft 365) | Ya | Tidak |
| Grup (Keamanan yang diaktifkan email) | Ya | Tidak |
| Grup (Distribusi) | Ya | Tidak |
Jenis operasi apa yang diblokir?
Untuk administrator yang tidak ditetapkan secara eksplisit pada cakupan unit administratif manajemen terbatas, operasi yang secara langsung mengubah properti Objek Microsoft Entra di unit administratif manajemen terbatas diblokir, sedangkan operasi pada objek terkait di layanan Microsoft 365 tidak terpengaruh.
| Jenis operasi | Terblokir | Diizinkan |
|---|---|---|
| Membaca properti standar seperti nama prinsipal pengguna, foto pengguna | ✅ | |
| Mengubah properti Microsoft Entra pengguna, grup, atau perangkat apa pun | ❌ | |
| Menghapus pengguna, grup, atau perangkat | ❌ | |
| Memperbarui kata sandi untuk pengguna | ❌ | |
| Mengubah pemilik atau anggota grup di unit administratif manajemen terbatas | ❌ | |
| Menambahkan pengguna, grup, atau perangkat dalam unit administratif manajemen terbatas ke grup di ID Microsoft Entra | ✅ | |
| Mengubah pengaturan email dan kotak surat di Exchange untuk pengguna di unit administratif manajemen terbatas | ✅ | |
| Menerapkan kebijakan ke perangkat di unit administratif manajemen terbatas menggunakan Intune | ✅ | |
| Menambahkan atau menghapus grup sebagai pemilik situs di SharePoint | ✅ |
Siapa dapat mengubah objek?
Hanya administrator dengan penugasan eksplisit pada cakupan unit administratif manajemen terbatas yang dapat mengubah properti Microsoft Entra objek di unit administratif manajemen terbatas.
| Peran pengguna | Terblokir | Diizinkan |
|---|---|---|
| Administrator Global | ❌ | |
| Administrator cakupan penyewa (termasuk Administrator Global) | ❌ | |
| Administrator yang ditetapkan pada cakupan unit administratif manajemen terbatas | ✅ | |
| Administrator yang ditetapkan pada cakupan unit administratif manajemen terbatas lain yang objeknya adalah anggota | ✅ | |
| Administrator yang ditetapkan pada cakupan unit administratif reguler lain di mana objek tersebut adalah anggota | ❌ | |
| Administrator Grup, Administrator Pengguna, dan peran lain yang ditetapkan di cakupan sumber daya | ❌ | |
| Pemilik grup atau perangkat yang ditambahkan ke unit administratif manajemen terbatas | ❌ |
Batasan
Berikut adalah beberapa batasan dan batasan untuk unit administratif manajemen terbatas.
- Pengaturan manajemen terbatas harus diterapkan selama pembuatan unit administratif dan tidak dapat diubah setelah unit administratif dibuat.
- Grup dalam unit administratif manajemen terbatas tidak dapat dikelola dengan fitur Tata Kelola ID Microsoft Entra seperti Microsoft Entra Privileged Identity Management atau pengelolaan pemberian hak Microsoft Entra.
- Grup yang dapat ditetapkan peran, saat ditambahkan ke unit administratif manajemen terbatas, tidak dapat mengubah keanggotaan mereka. Pemilik grup tidak diizinkan untuk mengelola grup di unit administratif manajemen terbatas dan hanya Administrator Global dan Administrator Peran Istimewa (tidak satu pun yang dapat ditetapkan pada cakupan unit administratif) yang dapat mengubah keanggotaan.
- Tindakan tertentu mungkin tidak dimungkinkan ketika objek berada di unit administratif manajemen terbatas, jika peran yang diperlukan bukan salah satu peran yang dapat ditetapkan pada cakupan unit administratif. Misalnya, Administrator Global di unit administratif manajemen terbatas tidak dapat mengatur ulang kata sandi mereka oleh administrator lain dalam sistem, karena tidak ada peran admin yang dapat ditetapkan di cakupan unit administratif yang dapat mengatur ulang kata sandi Administrator Global. Dalam skenario seperti itu, Administrator Global harus dihapus dari unit administratif manajemen terbatas terlebih dahulu, dan kemudian mengatur ulang kata sandi mereka oleh Administrator Global lain atau Administrator Peran Istimewa.
- Saat menghapus unit administratif manajemen terbatas, diperlukan waktu hingga 30 menit untuk menghapus semua perlindungan dari mantan anggota.
Keterprograman
Aplikasi tidak dapat mengubah objek dalam unit administratif manajemen terbatas secara default. Untuk memberikan akses aplikasi untuk mengelola objek di unit administratif manajemen terbatas, Anda harus menetapkan izin Directory.Write.Restricteddi Microsoft Graph.
Persyaratan lisensi
Unit administratif manajemen terbatas memerlukan lisensi Microsoft Entra ID P1 untuk setiap administrator unit administratif, dan lisensi Microsoft Entra ID Gratis untuk anggota unit administratif. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur paket Gratis dan Premium yang tersedia secara umum.