Jednotky pro správu s omezeným přístupem v Microsoft Entra ID (Preview)
Důležité
Jednotky pro správu s omezeným přístupem jsou aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce, které jsou v beta verzi, předběžné verzi nebo které ještě nejsou vydány v obecné dostupnosti.
Omezené jednotky pro správu umožňují chránit konkrétní objekty ve vašem tenantovi před úpravami jinými uživateli než konkrétní sadou správců, které určíte. To vám umožní splnit požadavky na zabezpečení nebo dodržování předpisů bez nutnosti odebírat přiřazení rolí na úrovni tenanta od správců.
Proč používat omezené jednotky pro správu?
Tady je několik důvodů, proč můžete pomocí omezených jednotek pro správu pomoct spravovat přístup ve vašem tenantovi.
- Chcete chránit účty vedoucích pracovníků na úrovni C a jejich zařízení od správců helpdesku, kteří by jinak mohli resetovat svá hesla nebo přistupovat k obnovovacím klíčům BitLockeru. Uživatelské účty na úrovni C můžete přidat v jednotce pro správu s omezeným přístupem a povolit konkrétní důvěryhodnou sadu správců, kteří můžou resetovat hesla a přistupovat k obnovovacím klíčům BitLockeru v případě potřeby.
- Implementujete řízení dodržování předpisů, abyste zajistili, že určité prostředky můžou spravovat jenom správci v konkrétní zemi nebo oblasti. Tyto prostředky můžete přidat v jednotce pro správu s omezeným přístupem a přiřadit místní správce ke správě těchto objektů. Ani globální správci nebudou moct upravovat objekty, pokud se explicitně nepřiřazují k roli omezené jednotce pro správu (což je auditovatelná událost).
- Skupiny zabezpečení používáte k řízení přístupu k citlivým aplikacím ve vaší organizaci a nechcete povolit správcům s vymezeným tenantem, kteří můžou upravovat skupiny, aby mohli řídit, kdo má k aplikacím přístup. Tyto skupiny zabezpečení můžete přidat do omezené jednotky pro správu a pak se ujistit, že je můžou spravovat jenom konkrétní správci, které přiřadíte.
Poznámka:
Umístění objektů do jednotek správy s omezeným přístupem výrazně omezuje, kdo může provádět změny objektů. Toto omezení může způsobit přerušení existujících pracovních postupů.
Jaké objekty můžou být členy?
Tady jsou objekty, které mohou být členy omezených jednotek pro správu.
| Typ objektu Microsoft Entra | Jednotka pro správu | Jednotka pro správu s povoleným nastavením omezené správy |
|---|---|---|
| Uživatelé | Ano | Ano |
| Zařízení | Ano | Ano |
| Skupiny (zabezpečení) | Ano | Ano |
| Skupiny (Microsoft 365) | Ano | No |
| Skupiny (zabezpečení s povolenou poštou) | Ano | No |
| Skupiny (distribuce) | Ano | No |
Jaké typy operací jsou blokované?
U správců, kteří nejsou explicitně přiřazeni v oboru jednotek správy s omezeným přístupem, jsou operace, které přímo upravují vlastnosti microsoft Entra objektů v jednotkách správy s omezeným přístupem blokované, zatímco operace související objekty ve službách Microsoftu 365 nejsou ovlivněny.
| Typ operace | Blokované | Povoleno |
|---|---|---|
| Čtení standardních vlastností, jako je hlavní název uživatele, fotka uživatele | ✅ | |
| Úprava vlastností Microsoft Entra uživatele, skupiny nebo zařízení | ❌ | |
| Odstranění uživatele, skupiny nebo zařízení | ❌ | |
| Aktualizace hesla pro uživatele | ❌ | |
| Úprava vlastníků nebočlenůch | ❌ | |
| Přidání uživatelů, skupin nebo zařízení v jednotce pro správu s omezeným přístupem do skupin v Microsoft Entra ID | ✅ | |
| Úprava nastavení e-mailu a poštovní schránky v Exchangi pro uživatele v jednotce pro správu s omezeným přístupem | ✅ | |
| Použití zásad na zařízení v jednotce pro správu s omezeným přístupem pomocí Intune | ✅ | |
| Přidání nebo odebrání skupiny jako vlastníka webu v SharePointu | ✅ |
Kdo může upravovat objekty?
Pouze správci s explicitním přiřazením v oboru omezené jednotky pro správu mohou změnit vlastnosti Microsoft Entra objektů v jednotce pro správu s omezeným přístupem.
| Role uživatele | Blokované | Povoleno |
|---|---|---|
| Globální správce | ❌ | |
| Správci s vymezeným tenantem (včetně globálního správce) | ❌ | |
| Správci přiřazení v oboru omezené jednotky pro správu | ✅ | |
| Správci přiřazení v oboru jiné jednotky pro správu s omezeným přístupem, jehož je objekt členem | ✅ | |
| Správci přiřazení v rozsahu jiné pravidelné administrativní jednotky, jejímž členem je objekt | ❌ | |
| Správce skupin, správce uživatelů a další role přiřazené v oboru prostředku | ❌ | |
| Vlastníci skupin nebo zařízení přidaní do omezených jednotek pro správu | ❌ |
Omezení
Tady jsou některé limity a omezení pro omezené jednotky správy.
- Nastavení omezené správy se musí použít při vytváření jednotek pro správu a po vytvoření jednotky pro správu se nedá změnit.
- Skupiny v jednotce pro správu s omezeným přístupem se nedají spravovat pomocí funkcí zásad správného řízení Microsoft Entra ID, jako je Microsoft Entra Privileged Identity Management nebo Správa nároků Microsoft Entra.
- Při přidání do omezené jednotky pro správu nemůžou mít přiřazené role žádné skupiny. Vlastníci skupin nesmí spravovat skupiny v jednotkách pro správu s omezeným přístupem a pouze globální správci a správci privilegovaných rolí (ani jeden z nich nelze přiřazovat v oboru jednotek pro správu) nemůže měnit členství.
- Některé akce nemusí být možné, pokud je objekt v jednotce pro správu s omezeným přístupem, pokud požadovaná role není jednou z rolí, které je možné přiřadit v oboru jednotky správy. Například globální správce v jednotce pro správu s omezeným přístupem nemůže resetovat heslo žádným jiným správcem v systému, protože v oboru jednotek pro správu není možné přiřadit žádnou roli správce, která může resetovat heslo globálního správce. V takových scénářích bude potřeba nejprve odebrat globálního správce z jednotky pro správu s omezeným přístupem a pak ho resetovat jiným globálním správcem nebo správcem privilegovaných rolí.
- Když odstraníte omezenou jednotku pro správu správy, může trvat až 30 minut, než se odeberou všechny ochrany od bývalých členů.
Programovatelnost
Aplikace ve výchozím nastavení nemůžou upravovat objekty v jednotkách správy s omezeným přístupem. Pokud chcete aplikaci udělit přístup ke správě objektů v jednotce pro správu s omezeným přístupem, musíte aplikaci přiřadit roli Microsoft Entra v oboru omezené jednotky pro správu. Pokud aplikaci Microsoft Graph přiřadíte, nebudou tato oprávnění platit, protože je omezená.
Požadavky na licenci
Omezené jednotky pro správu vyžadují licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu a licence Microsoft Entra ID Free pro členy jednotek pro správu. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.