Jednostki administracyjne zarządzania z ograniczeniami w usłudze Microsoft Entra ID (wersja zapoznawcza)
Ważne
Ograniczone jednostki administracyjne zarządzania są obecnie w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.
Ograniczone jednostki administracyjne zarządzania umożliwiają ochronę określonych obiektów w dzierżawie przed modyfikacją przez każdego innego niż określony zestaw wyznaczonych administratorów. Pozwala to spełnić wymagania dotyczące zabezpieczeń lub zgodności bez konieczności usuwania przypisań ról na poziomie dzierżawy z administratorów.
Dlaczego warto używać ograniczonych jednostek administracyjnych zarządzania?
Oto kilka powodów, dla których można używać ograniczonych jednostek administracyjnych do zarządzania dostępem w dzierżawie.
- Chcesz chronić konta kadry kierowniczej na poziomie C i ich urządzenia z Administracja istratorów pomocy technicznej, którzy w przeciwnym razie będą mogli zresetować swoje hasła lub uzyskać dostęp do kluczy odzyskiwania funkcji BitLocker. Możesz dodać konta użytkowników na poziomie C w jednostce administracyjnej z ograniczeniami zarządzania i włączyć określony zaufany zestaw administratorów, którzy mogą resetować swoje hasła i uzyskiwać dostęp do kluczy odzyskiwania funkcji BitLocker w razie potrzeby.
- Wdrażasz kontrolę zgodności, aby upewnić się, że niektóre zasoby mogą być zarządzane tylko przez administratorów w określonym kraju. Te zasoby można dodać w jednostce administracyjnej zarządzania z ograniczeniami i przypisać administratorów lokalnych do zarządzania tymi obiektami. Nawet globalne Administracja istratory nie będą mogły modyfikować obiektów, chyba że jawnie przypisują się do roli objętej ograniczeniami jednostki administracyjnej zarządzania (co jest zdarzeniem podlegającym inspekcji).
- Używasz grup zabezpieczeń do kontrolowania dostępu do poufnych aplikacji w organizacji i nie chcesz zezwalać administratorom o zakresie dzierżawy, którzy mogą modyfikować grupy, aby mogli kontrolować, kto może uzyskiwać dostęp do aplikacji. Możesz dodać te grupy zabezpieczeń do jednostki administracyjnej zarządzania z ograniczeniami, a następnie upewnić się, że tylko przypisani administratorzy mogą nimi zarządzać.
Uwaga
Umieszczanie obiektów w ograniczonych jednostkach administracyjnych zarządzania poważnie ogranicza, kto może wprowadzać zmiany w obiektach. To ograniczenie może spowodować przerwanie istniejących przepływów pracy.
Jakie obiekty mogą być elementami członkowskimi?
Oto obiekty, które mogą być członkami ograniczonych jednostek administracyjnych zarządzania.
| Microsoft Entra, typ obiektu | Jednostka administracyjna | jednostka Administracja istracyjna z włączonym ustawieniem zarządzania z ograniczeniami |
|---|---|---|
| Użytkownicy | Tak | Tak |
| Urządzenia | Tak | Tak |
| Grupy (zabezpieczenia) | Tak | Tak |
| Grupy (Microsoft 365) | Tak | Nie. |
| Grupy (zabezpieczenia z włączoną obsługą poczty) | Tak | Nie. |
| Grupy (dystrybucja) | Tak | Nie. |
Jakie typy operacji są blokowane?
W przypadku administratorów, którzy nie są jawnie przypisani w ograniczonym zakresie jednostki administracyjnej zarządzania, operacje, które bezpośrednio modyfikują właściwości obiektów firmy Microsoft w ograniczonych jednostkach administracyjnych zarządzania, są blokowane, podczas gdy operacje na powiązanych obiektach w usługach Microsoft 365 nie mają wpływu.
| Typ operacji | Zablokowano | Dozwolone |
|---|---|---|
| Odczytywanie standardowych właściwości, takich jak główna nazwa użytkownika, zdjęcie użytkownika | ✅ | |
| Modyfikowanie dowolnych właściwości usługi Microsoft Entra użytkownika, grupy lub urządzenia | ❌ | |
| Usuwanie użytkownika, grupy lub urządzenia | ❌ | |
| Aktualizowanie hasła dla użytkownika | ❌ | |
| Modyfikowanie właścicieli lub członków grupy w jednostce administracyjnej zarządzania z ograniczeniami | ❌ | |
| Dodawanie użytkowników, grup lub urządzeń w jednostce administracyjnej zarządzania z ograniczeniami do grup w usłudze Microsoft Entra ID | ✅ | |
| Modyfikowanie ustawień poczty e-mail i skrzynki pocztowej w programie Exchange dla użytkownika w jednostce administracyjnej zarządzania z ograniczeniami | ✅ | |
| Stosowanie zasad do urządzenia w jednostce administracyjnej zarządzania z ograniczeniami przy użyciu usługi Intune | ✅ | |
| Dodawanie lub usuwanie grupy jako właściciela witryny w programie SharePoint | ✅ |
KtoTo można modyfikować obiekty?
Tylko administratorzy z jawnym przypisaniem w zakresie jednostki administracyjnej zarządzania z ograniczeniami mogą zmieniać właściwości obiektów firmy Microsoft w jednostce administracyjnej zarządzania z ograniczeniami.
| Rola użytkownika | Zablokowano | Dozwolone |
|---|---|---|
| Globalny administrator usługi | ❌ | |
| Administratorzy z zakresem dzierżawy (w tym globalny Administracja istrator) | ❌ | |
| Administracja istratory przypisani w zakresie jednostki administracyjnej zarządzania z ograniczeniami | ✅ | |
| Administracja istratory przypisane w zakresie innej jednostki administracyjnej zarządzania z ograniczeniami, której obiekt jest elementem członkowskim | ✅ | |
| Administracja istratory przypisane w zakresie innej regularnej jednostki administracyjnej, której obiekt jest elementem członkowskim | ❌ | |
| Grupy Administracja istrator, Administracja istrator użytkowników i inne role przypisane w zakresie zasobu | ❌ | |
| Właściciele grup lub urządzeń dodanych do ograniczonych jednostek administracyjnych zarządzania | ❌ |
Ograniczenia
Poniżej przedstawiono niektóre limity i ograniczenia dotyczące ograniczonych jednostek administracyjnych zarządzania.
- Ustawienie zarządzania z ograniczeniami musi być stosowane podczas tworzenia jednostki administracyjnej i nie można go zmienić po utworzeniu jednostki administracyjnej.
- Grupy w jednostce administracyjnej zarządzania z ograniczeniami nie mogą być zarządzane za pomocą funkcji Zarządzanie tożsamością Microsoft Entra, takich jak Microsoft Entra Privileged Identity Management lub Zarządzanie upoważnieniami firmy Microsoft Entra.
- Grupy z możliwością przypisywania ról, po dodaniu do jednostki administracyjnej z ograniczeniami zarządzania, nie mogą mieć zmodyfikowanego członkostwa. Właściciele grup nie mogą zarządzać grupami w ograniczonych jednostkach administracyjnych, a tylko administratorzy globalni Administracja istratorzy i Administracja istratory ról uprzywilejowanych (żadna z nich nie może być przypisana w zakresie jednostki administracyjnej) może modyfikować członkostwo.
- Niektóre akcje mogą nie być możliwe, gdy obiekt znajduje się w jednostce administracyjnej zarządzania z ograniczeniami, jeśli wymagana rola nie jest jedną z ról, które można przypisać w zakresie jednostki administracyjnej. Na przykład administrator globalny Administracja istrator w jednostce administracyjnej z ograniczeniami zarządzania nie może zresetować hasła przez innego administratora w systemie, ponieważ nie ma przypisanej roli administratora w zakresie jednostki administracyjnej, która może zresetować hasło globalnego Administracja istratora. W takich scenariuszach należy najpierw usunąć globalny Administracja istrator z jednostki administracyjnej zarządzania z ograniczeniami, a następnie zresetować hasło przez innego globalnego Administracja istratora lub Administracja istratora ról uprzywilejowanych.
- Usunięcie ograniczonej jednostki administracyjnej zarządzania może potrwać do 30 minut, aby usunąć wszystkie zabezpieczenia z byłych członków.
Możliwości programowania
Aplikacje domyślnie nie mogą modyfikować obiektów w ograniczonych jednostkach administracyjnych zarządzania. Aby udzielić aplikacji dostępu do zarządzania obiektami w jednostce administracyjnej zarządzania z ograniczeniami, należy przypisać uprawnienie Directory.Write.Restrictedw programie Microsoft Graph.
Wymagania dotyczące licencji
Jednostki administracyjne zarządzania z ograniczeniami wymagają licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej i microsoft Entra ID Bezpłatne licencje dla członków jednostki administracyjnej. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.