Condividi tramite


Unità amministrative di gestione con restrizioni in Microsoft Entra ID (anteprima)

Importante

Le unità amministrative di gestione con restrizioni sono attualmente disponibili in ANTEPRIMA. Consultare i Termini dei Prodotti per le condizioni legali applicabili alle funzionalità in beta, anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Le unità amministrative di gestione con restrizioni consentono di proteggere oggetti specifici nel tenant dalla modifica da parte di chiunque non sia un set specifico di amministratori designati. In questo modo è possibile soddisfare i requisiti di sicurezza o conformità senza dover rimuovere le assegnazioni di ruolo a livello di tenant dagli amministratori.

Perché usare le unità amministrative di gestione con restrizioni?

Ecco alcuni motivi per cui è possibile usare le unità amministrative di gestione con restrizioni per gestire l'accesso nel tenant.

  • Si vogliono proteggere gli account executive di C e i relativi dispositivi dagli amministratori del supporto tecnico che altrimenti sarebbero in grado di reimpostare le password o accedere alle chiavi di ripristino di BitLocker. È possibile aggiungere gli account utente a livello C in un'unità amministrativa di gestione con restrizioni e abilitare un set attendibile specifico di amministratori che possono reimpostare le password e accedere alle chiavi di ripristino di BitLocker quando necessario.
  • Si sta implementando un controllo di conformità per assicurarsi che determinate risorse possano essere gestite solo dagli amministratori in un paese/area geografica specifica. È possibile aggiungere tali risorse in un'unità amministrativa di gestione con restrizioni e assegnare amministratori locali per gestire tali oggetti. Anche gli amministratori globali non potranno modificare gli oggetti a meno che non si assegnino in modo esplicito a un ruolo con ambito all'unità amministrativa di gestione con restrizioni (che è un evento controllabile).
  • Si usano gruppi di sicurezza per controllare l'accesso alle applicazioni sensibili nell'organizzazione e non si vuole consentire agli amministratori con ambito tenant che possono modificare i gruppi per controllare chi può accedere alle applicazioni. È possibile aggiungere tali gruppi di sicurezza a un'unità amministrativa di gestione con restrizioni e quindi assicurarsi che solo gli amministratori specifici assegnati possano gestirli.

Nota

L'inserimento di oggetti in unità amministrative con restrizioni limita notevolmente gli utenti che possono apportare modifiche agli oggetti. Questa restrizione può causare l'interruzione dei flussi di lavoro esistenti.

Quali oggetti possono essere membri?

Ecco gli oggetti che possono essere membri di unità amministrative di gestione con restrizioni.

Tipo di oggetto Microsoft Entra Unità amministrativa Unità amministrativa con impostazione di gestione con restrizioni abilitata
Utenti
Dispositivi
Gruppi (sicurezza)
Gruppi (Microsoft 365) No
Gruppi (sicurezza abilitata per la posta elettronica) No
Gruppi (distribuzione) No

Quali tipi di operazioni vengono bloccati?

Per gli amministratori non assegnati in modo esplicito nell'ambito dell'unità amministrativa di gestione con restrizioni, le operazioni che modificano direttamente le proprietà degli oggetti nelle unità amministrative di gestione con restrizioni vengono bloccate, mentre le operazioni sugli oggetti correlati nei servizi di Microsoft 365 non sono interessate.

Tipo di operazione Bloccati Consentito
Leggere le proprietà standard, ad esempio il nome dell'entità utente, la foto dell'utente
Modificare le proprietà di Microsoft Entra dell'utente, del gruppo o del dispositivo
Eliminare l'utente, il gruppo o il dispositivo
Aggiornare la password per un utente
Modificare proprietari o membri del gruppo nell'unità amministrativa di gestione con restrizioni
Aggiungere utenti, gruppi o dispositivi in un'unità amministrativa di gestione con restrizioni ai gruppi in Microsoft Entra ID
Modificare le impostazioni di posta elettronica e cassetta postale in Exchange per l'utente nell'unità amministrativa di gestione con restrizioni
Applicare criteri a un dispositivo in un'unità amministrativa di gestione con restrizioni usando Intune
Aggiungere o rimuovere un gruppo come proprietario del sito in SharePoint

Chi può modificare gli oggetti?

Solo gli amministratori con un'assegnazione esplicita nell'ambito di un'unità amministrativa di gestione con restrizioni possono modificare le proprietà di Microsoft Entra degli oggetti nell'unità amministrativa di gestione con restrizioni.

Ruolo utente Bloccati Consentito
Amministratore globale
Amministratori con ambito tenant (incluso l'amministratore globale)
Amministratori assegnati all'ambito dell'unità amministrativa di gestione con restrizioni
Amministratori assegnati all'ambito di un'altra unità amministrativa di gestione con restrizioni di cui l'oggetto è membro
Amministratori assegnati nell'ambito di un'altra unità amministrativa regolare di cui l'oggetto è membro
Amministratore dei gruppi, Amministratore utenti e altro ruolo assegnato nell'ambito di una risorsa
Proprietari di gruppi o dispositivi aggiunti alle unità amministrative di gestione con restrizioni

Limiti

Ecco alcuni dei limiti e dei vincoli per le unità amministrative di gestione con restrizioni.

  • L'impostazione di gestione con restrizioni deve essere applicata durante la creazione dell'unità amministrativa e non può essere modificata dopo la creazione dell'unità amministrativa.
  • I gruppi in un'unità amministrativa di gestione con restrizioni non possono essere gestiti con le funzionalità di governance degli ID di Microsoft Entra, ad esempio Microsoft Entra Privileged Identity Management o Microsoft Entra entitlement management.
  • I gruppi assegnabili ai ruoli, se aggiunti a un'unità amministrativa di gestione con restrizioni, non possono modificare l'appartenenza. I proprietari dei gruppi non sono autorizzati a gestire i gruppi in unità amministrative di gestione con restrizioni e solo gli amministratori globali e gli amministratori del ruolo con privilegi (nessuno dei quali può essere assegnato nell'ambito dell'unità amministrativa) possono modificare l'appartenenza.
  • Alcune azioni potrebbero non essere possibili quando un oggetto si trova in un'unità amministrativa di gestione con restrizioni, se il ruolo richiesto non è uno dei ruoli che possono essere assegnati nell'ambito dell'unità amministrativa. Ad esempio, un amministratore globale in un'unità amministrativa di gestione con restrizioni non può avere la reimpostazione della password da parte di altri amministratori del sistema, perché non esiste alcun ruolo di amministratore che può essere assegnato nell'ambito dell'unità amministrativa che può reimpostare la password di un amministratore globale. In questi scenari, l'amministratore globale deve essere rimosso prima dall'unità amministrativa di gestione con restrizioni e quindi la reimpostazione della password da un altro amministratore globale o amministratore del ruolo con privilegi.
  • Quando si elimina un'unità amministrativa di gestione con restrizioni, possono essere necessari fino a 30 minuti per rimuovere tutte le protezioni dai membri precedenti.

Programmabilità

Le applicazioni non possono modificare gli oggetti nelle unità amministrative di gestione con restrizioni per impostazione predefinita. Per concedere a un'applicazione l'accesso per gestire gli oggetti in un'unità amministrativa di gestione con restrizioni, è necessario assegnare un ruolo Microsoft Entra all'applicazione nell'ambito dell'unità amministrativa di gestione con restrizioni. Se si assegnano le autorizzazioni dell'applicazione Microsoft Graph all'applicazione, tali autorizzazioni non verranno applicate perché sono limitate.

Requisiti di licenza

Le unità amministrative di gestione con restrizioni richiedono una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID gratuito per i membri dell'unità amministrativa. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.

Passaggi successivi