Konfigurowanie delegowania przy użyciu jednostek administracyjnych

  • 7 min

Jednostki administracyjne to zasoby identyfikatora Entra firmy Microsoft, które mogą być kontenerami dla innych zasobów firmy Microsoft Entra. Jednostka administracyjna może zawierać tylko użytkowników, grupy i urządzenia.

Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej zdefiniowanej części organizacji. Można na przykład użyć jednostek administracyjnych w celu delegowania roli Administrator pomocy technicznej do regionalnych specjalistów ds. pomocy technicznej, aby mogli oni zarządzać użytkownikami tylko w regionie, który obsługują. Jednostki administracyjne można zarządzać przy użyciu witryny Azure Portal, poleceń cmdlet programu PowerShell i skryptów lub programu Microsoft Graph.

Co to jest jednostka administracyjna?

W usłudze Microsoft Entra ID, używając jednej dzierżawy, jeśli przypiszesz użytkownikowi dowolną rolę administratora, jest on teraz administratorem dla każdego użytkownika w dzierżawie. Zawsze należy myśleć o zasadzie zabezpieczeń najniższych uprawnień, to zawsze najlepszy sposób udzielania obowiązków administracyjnych. Jednostki administracyjne to kontenery tworzone w celu rozwiązania tego zadania w identyfikatorze Entra firmy Microsoft. Jeśli chcesz, aby administrator użytkowników mógł zarządzać tylko określonym zestawem użytkowników i grup. Powiedzmy, aby zarządzać tylko użytkownikami w Departamencie Badań szpitala. Możesz skonfigurować jednostkę administracyjną. W ramach tej jednostki administracyjnej należy dodać użytkowników i grupy dla zespołu badawczego, a następnie dodać określonego użytkownika do roli Administrator użytkowników w ramach jednostki administracyjnej, nazywając je Administrator do badań. Administratorzy na potrzeby badań będą mogli zarządzać użytkownikami w jednostce administracyjnej, ale nie w całej dzierżawie, co pomaga osiągnąć zasadę najniższych uprawnień.

Jakie role administratora są dostępne dla jednostki administracyjnej?

Aby zarządzać jednostką administracyjną, możesz mieć użytkowników w następujących rolach:

  • Administrator uwierzytelniania
  • Administrator grup
  • Administrator pomocy technicznej
  • Administrator licencji
  • Administrator haseł
  • Administrator użytkowników

Uwaga

Jeśli znasz lokalna usługa Active Directory, ta funkcja została obsłużona przez skonfigurowanie jednostek organizacyjnych w katalogu i dodanie użytkowników do jednostki organizacyjnej.

Planowanie jednostek administracyjnych

Jednostki administracyjne umożliwiają logiczne grupowanie zasobów firmy Microsoft Entra. Organizacja, której dział IT jest rozproszony globalnie, może tworzyć jednostki administracyjne definiujące odpowiednie granice geograficzne. W innym scenariuszu, w którym organizacja globalna ma podorganizacje, które są częściowo autonomiczne w swoich operacjach, jednostki administracyjne mogą reprezentować podorganizacje.

Kryteria tworzenia jednostek administracyjnych są oparte na unikatowych wymaganiach organizacji. Jednostki administracyjne to typowy sposób definiowania struktury w usługach platformy Microsoft 365. Zalecamy przygotowanie jednostek administracyjnych do ich używania w usługach platformy Microsoft 365. Maksymalną wartość z jednostek administracyjnych można uzyskać, gdy możesz skojarzyć typowe zasoby w usłudze Microsoft 365 w ramach jednostki administracyjnej.

Możesz oczekiwać, że tworzenie jednostek administracyjnych w organizacji przejdzie przez następujące etapy:

  1. Wstępne wdrożenie: Twoja organizacja rozpocznie tworzenie jednostek administracyjnych na podstawie początkowych kryteriów, a liczba jednostek administracyjnych zwiększy się w miarę uściślinia kryteriów.
  2. Oczyszczanie: po zdefiniowaniu kryteriów jednostki administracyjne, które nie są już wymagane, zostaną usunięte.
  3. Stabilizacja: Struktura organizacyjna jest zdefiniowana, a liczba jednostek administracyjnych nie zmieni się znacząco w krótkim okresie.

Delegowanie administracji w identyfikatorze Entra firmy Microsoft

Wraz ze wzrostem organizacyjnym wiąże się ze złożonością. Jedną z typowych odpowiedzi jest zmniejszenie obciążenia zarządzania dostępem za pomocą ról administratora firmy Microsoft Entra. Aby uzyskać dostęp do swoich aplikacji i wykonywać swoje zadania, możesz przypisać użytkownikom najmniej możliwe uprawnienia. Nawet jeśli nie przypiszesz roli administratora globalnego do każdego właściciela aplikacji, umieszczasz obowiązki związane z zarządzaniem aplikacjami dla istniejących administratorów globalnych. Istnieje wiele powodów, dla których organizacja zmierza w kierunku bardziej zdecentralizowanej administracji.

W usłudze Microsoft Entra ID możesz delegować uprawnienia do tworzenia aplikacji i zarządzania nimi w następujący sposób:

  • Ograniczanie, kto może tworzyć aplikacje i zarządzać tworzonymi przez nich aplikacjami. Domyślnie w usłudze Microsoft Entra ID wszyscy użytkownicy mogą rejestrować rejestracje aplikacji i zarządzać wszystkimi aspektami tworzonych aplikacji. Możesz ograniczyć uprawnienia tylko do zezwalania wybranym osobom.
  • Przypisywanie co najmniej jednego właściciela do aplikacji. Prosty sposób udzielania komuś możliwości zarządzania wszystkimi aspektami konfiguracji identyfikatora Entra firmy Microsoft dla określonej aplikacji.
  • Przypisanie wbudowanej roli administracyjnej, która udziela dostępu do zarządzania konfiguracją w usłudze Microsoft Entra ID dla wszystkich aplikacji. Zalecany sposób udzielania ekspertom IT dostępu do zarządzania szerokimi uprawnieniami konfiguracji aplikacji bez udzielania dostępu do zarządzania innymi częściami identyfikatora Entra firmy Microsoft, które nie są związane z konfiguracją aplikacji.
  • Utwórz rolę niestandardową, aby zdefiniować określone uprawnienia. Następnie przypisz rolę użytkownikowi, aby przypisać ograniczonego właściciela. Możesz też przypisać zakres katalogu — wszystkie aplikacje — jako ograniczony administrator.

W przypadku udzielania dostępu użyj jednej z powyższych metod z dwóch powodów. Po pierwsze delegowanie możliwości wykonywania zadań administracyjnych zmniejsza obciążenie administratora globalnego. Po drugie użycie ograniczonych uprawnień zwiększa poziom zabezpieczeń i zmniejsza potencjał nieautoryzowanego dostępu.

Planowanie delegowania

Jest to praca nad opracowaniem modelu delegowania, który odpowiada Twoim potrzebom. Tworzenie modelu delegowania jest procesem projektowania iteracyjnego i zalecamy wykonanie następujących kroków:

  • Definiowanie potrzebnych ról
  • Delegowanie administrowania aplikacjami
  • Udzielanie możliwości rejestrowania aplikacji
  • Delegowanie własności aplikacji
  • Opracowywanie planu zabezpieczeń
  • Ustanawianie kont awaryjnych
  • Zabezpieczanie ról administratora
  • Utwórz tymczasowe podniesienie uprawnień uprzywilejowanych

Definiowanie ról

Określ zadania usługi Active Directory, które są wykonywane przez administratorów i sposób mapowania ich na role. Każde zadanie powinno być oceniane pod kątem częstotliwości, ważności i trudności. Te kryteria są istotnymi aspektami definicji zadania, ponieważ określają, czy uprawnienie powinno być delegowane:

  • Zadania, które wykonujesz rutynowo, mają ograniczone ryzyko i są proste do ukończenia, są doskonałymi kandydatami do delegowania.
  • Zadania, które wykonujesz rzadko, ale mają potencjalne ryzyko w całej organizacji i wymagają wysokiego poziomu umiejętności, należy dokładnie rozważyć przed delegowaniem. Zamiast tego możesz tymczasowo podnieść poziom konta do wymaganej roli lub ponownie przypisać zadanie.

Delegowanie administrowania aplikacjami

Rozprzestrzenianie aplikacji w organizacji może przeciążyć model delegowania. Jeśli obciążenie związane z zarządzaniem dostępem do aplikacji jest obciążane przez administratora globalnego, prawdopodobnie model zwiększa obciążenie w miarę upływu czasu. Jeśli udzielono osobom roli administratora globalnego dla takich rzeczy, jak konfigurowanie aplikacji dla przedsiębiorstw, możesz je teraz odciążyć do następujących ról mniej uprzywilejowanych. Pomaga to poprawić poziom bezpieczeństwa i zmniejszyć potencjał niefortunnych błędów. Najbardziej uprzywilejowane role administratora aplikacji to:

  • Rola Administrator aplikacji, która umożliwia zarządzanie wszystkimi aplikacjami w katalogu, w tym rejestracjami, ustawieniami logowania jednokrotnego, przypisaniami użytkowników i grup oraz licencjonowaniem, serwer proxy aplikacji ustawieniami i zgodą. Nie udziela możliwości zarządzania dostępem warunkowym.
  • Rola Administrator aplikacji w chmurze, która przyznaje wszystkie możliwości administratora aplikacji, z wyjątkiem tego, że nie udziela dostępu do ustawień serwer proxy aplikacji (ponieważ nie ma uprawnień lokalnych).

Delegowanie rejestracji aplikacji

Domyślnie wszyscy użytkownicy mogą tworzyć rejestracje aplikacji. Aby selektywnie przyznać możliwość tworzenia rejestracji aplikacji:

  • Ustaw opcję Użytkownicy mogą rejestrować aplikacje na Wartość Nie w ustawieniach użytkownika
  • Przypisywanie użytkownika do roli dewelopera aplikacji

Aby selektywnie udzielić zgody na zezwolenie aplikacji na dostęp do danych:

  • Ustaw opcję Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu Do nie w ustawieniach użytkownika w obszarze Aplikacje dla przedsiębiorstw
  • Przypisywanie użytkownika do roli dewelopera aplikacji

Gdy deweloper aplikacji utworzy nową rejestrację aplikacji, zostanie automatycznie dodany jako pierwszy właściciel.

Delegowanie własności aplikacji

W przypadku nawet bardziej szczegółowego delegowania dostępu do aplikacji można przypisać własność do poszczególnych aplikacji dla przedsiębiorstw. Ulepszysz istniejącą obsługę przypisywania właścicieli rejestracji aplikacji. Własność jest przypisywana dla poszczególnych aplikacji dla przedsiębiorstw na ekranie Aplikacje dla przedsiębiorstw. Korzyścią jest to, że właściciele mogą zarządzać tylko własnymi aplikacjami dla przedsiębiorstw. Można na przykład przypisać właściciela aplikacji Salesforce, a właściciel może zarządzać dostępem do usługi Salesforce i konfiguracją usługi Salesforce oraz nie ma innych aplikacji. Aplikacja dla przedsiębiorstw może mieć wielu właścicieli, a użytkownik może być właścicielem wielu aplikacji dla przedsiębiorstw. Istnieją dwie role właściciela aplikacji:

  • Rola Właściciel aplikacji dla przedsiębiorstw umożliwia zarządzanie aplikacjami dla przedsiębiorstw, które należą do użytkownika, w tym ustawieniami logowania jednokrotnego, przypisaniami użytkowników i grup oraz dodawaniem kolejnych właścicieli. Nie zapewnia możliwości zarządzania ustawieniami serwer proxy aplikacji ani dostępem warunkowym.
  • Rola Właściciel rejestracji aplikacji umożliwia zarządzanie rejestracjami aplikacji dla aplikacji, która jest właścicielem użytkownika, w tym manifestem aplikacji i dodawaniem innych właścicieli.

Opracowywanie planu zabezpieczeń

Microsoft Entra ID zawiera obszerny przewodnik planowania i wykonywania planu zabezpieczeń w rolach administratora firmy Microsoft Entra, Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze.

Ustanawianie kont awaryjnych

Aby zachować dostęp do magazynu zarządzania tożsamościami w przypadku wystąpienia problemu, przygotuj konta dostępu awaryjnego zgodnie z tworzeniem kont administracyjnych dostępu awaryjnego.

Zabezpieczanie ról administratora

Osoby atakujące, które uzyskują kontrolę nad uprzywilejowanymi kontami, mogą wyrządzić ogromne szkody. Zawsze należy najpierw chronić te konta. Użyj funkcji Wartości domyślne zabezpieczeń, która jest dostępna dla wszystkich organizacji firmy Microsoft Entra. Wartości domyślne zabezpieczeń wymuszają uwierzytelnianie wieloskładnikowe na uprzywilejowanych kontach Microsoft Entra.