Unità amministrative di gestione con restrizioni in Microsoft Entra ID (anteprima)
Importante
Le unità amministrative di gestione con restrizioni sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per i prodotti per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Le unità amministrative di gestione con restrizioni consentono di proteggere oggetti specifici nel tenant dalla modifica da parte di chiunque non sia un set specifico di amministratori designati. In questo modo è possibile soddisfare i requisiti di sicurezza o conformità senza dover rimuovere le assegnazioni di ruolo a livello di tenant dagli amministratori.
Perché usare le unità amministrative di gestione con restrizioni?
Ecco alcuni motivi per cui è possibile usare le unità amministrative di gestione con restrizioni per gestire l'accesso nel tenant.
- Si vogliono proteggere gli account executive di livello C e i relativi dispositivi dai Amministrazione istratori del supporto tecnico che altrimenti sarebbero in grado di reimpostare le password o accedere alle chiavi di ripristino di BitLocker. È possibile aggiungere gli account utente a livello C in un'unità amministrativa di gestione con restrizioni e abilitare un set attendibile specifico di amministratori che possono reimpostare le password e accedere alle chiavi di ripristino di BitLocker quando necessario.
- Si sta implementando un controllo di conformità per assicurarsi che determinate risorse possano essere gestite solo dagli amministratori in un paese specifico. È possibile aggiungere tali risorse in un'unità amministrativa di gestione con restrizioni e assegnare amministratori locali per gestire tali oggetti. Anche gli Amministrazione istratori globali non potranno modificare gli oggetti a meno che non si assegnino in modo esplicito a un ruolo con ambito l'unità amministrativa di gestione con restrizioni (che è un evento controllabile).
- Si usano gruppi di sicurezza per controllare l'accesso alle applicazioni sensibili nell'organizzazione e non si vuole consentire agli amministratori con ambito tenant che possono modificare i gruppi per controllare chi può accedere alle applicazioni. È possibile aggiungere tali gruppi di sicurezza a un'unità amministrativa di gestione con restrizioni e quindi assicurarsi che solo gli amministratori specifici assegnati possano gestirli.
Nota
L'inserimento di oggetti in unità amministrative con restrizioni limita notevolmente gli utenti che possono apportare modifiche agli oggetti. Questa restrizione può causare l'interruzione dei flussi di lavoro esistenti.
Quali oggetti possono essere membri?
Ecco gli oggetti che possono essere membri di unità amministrative di gestione con restrizioni.
| Tipo di oggetto Microsoft Entra | Unità amministrativa | unità Amministrazione istrative con l'impostazione di gestione con restrizioni abilitata |
|---|---|---|
| Utenti | Sì | Sì |
| Dispositivi | Sì | Sì |
| Gruppi (sicurezza) | Sì | Sì |
| Gruppi (Microsoft 365) | Sì | No |
| Gruppi (sicurezza abilitata per la posta elettronica) | Sì | No |
| Gruppi (distribuzione) | Sì | No |
Quali tipi di operazioni vengono bloccati?
Per gli amministratori non assegnati in modo esplicito nell'ambito dell'unità amministrativa di gestione con restrizioni, le operazioni che modificano direttamente le proprietà degli oggetti nelle unità amministrative di gestione con restrizioni vengono bloccate, mentre le operazioni sugli oggetti correlati nei servizi di Microsoft 365 non sono interessate.
| Tipo di operazione | Bloccati | Consentito |
|---|---|---|
| Leggere le proprietà standard, ad esempio il nome dell'entità utente, la foto dell'utente | ✅ | |
| Modificare le proprietà di Microsoft Entra dell'utente, del gruppo o del dispositivo | ❌ | |
| Eliminare l'utente, il gruppo o il dispositivo | ❌ | |
| Aggiornare la password per un utente | ❌ | |
| Modificare proprietari o membri del gruppo nell'unità amministrativa di gestione con restrizioni | ❌ | |
| Aggiungere utenti, gruppi o dispositivi in un'unità amministrativa di gestione con restrizioni ai gruppi in Microsoft Entra ID | ✅ | |
| Modificare le impostazioni di posta elettronica e cassetta postale in Exchange per l'utente nell'unità amministrativa di gestione con restrizioni | ✅ | |
| Applicare criteri a un dispositivo in un'unità amministrativa di gestione con restrizioni usando Intune | ✅ | |
| Aggiungere o rimuovere un gruppo come proprietario del sito in SharePoint | ✅ |
Chi può modificare gli oggetti?
Solo gli amministratori con un'assegnazione esplicita nell'ambito di un'unità amministrativa di gestione con restrizioni possono modificare le proprietà di Microsoft Entra degli oggetti nell'unità amministrativa di gestione con restrizioni.
| Ruolo utente | Bloccati | Consentito |
|---|---|---|
| Amministratore globale | ❌ | |
| Amministratori con ambito tenant (incluso Global Amministrazione istrator) | ❌ | |
| Amministrazione istrator assegnati nell'ambito dell'unità amministrativa di gestione con restrizioni | ✅ | |
| Amministrazione istrator assegnati nell'ambito di un'altra unità amministrativa di gestione con restrizioni di cui l'oggetto è membro | ✅ | |
| Amministrazione istrator assegnati all'ambito di un'altra unità amministrativa regolare di cui l'oggetto è membro | ❌ | |
| Gruppi Amministrazione istrator, User Amministrazione istrator e altri ruoli assegnati nell'ambito di una risorsa | ❌ | |
| Proprietari di gruppi o dispositivi aggiunti alle unità amministrative di gestione con restrizioni | ❌ |
Limiti
Ecco alcuni dei limiti e dei vincoli per le unità amministrative di gestione con restrizioni.
- L'impostazione di gestione con restrizioni deve essere applicata durante la creazione dell'unità amministrativa e non può essere modificata dopo la creazione dell'unità amministrativa.
- I gruppi in un'unità amministrativa di gestione con restrizioni non possono essere gestiti con le funzionalità di governance degli ID di Microsoft Entra, ad esempio Microsoft Entra Privileged Identity Management o Microsoft Entra entitlement management.
- I gruppi assegnabili ai ruoli, se aggiunti a un'unità amministrativa di gestione con restrizioni, non possono modificare l'appartenenza. I proprietari dei gruppi non sono autorizzati a gestire i gruppi in unità amministrative di gestione con restrizioni e solo i Amministrazione istratori globali e i ruoli con privilegi Amministrazione istrator (nessuno dei quali può essere assegnato nell'ambito dell'unità amministrativa) può modificare l'appartenenza.
- Alcune azioni potrebbero non essere possibili quando un oggetto si trova in un'unità amministrativa di gestione con restrizioni, se il ruolo richiesto non è uno dei ruoli che possono essere assegnati nell'ambito dell'unità amministrativa. Ad esempio, un Amministrazione istrator globale in un'unità amministrativa di gestione con restrizioni non può avere la reimpostazione della password da parte di altri amministratori del sistema, perché non esiste alcun ruolo di amministratore che può essere assegnato nell'ambito dell'unità amministrativa che può reimpostare la password di un Amministrazione istrator globale. In questi scenari, l'Amministrazione istrator globale deve essere rimosso prima dall'unità amministrativa di gestione con restrizioni e quindi la reimpostazione della password da un altro Amministrazione istrator globale o un ruolo con privilegi Amministrazione istrator.
- Quando si elimina un'unità amministrativa di gestione con restrizioni, possono essere necessari fino a 30 minuti per rimuovere tutte le protezioni dai membri precedenti.
Programmabilità
Le applicazioni non possono modificare gli oggetti nelle unità amministrative di gestione con restrizioni per impostazione predefinita. Per concedere a un'applicazione l'accesso per gestire gli oggetti in un'unità amministrativa di gestione con restrizioni, è necessario assegnare l'autorizzazione Directory.Write.Restrictedin Microsoft Graph.
Requisiti di licenza
Le unità amministrative di gestione con restrizioni richiedono una licenza P1 di Microsoft Entra ID per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID Free per i membri dell'unità amministrativa. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.