Beheereenheden met beperkte beheerrechten in Microsoft Entra-id (preview)
Belangrijk
Beheereenheden met beperkte beheerrechten bevinden zich momenteel in PREVIEW. Zie de productvoorwaarden voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.
Met beperkte beheereenheden kunt u specifieke objecten in uw tenant beschermen tegen wijzigingen door anderen dan een specifieke set beheerders die u aanwijst. Hierdoor kunt u voldoen aan de beveiligings- of nalevingsvereisten zonder dat u roltoewijzingen op tenantniveau van uw beheerders hoeft te verwijderen.
Waarom beheereenheden met beperkte beheerrechten gebruiken?
Hier volgen enkele redenen waarom u beheereenheden voor beperkt beheer kunt gebruiken om de toegang in uw tenant te beheren.
- U wilt uw executive-accounts op C-niveau en hun apparaten beschermen tegen helpdesk-Beheer istrators die anders hun wachtwoorden opnieuw kunnen instellen of toegang kunnen krijgen tot BitLocker-herstelsleutels. U kunt uw gebruikersaccounts op C-niveau toevoegen in een beheereenheid met beperkte beheerrechten en een specifieke vertrouwde set beheerders inschakelen die hun wachtwoorden opnieuw kunnen instellen en waar nodig toegang kunnen krijgen tot BitLocker-herstelsleutels.
- U implementeert een nalevingsbeheer om ervoor te zorgen dat bepaalde resources alleen kunnen worden beheerd door beheerders in een specifiek land. U kunt deze resources toevoegen in een beheereenheid voor beperkt beheer en lokale beheerders toewijzen om deze objecten te beheren. Zelfs global Beheer istrators kunnen de objecten niet wijzigen, tenzij ze zichzelf expliciet toewijzen aan een rol die is gericht op de beheereenheid met beperkte beheerrechten (een controleerbare gebeurtenis).
- U gebruikt beveiligingsgroepen om de toegang tot gevoelige toepassingen in uw organisatie te beheren en u wilt uw tenantbeheerders die groepen kunnen wijzigen niet toestaan om te bepalen wie toegang heeft tot de toepassingen. U kunt deze beveiligingsgroepen toevoegen aan een beheereenheid voor beperkt beheer en er vervolgens voor zorgen dat alleen de specifieke beheerders die u toewijst, deze kunnen beheren.
Notitie
Als u objecten in beheereenheden met beperkte beheereenheden plaatst, beperkt u ernstig wie wijzigingen in de objecten kan aanbrengen. Deze beperking kan ertoe leiden dat bestaande werkstromen worden verbroken.
Welke objecten kunnen leden zijn?
Hier volgen de objecten die lid kunnen zijn van beheereenheden met beperkte beheerrechten.
| Microsoft Entra-objecttype | Beheereenheid | Beheer instelling voor beperkt beheer ingeschakeld |
|---|---|---|
| Gebruikers | Ja | Ja |
| Apparaten | Ja | Ja |
| Groepen (beveiliging) | Ja | Ja |
| Groepen (Microsoft 365) | Ja | Nr. |
| Groepen (beveiliging met e-mail) | Ja | Nr. |
| Groepen (distributie) | Ja | Nr. |
Welke typen bewerkingen worden geblokkeerd?
Voor beheerders die niet expliciet zijn toegewezen aan het bereik van beperkte beheereenheden, worden bewerkingen die de Eigenschappen van Microsoft Entra van objecten in beperkte beheereenheden rechtstreeks wijzigen, geblokkeerd, terwijl bewerkingen op gerelateerde objecten in Microsoft 365-services niet worden beïnvloed.
| Het type bewerking | Geblokkeerd | Toegestaan |
|---|---|---|
| Standaardeigenschappen lezen, zoals user principal name, user photo | ✅ | |
| Microsoft Entra-eigenschappen van de gebruiker, groep of apparaat wijzigen | ❌ | |
| De gebruiker, groep of apparaat verwijderen | ❌ | |
| Wachtwoord voor een gebruiker bijwerken | ❌ | |
| Eigenaren of leden van de groep wijzigen in de beheereenheid met beperkte beheerrechten | ❌ | |
| Gebruikers, groepen of apparaten toevoegen in een beheereenheid met beperkte beheerrechten aan groepen in Microsoft Entra-id | ✅ | |
| E-mail- en postvakinstellingen wijzigen in Exchange voor de gebruiker in de beheereenheid voor beperkt beheer | ✅ | |
| Beleid toepassen op een apparaat in een beheereenheid met beperkt beheer met Intune | ✅ | |
| Een groep toevoegen of verwijderen als site-eigenaar in SharePoint | ✅ |
Wie objecten wijzigen?
Alleen beheerders met een expliciete toewijzing binnen het bereik van een beheereenheid voor beperkt beheer kunnen de Eigenschappen van Microsoft Entra van objecten in de beheereenheid voor beperkt beheer wijzigen.
| Gebruikersrol | Geblokkeerd | Toegestaan |
|---|---|---|
| Globale beheerder | ❌ | |
| Tenantbeheerders (inclusief globale Beheer istrator) | ❌ | |
| Beheer istrators die zijn toegewezen aan het bereik van een beheereenheid met beperkte beheerrechten | ✅ | |
| Beheer istrators die zijn toegewezen aan het bereik van een andere beheereenheid met beperkte beheer waarvan het object lid is | ✅ | |
| Beheer istrators toegewezen aan het bereik van een andere reguliere beheereenheid waarvan het object lid is | ❌ | |
| Groepen Beheer istrator, gebruiker Beheer istrator en andere rol die is toegewezen aan het bereik van een resource | ❌ | |
| Eigenaren van groepen of apparaten die zijn toegevoegd aan beheereenheden met beperkte beheerrechten | ❌ |
Beperkingen
Hier volgen enkele van de limieten en beperkingen voor beheereenheden met beperkte beheerrechten.
- De instelling voor beperkt beheer moet worden toegepast tijdens het maken van een beheereenheid en kan niet worden gewijzigd nadat de beheereenheid is gemaakt.
- Groepen in een beheereenheid met beperkte toegang kunnen niet worden beheerd met Microsoft Entra ID-governance functies zoals Microsoft Entra Privileged Identity Management of Microsoft Entra-rechtenbeheer.
- Roltoewijzingsgroepen kunnen, wanneer ze worden toegevoegd aan een beheereenheid met beperkte beheerrechten, hun lidmaatschap niet wijzigen. Groepseigenaren mogen geen groepen beheren in beheereenheden met beperkte beheerrechten en alleen globale Beheer istrators en bevoorrechte rol Beheer istrators (die geen van beide kunnen worden toegewezen in het bereik van beheereenheden) kunnen het lidmaatschap wijzigen.
- Bepaalde acties zijn mogelijk niet mogelijk wanneer een object zich in een beheereenheid met beperkt beheer bevindt, als de vereiste rol niet een van de rollen is die kunnen worden toegewezen op het bereik van de beheereenheid. Een global Beheer istrator in een beheereenheid voor beperkt beheer kan bijvoorbeeld geen wachtwoordherstel door een andere beheerder in het systeem hebben, omdat er geen beheerdersrol kan worden toegewezen aan het bereik van de beheereenheid waarmee het wachtwoord van een globale Beheer istrator opnieuw kan worden ingesteld. In dergelijke scenario's moet de Global Beheer istrator eerst worden verwijderd uit de beheereenheid voor beperkt beheer en vervolgens hun wachtwoord opnieuw instellen door een andere globale Beheer istrator of bevoorrechte rol Beheer istrator.
- Bij het verwijderen van een beheereenheid met beperkte beheerrechten kan het tot 30 minuten duren voordat alle beveiligingen van de voormalige leden worden verwijderd.
Programmeerbaarheid
Toepassingen kunnen standaard geen objecten in beheereenheden voor beperkt beheer wijzigen. Als u een toepassing toegang wilt verlenen tot het beheren van objecten in een beheereenheid voor beperkt beheer, moet u de machtiging Directory.Write.Restrictedtoewijzen in Microsoft Graph.
Licentievereisten
Voor beheereenheden met beperkte beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke beheerder van beheereenheden en gratis licenties voor microsoft-entra-id's voor leden van de beheereenheid. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.