Microsoft Entra ID 中受限管理的管理單位 (預覽)
重要
管理受限的管理單位目前為預覽。 請參閱產品條款,了解適用於 Azure 功能搶鮮版 (Beta)、預覽版,或尚未正式發行之版本的法律條款。
受限管理的管理單位可讓您防範租用戶中的特定物件,不受您指定之特定管理員集合以外的任何人修改。 這可讓您符合安全性或合規性需求,而且不需要從管理員移除租用戶層級角色指派。
為什麼使用受限管理的管理單位?
以下是您可能使用受限管理的管理單位協助在租用戶管理存取權的一些原因。
- 您要防範管理階層行政主管帳戶及其裝置,遭到技術支援中心管理員重設其密碼或存取 BitLocker 修復金鑰。 您可以在受限管理的管理單位新增管理階層使用者帳戶,並啟用一組特定的受信任管理員,讓他們必要時可重設其密碼並存取 BitLocker 修復金鑰。
- 您正在實作合規性控制項,以確保特定國家/地區的管理員只能管理特定資源。 您可以在受限管理的管理單位中新增這些資源,並指派本機管理員來管理這些物件。 即使全域管理員也無法修改物件,除非他們明確指派給範圍限制於受限管理的管理單位角色 (這是可稽核的事件)。
- 您使用安全性群組控制組織中敏感性應用程式的存取權,而且您不想讓可修改群組的租用戶範圍管理員,能夠控制誰可以存取應用程式。 您可以將這些安全性群組新增至受限管理的管理單位,然後確定只有您指派的特定管理員可以管理它們。
注意
將物件放在受限管理的管理單位,會嚴格限制誰可以變更物件。 這項限制可能導致現有的工作流程中斷。
哪些物件可以是成員?
以下是可以是受限管理的管理單位成員的物件。
| Microsoft Entra 物件類型 | 系統管理單位 | 已啟用受限管理的管理單位 |
|---|---|---|
| 使用者 | Yes | Yes |
| 裝置 | Yes | Yes |
| 群組 (安全性) | Yes | Yes |
| 群組 (Microsoft 365) | 是 | No |
| 群組 (啟用郵件的安全性) | 是 | No |
| 群組 (散發) | 是 | No |
哪些類型的作業遭到封鎖?
針對未在受限管理的管理單位範圍明確指派的管理員,直接修改受限管理的管理單位中物件之 Microsoft Entra 屬性的作業會遭到封鎖,而Microsoft 365 服務中相關物件的作業不會受到影響。
| 作業類型 | 已封鎖 | 允許 |
|---|---|---|
| 讀取標準屬性,例如使用者主體名稱、使用者相片 | ✅ | |
| 修改使用者、群組或裝置的任何 Microsoft Entra 屬性 | ❌ | |
| 刪除使用者、群組或裝置 | ❌ | |
| 更新使用者的密碼 | ❌ | |
| 在受限管理的管理單位中修改群組的擁有者或成員 | ❌ | |
| 在 Microsoft Entra ID 將受限管理的管理單位中的使用者、群組或裝置新增至群組 | ✅ | |
| 在 Exchange 修改受限管理的管理單位中使用者的電子郵件和信箱設定 | ✅ | |
| 使用 Intune 將原則套用至受限管理的管理單位中的裝置 | ✅ | |
| 在 SharePoint 中新增或移除群組作為網站擁有者 | ✅ |
誰可以修改物件?
只有在受限管理的管理單位範圍具有明確指派的管理員,才能變更受限管理的管理單位中物件的 Microsoft Entra 屬性。
| 使用者角色 | 已封鎖 | 允許 |
|---|---|---|
| 全域系統管理員 | ❌ | |
| 租用戶範圍的管理員 (包括全域管理員) | ❌ | |
| 在受限管理的管理單位範圍指派的管理員 | ✅ | |
| 在其物件是成員之另一個受限管理的管理單位範圍指派的管理員 | ✅ | |
| 在其物件是成員之另一個一般管理單位範圍指派的管理員 | ❌ | |
| 在資源範圍指派的群組管理員、使用者管理員和其他角色 | ❌ | |
| 新增至受限管理的管理單位之群組或裝置擁有者 | ❌ |
限制
以下是受限管理的管理單位的一些限制。
- 受限管理的設定必須在管理單位建立期間套用,而且管理單位建立之後就無法變更。
- 受限管理的管理單位中的群組無法使用 Microsoft Entra ID 控管功能管理,例如 Microsoft Entra Privileged Identity Management 或 Microsoft Entra 權利管理。
- 新增至受限管理的管理單位時,可指派角色的群組無法修改其成員資格。 群組擁有者不得管理受限管理的管理單位中的群組,而且只有全域管理員和特殊權限角色管理員 (兩者都無法在管理單位範圍指派) 可修改成員資格。
- 物件位於受限管理的管理單位時,如果必要角色不是可在管理單位範圍指派的角色之一,則可能無法執行某些動作。 例如,受限管理的管理單位中的全域管理員,無法由系統中的任何其他管理員重設其密碼,因為管理單位範圍內,沒有可指派的管理員角色可重設全域管理員密碼。 在這種情況下,必須先從受限管理的管理單位移除全域管理員,然後由另一個全域管理員或特殊權限角色管理員重設其密碼。
- 刪除受限管理的管理單位時,最長可能需要 30 分鐘的時間,才能移除先前成員的所有保護。
可程式性
根據預設,應用程式無法修改受限管理的管理單位中的物件。 若要授與應用程式存取權來管理受限管理的管理單位中的物件,您必須將 Microsoft Entra 角色指派給受限管理的管理單位範圍的應用程式。 如果您將 Microsoft Graph 應用程式權限指派給應用程式,則這些權限將不適用,因為它受到限制。
授權需求
受限管理的管理單位需要每個管理單位管理員的 Microsoft Entra ID P1 授權,以及管理單位成員的 Microsoft Entra ID 免費授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。