Jednostki administracyjne zarządzania z ograniczeniami w usłudze Microsoft Entra ID (wersja zapoznawcza)
Ważne
Ograniczone jednostki administracyjne zarządzania są obecnie w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.
Ograniczone jednostki administracyjne zarządzania umożliwiają ochronę określonych obiektów w dzierżawie przed modyfikacją przez każdego innego niż określony zestaw wyznaczonych administratorów. Pozwala to spełnić wymagania dotyczące zabezpieczeń lub zgodności bez konieczności usuwania przypisań ról na poziomie dzierżawy z administratorów.
Dlaczego warto używać ograniczonych jednostek administracyjnych zarządzania?
Oto kilka powodów, dla których można używać ograniczonych jednostek administracyjnych do zarządzania dostępem w dzierżawie.
- Chcesz chronić konta kadry kierowniczej na poziomie C i ich urządzenia od administratorów pomocy technicznej, którzy w przeciwnym razie będą mogli zresetować swoje hasła lub uzyskać dostęp do kluczy odzyskiwania funkcji BitLocker. Możesz dodać konta użytkowników na poziomie C w jednostce administracyjnej z ograniczeniami zarządzania i włączyć określony zaufany zestaw administratorów, którzy mogą resetować swoje hasła i uzyskiwać dostęp do kluczy odzyskiwania funkcji BitLocker w razie potrzeby.
- Wdrażasz kontrolę zgodności, aby upewnić się, że niektóre zasoby mogą być zarządzane tylko przez administratorów w określonym kraju. Te zasoby można dodać w jednostce administracyjnej zarządzania z ograniczeniami i przypisać administratorów lokalnych do zarządzania tymi obiektami. Nawet administratorzy globalni nie będą mogli modyfikować obiektów, chyba że przypisują się jawnie do roli o określonym zakresie do jednostki administracyjnej z ograniczeniami zarządzania (co jest zdarzeniem podlegającym inspekcji).
- Używasz grup zabezpieczeń do kontrolowania dostępu do poufnych aplikacji w organizacji i nie chcesz zezwalać administratorom o zakresie dzierżawy, którzy mogą modyfikować grupy, aby mogli kontrolować, kto może uzyskiwać dostęp do aplikacji. Możesz dodać te grupy zabezpieczeń do jednostki administracyjnej zarządzania z ograniczeniami, a następnie upewnić się, że tylko przypisani administratorzy mogą nimi zarządzać.
Uwaga
Umieszczanie obiektów w ograniczonych jednostkach administracyjnych zarządzania poważnie ogranicza, kto może wprowadzać zmiany w obiektach. To ograniczenie może spowodować przerwanie istniejących przepływów pracy.
Jakie obiekty mogą być elementami członkowskimi?
Oto obiekty, które mogą być członkami ograniczonych jednostek administracyjnych zarządzania.
| Microsoft Entra, typ obiektu | Jednostka administracyjna | Jednostka administracyjna z włączonym ustawieniem zarządzania z ograniczeniami |
|---|---|---|
| Użytkownicy | Tak | Tak |
| Urządzenia | Tak | Tak |
| Grupy (zabezpieczenia) | Tak | Tak |
| Grupy (Microsoft 365) | Tak | Nie. |
| Grupy (zabezpieczenia z włączoną obsługą poczty) | Tak | Nie. |
| Grupy (dystrybucja) | Tak | Nie. |
Jakie typy operacji są blokowane?
W przypadku administratorów, którzy nie są jawnie przypisani w ograniczonym zakresie jednostki administracyjnej zarządzania, operacje, które bezpośrednio modyfikują właściwości obiektów firmy Microsoft w ograniczonych jednostkach administracyjnych zarządzania, są blokowane, podczas gdy operacje na powiązanych obiektach w usługach Microsoft 365 nie mają wpływu.
| Typ operacji | Zablokowano | Dozwolone |
|---|---|---|
| Odczytywanie standardowych właściwości, takich jak główna nazwa użytkownika, zdjęcie użytkownika | ✅ | |
| Modyfikowanie dowolnych właściwości usługi Microsoft Entra użytkownika, grupy lub urządzenia | ❌ | |
| Usuwanie użytkownika, grupy lub urządzenia | ❌ | |
| Aktualizowanie hasła dla użytkownika | ❌ | |
| Modyfikowanie właścicieli lub członków grupy w jednostce administracyjnej zarządzania z ograniczeniami | ❌ | |
| Dodawanie użytkowników, grup lub urządzeń w jednostce administracyjnej zarządzania z ograniczeniami do grup w usłudze Microsoft Entra ID | ✅ | |
| Modyfikowanie ustawień poczty e-mail i skrzynki pocztowej w programie Exchange dla użytkownika w jednostce administracyjnej zarządzania z ograniczeniami | ✅ | |
| Stosowanie zasad do urządzenia w jednostce administracyjnej zarządzania z ograniczeniami przy użyciu usługi Intune | ✅ | |
| Dodawanie lub usuwanie grupy jako właściciela witryny w programie SharePoint | ✅ |
Kto może modyfikować obiekty?
Tylko administratorzy z jawnym przypisaniem w zakresie jednostki administracyjnej zarządzania z ograniczeniami mogą zmieniać właściwości obiektów firmy Microsoft w jednostce administracyjnej zarządzania z ograniczeniami.
| Rola użytkownika | Zablokowano | Dozwolone |
|---|---|---|
| Globalny administrator usługi | ❌ | |
| Administratorzy z zakresem dzierżawy (w tym administrator globalny) | ❌ | |
| Administratorzy przypisani w zakresie jednostki administracyjnej zarządzania z ograniczeniami | ✅ | |
| Administratorzy przypisani w zakresie innej jednostki administracyjnej zarządzania z ograniczeniami, której obiekt jest członkiem | ✅ | |
| Administratorzy przypisani w zakresie innej regularnej jednostki administracyjnej, której obiekt jest członkiem | ❌ | |
| Administrator grup, administrator użytkowników i inna rola przypisana w zakresie zasobu | ❌ | |
| Właściciele grup lub urządzeń dodanych do ograniczonych jednostek administracyjnych zarządzania | ❌ |
Ograniczenia
Poniżej przedstawiono niektóre limity i ograniczenia dotyczące ograniczonych jednostek administracyjnych zarządzania.
- Ustawienie zarządzania z ograniczeniami musi być stosowane podczas tworzenia jednostki administracyjnej i nie można go zmienić po utworzeniu jednostki administracyjnej.
- Grupy w jednostce administracyjnej zarządzania z ograniczeniami nie mogą być zarządzane za pomocą funkcji Zarządzanie tożsamością Microsoft Entra, takich jak Microsoft Entra Privileged Identity Management lub Zarządzanie upoważnieniami firmy Microsoft Entra.
- Grupy z możliwością przypisywania ról, po dodaniu do jednostki administracyjnej z ograniczeniami zarządzania, nie mogą mieć zmodyfikowanego członkostwa. Właściciele grup nie mogą zarządzać grupami w ograniczonych jednostkach administracyjnych, a tylko administratorzy globalni i administratorzy ról uprzywilejowanych (żadna z nich nie może być przypisana w zakresie jednostki administracyjnej) może modyfikować członkostwo.
- Niektóre akcje mogą nie być możliwe, gdy obiekt znajduje się w jednostce administracyjnej zarządzania z ograniczeniami, jeśli wymagana rola nie jest jedną z ról, które można przypisać w zakresie jednostki administracyjnej. Na przykład administrator globalny w jednostce administracyjnej z ograniczeniami zarządzania nie może zresetować hasła przez żadnego innego administratora w systemie, ponieważ nie ma żadnej roli administratora, którą można przypisać w zakresie jednostki administracyjnej, która może zresetować hasło administratora globalnego. W takich scenariuszach administrator globalny musi najpierw zostać usunięty z jednostki administracyjnej z ograniczeniami zarządzania, a następnie zresetować hasło przez innego administratora globalnego lub administratora ról uprzywilejowanych.
- Usunięcie ograniczonej jednostki administracyjnej zarządzania może potrwać do 30 minut, aby usunąć wszystkie zabezpieczenia z byłych członków.
Możliwości programowania
Aplikacje domyślnie nie mogą modyfikować obiektów w ograniczonych jednostkach administracyjnych zarządzania. Aby udzielić aplikacji dostępu do zarządzania obiektami w jednostce administracyjnej zarządzania z ograniczeniami, należy przypisać do aplikacji rolę Entra firmy Microsoft w zakresie jednostki administracyjnej zarządzania z ograniczeniami. Jeśli przypiszesz do aplikacji uprawnienia aplikacji programu Microsoft Graph, te uprawnienia nie będą stosowane, ponieważ są one ograniczone.
Wymagania dotyczące licencji
Jednostki administracyjne zarządzania z ograniczeniami wymagają licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej i microsoft Entra ID Bezpłatne licencje dla członków jednostki administracyjnej. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.