Административные единицы с ограниченным управлением в Microsoft Entra ID (предварительная версия)
Внимание
Административные единицы ограниченного управления в настоящее время доступны в предварительной версии. Ознакомьтесь с условиями условий продукта для юридических условий, применимых к функциям, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Ограниченные административные единицы управления позволяют защитить определенные объекты в арендаторе от изменения любым пользователем, кроме определенного набора администраторов, которых вы назначаете. Это позволяет соответствовать требованиям безопасности или соответствия требованиям, не удаляя назначения ролей на уровне клиента от администраторов.
Зачем использовать административные единицы управления с ограниченным доступом?
Вот некоторые причины, по которым можно использовать ограниченные административные единицы для управления доступом в вашем клиенте.
- Вы хотите защитить учетные записи руководителей уровня C и их устройства от администраторов службы технической поддержки, которые в противном случае смогут сбросить пароли или получить доступ к ключам восстановления BitLocker. Вы можете добавить учетные записи пользователей уровня C в административное подразделение с ограниченным доступом и включить определенный доверенный набор администраторов, которые могут сбрасывать пароли и получать доступ к ключам восстановления BitLocker при необходимости.
- Вы реализуете контроль соответствия требованиям, чтобы гарантировать, что определенные ресурсы могут управляться только администраторами в определенной стране или регионе. Вы можете добавить эти ресурсы в административную единицу с ограничениями управления и назначить локальных администраторов для управления данными объектами. Даже глобальным администраторам не разрешается изменять объекты, если они только явно не назначат себя на роль, охватывающую ограниченную административную единицу управления (что является событием, подлежащим аудиту).
- Группы безопасности используются для управления доступом к конфиденциальным приложениям в вашей организации, и вы не хотите разрешить администраторам, имеющим полномочия на уровне клиента, которые могут изменять группы, контролировать, кто может получать доступ к приложениям. Эти группы безопасности можно добавить в административную единицу управления с ограниченным доступом, а затем убедиться, что им могут управлять только определенные администраторы.
Примечание.
Размещение объектов в административных единицах управления с ограниченным доступом значительно ограничивает возможность внесения изменений в объекты. Это ограничение может привести к разрыву существующих рабочих процессов.
Какие объекты могут быть членами?
Ниже приведены объекты, которые могут быть членами ограниченных административных единиц управления.
| Тип объекта Microsoft Entra | Административная единица | Административная единица с включенным параметром ограниченного управления |
|---|---|---|
| Пользователи | Да | Да |
| Устройства | Да | Да |
| Группы (безопасность) | Да | Да |
| Группы (Microsoft 365) | Да | Нет |
| Группы безопасности с поддержкой электронной почты | Да | Нет |
| Группы (распределение) | Да | Нет |
Какие типы операций блокируются?
Для администраторов, которые не назначены явно в пределах области административного подразделения ограниченного управления, операции, которые напрямую изменяют свойства объектов Microsoft Entra в этих подразделениях, блокируются, в то время как операции с связанными объектами в службах Microsoft 365 не затрагиваются.
| Тип операции | Заблокировано | Допустимо |
|---|---|---|
| Чтение стандартных свойств, таких как основное имя пользователя, фотография пользователя | ✅ | |
| Изменение любых свойств Microsoft Entra пользователя, группы или устройства | ❌ | |
| Удаление пользователя, группы или устройства | ❌ | |
| Обновление пароля для пользователя | ❌ | |
| Измените владельцев или участников группы в административной единице с ограниченными полномочиями управления. | ❌ | |
| Добавьте пользователей, группы или устройства в административное подразделение с ограниченным доступом к группам в Microsoft Entra ID | ✅ | |
| Изменение параметров электронной почты и почтовых ящиков в Exchange для пользователя в административной единице с ограниченным доступом | ✅ | |
| Применяйте политики к устройству в административной единице с ограниченным управлением с использованием Intune. | ✅ | |
| Добавление или удаление группы в качестве владельца сайта в SharePoint | ✅ |
Кто может изменять объекты?
Только администраторы с явным назначением в области административной единицы ограниченного управления могут изменять свойства объектов Microsoft Entra в административной единице ограниченного управления.
| роль пользователя. | Заблокировано | Допустимо |
|---|---|---|
| Глобальный администратор | ❌ | |
| Администраторы с областью действия арендатора (включая глобального администратора) | ❌ | |
| Администраторы, назначенные в рамках ограниченного управления административным подразделением | ✅ | |
| Администраторы, назначенные в рамках другого административного подразделения с ограниченным доступом, членом которого является объект | ✅ | |
| Администраторы, назначенные в рамках другой стандартной административной единицы, членом которой является объект | ❌ | |
| Администратор групп, администратор пользователей и другая роль, назначенная в области ресурса | ❌ | |
| Владельцы групп или устройств, добавленных в административные единицы управления с ограниченным доступом | ❌ |
Ограничения
Ниже приведены некоторые ограничения и ограничения для административных единиц управления с ограниченным доступом.
- Параметр ограниченного управления должен применяться во время создания административной единицы и не может быть изменен после создания административной единицы.
- Группами в административной единице с ограниченными возможностями управления нельзя управлять с помощью функций управления Microsoft Entra ID, таких как Microsoft Entra Управление привилегированными идентификациями или управление правами Microsoft Entra.
- Группы с назначаемыми ролями при добавлении в административную единицу с ограниченным доступом к управлению не могут иметь изменённым свой состав. Владельцы групп не могут управлять группами в административных единицах с ограниченным управлением, а членство могут изменять только глобальные администраторы и администраторы привилегированных ролей (ни один из которых не может быть назначен в рамках административной единицы).
- Некоторые действия могут быть недоступны, если объект находится в ограниченной административной единице управления, если требуемая роль не является одной из ролей, которые могут быть назначены в области администрирования. Например, глобальный администратор в административной единице с ограниченным доступом не может сбрасывать пароль любым другим администратором в системе, так как в области администрирования не может быть назначена роль администратора, которая может сбросить пароль глобального администратора. В таких случаях сначала глобальный администратор должен быть удален из административной единицы ограниченного управления, а после этого их пароль должен быть сброшен другим глобальным администратором или администратором привилегированных ролей.
- При удалении ограниченной административной единицы управления может потребоваться до 30 минут, чтобы удалить все защиты от бывших участников.
Программируемость
Приложения по умолчанию не могут изменять объекты в ограниченных административных единицах управления. Чтобы предоставить приложению доступ к объектам в административной единице ограниченного управления, необходимо назначить роль Microsoft Entra приложению в области административной единицы управления с ограниченным доступом. Если вы назначаете приложениям Microsoft Graph разрешения, эти разрешения не будут применяться, так как они ограничены.
Требования к лицензиям
Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.