使用管理单元配置委派

  • 7 分钟

管理单元是 Microsoft Entra ID 资源,可以是其他 Microsoft Entra 资源的容器。 管理单元只能包含用户、组和设备。

管理单元将角色中的权限限制为你定义的组织的任何部分。 例如,可以使用管理单元将帮助台管理员角色委派给区域支持专家,以便他们仅管理其支持的区域中的用户。 可使用 Azure 门户、PowerShell cmdlet 和脚本或 Microsoft Graph 对管理单元进行管理。

什么是管理单元?

在 Microsoft Entra ID 中使用单个租户时,如果向用户分配任何管理员角色,那么他们现在是租户中每个用户的管理员。 始终考虑最小特权的安全原则,它始终是授予管理责任的最佳方式。 管理单元是为在 Microsoft Entra ID 中解决此难题而创建的容器。 如果希望用户管理员只能管理一组特定的用户和组。 例如只管理医院科研部的用户。 可以设置管理单元。 在该管理单元中,你会为研究团队添加用户和组,然后将特定用户添加到该管理单元中的用户管理员角色,将他们称为“研究管理员”。 研究管理员能够管理该管理单元中的用户,但不能管理整个租户中的用户,这有助于实现最小特权原则。

哪些管理员角色可用于管理单元?

你可以让具有以下角色的用户对管理单元进行管理:

  • 身份验证管理员
  • 组管理员
  • 支持管理员
  • 许可证管理员
  • 密码管理员
  • 用户管理员

注意

如果你熟悉本地 Active Directory,则通过在目录中设置组织单位 (OU) 并将用户添加到 OU 来处理此功能。

规划管理单元

可使用管理单元对 Microsoft Entra 资源进行逻辑分组。 IT 部门分散在世界各地的组织可能会创建定义相关地理边界的管理单元。 在另一种情况下,如果一个全球化组织的次级组织采用半自治运营模式,那么管理单元就可代表次级组织。

创建管理单元的条件将遵循组织的独特要求。 管理单元是跨 Microsoft 365 服务定义结构的常用方法。 建议你在准备管理单元时考虑它们在各项 Microsoft 365 服务中的使用。 如果可以在管理单元下跨 Microsoft 365 关联共有资源,则可以通过管理单元获取最大价值。

组织中管理单元的创建会经历以下阶段:

  1. 初始采用:组织将开始基于初始条件创建管理单元,并且随着条件的优化,管理单元的数量将增加。
  2. 删除:在定义条件后,不再需要的管理单元将被删除。
  3. 稳定化:定义组织结构之后,管理单元的数量在短期内不会发生显著变化。

在 Microsoft Entra ID 中委托管理权限

组织的发展伴随着复杂性的增加。 常见的响应措施是减少使用 Microsoft Entra 管理员角色进行访问管理时的工作负载。 可向用户分配让他们访问应用和执行任务所需的最低可能的特权。 你可以不将“全局管理员”角色分配给每个应用程序所有者,但这样会将应用程序管理责任施加给现有的全局管理员。 有多种原因导致组织改用更离散式的管理。

在 Microsoft Entra ID 中,可以通过以下方式委托应用程序创建和管理权限:

  • 限制谁可以创建应用程序和管理他们创建的应用程序。 默认情况下,Microsoft Entra ID 中的所有用户都可以注册应用程序,并全方面地管理他们创建的应用程序。 可以限制为只允许选定的人获得该权限。
  • 将一个或多个所有者分配到应用程序。 这是向用户授权以管理特定应用程序中 Microsoft Entra ID 配置的各个方面的简单方法。
  • 分配内置管理角色,以授予管理 Microsoft Entra ID 中所有应用程序的配置的访问权限。 建议使用此方法授权 IT 专家管理众多应用程序配置权限,而无需授权管理与应用程序配置无关的 Microsoft Entra ID 的其他部分。
  • 创建自定义角色以定义特定权限。 然后将角色分配给用户,从而分配受限所有者。 或者,可以在目录范围(所有应用程序)分配为受限管理员。

授予访问权限时,请使用上述方法之一,原因有两个。 首先,委托执行管理任务的权限可以减少全局管理员开销。 其次,使用受限权限可以改善安全态势,并减少未经授权访问的可能性。

计划委派

用于开发符合需求的委托模型。 开发委托模型是一个迭代式设计过程,我们建议遵照以下步骤:

  • 定义所需的角色
  • 委托应用管理权限
  • 授予注册应用程序的能力
  • 委托应用所有权
  • 制定安全计划
  • 建立紧急帐户
  • 保护管理员角色
  • 将特权提升指定为暂时性的措施

定义角色

确定由管理员执行的 Active Directory 任务以及将它们映射到角色的方式。 应该评估每个任务的频率、重要性和难度。 这些标准是任务定义至关重要的方面,因为它们决定了是否要委托某个权限:

  • 日常执行的、风险有限的和容易完成的任务非常适合委托权限。
  • 在委托权限之前,应仔细考虑如下任务:你很少执行但在整个组织中具有潜在风险且需要高技能水平的任务。 可以暂时将某个帐户提升到所需的角色,或重新分配任务。

委托应用管理权限

组织中应用的激增可能会给委托模型带来压力。 如果将应用程序访问管理的负担放在全局管理员身上,则随着时间的推移,该模型的开销可能会增大。 如果向某人授予了“全局管理员”角色,让其执行配置企业应用程序等任务,则现在可将管理负担转移到其后面的特权更低的角色。 这样做有助于改善安全局势,并减少低级失误的可能性。 特权最高的应用程序管理员角色包括:

  • “应用程序管理员”角色:授予管理目录中所有应用程序的能力,包括注册、单一登录设置、用户和组分配与授权、应用程序代理设置,以及许可。 它不能授予管理条件访问的能力。
  • “云应用程序管理员”角色:授予“应用程序管理员”的所有能力,但不能授予应用程序代理设置的访问权限(因为该角色没有本地权限)

委托应用注册

默认情况下,所有用户都可以创建应用程序注册。 若要有选择地授予创建应用程序注册的能力,请执行以下操作:

  • 在“用户设置”中,将“用户可以注册应用程序”更改为“否”
  • 将用户分配到应用程序开发人员角色

若要有选择地授予允许应用程序访问数据的能力,请执行以下操作:

  • 在企业应用的“用户设置”中将“用户可以同意应用程序代表他们访问公司数据”设置为“否”
  • 将用户分配到应用程序开发人员角色

当应用程序开发人员创建新的应用程序注册时,他们会自动添加为第一个所有者。

委托应用所有权

若要进行更精细的应用访问权限委托,可将所有权分配到单个企业应用程序。 你改进了对分配应用程序注册所有者的现有支持。 所有权在“企业应用程序”屏幕中根据每个企业应用程序进行分配。 优点是所有者只能管理他们拥有的企业应用程序。 例如,可以分配 Salesforce 应用程序的所有者,该所有者可以管理 Salesforce 的访问权限和配置,但不能管理其他任何应用程序的访问权限和配置。 一个企业应用程序可以有多个所有者,一个用户可以是许多企业应用程序的所有者。 有两种应用所有者角色:

  • “企业应用程序所有者”角色授予管理用户拥有的企业应用程序的能力,包括单一登录设置、用户和组分配,以及添加更多所有者。 它不授予管理应用程序代理设置或条件访问的权限。
  • “应用程序注册所有者”角色授予管理用户拥有的应用的应用程序注册的能力,包括应用程序清单和添加其他所有者

制定安全计划

Microsoft Entra ID 提供了一篇综合性的指南来帮助你计划和执行针对 Microsoft Entra 管理员角色的安全计划:保护混合部署和云部署的特权访问

建立紧急帐户

若要在出现问题时保持对标识管理存储的访问权限,请按照创建紧急访问管理帐户中的说明准备紧急访问帐户。

保护管理员角色

获得特权帐户控制权的攻击者可以造成巨大的破坏。 请始终首先保护这些帐户。 使用可供所有 Microsoft Entra 组织使用的“安全默认值”功能。 安全默认值功能强制对特权 Microsoft Entra 帐户实施多重身份验证。