Jednotky pro správu s omezeným přístupem v Microsoft Entra ID (Preview)
Důležité
Jednotky pro správu s omezeným přístupem jsou aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi Beta, Preview nebo které ještě nejsou vydány v obecné dostupnosti.
Omezené jednotky pro správu umožňují chránit konkrétní objekty ve vašem tenantovi před úpravami jinými uživateli než konkrétní sadou správců, které určíte. To vám umožní splnit požadavky na zabezpečení nebo dodržování předpisů bez nutnosti odebírat přiřazení rolí na úrovni tenanta od správců.
Proč používat omezené jednotky pro správu?
Tady je několik důvodů, proč můžete pomocí omezených jednotek pro správu pomoct spravovat přístup ve vašem tenantovi.
- Chcete chránit účty vedoucích pracovníků na úrovni C a jejich zařízení před helpdeskem Správa istrátory, kteří by jinak mohli resetovat svá hesla nebo získat přístup k obnovovacím klíčům BitLockeru. Uživatelské účty na úrovni C můžete přidat v jednotce pro správu s omezeným přístupem a povolit konkrétní důvěryhodnou sadu správců, kteří můžou resetovat hesla a přistupovat k obnovovacím klíčům BitLockeru v případě potřeby.
- Implementujete řízení dodržování předpisů, abyste zajistili, že určité prostředky můžou spravovat jenom správci v konkrétní zemi. Tyto prostředky můžete přidat v jednotce pro správu s omezeným přístupem a přiřadit místní správce ke správě těchto objektů. Dokonce i globální Správa istrátory nebudou moct upravovat objekty, pokud se nepřiřazují explicitně k roli vymezené jednotce pro správu s omezeným přístupem (což je auditovatelná událost).
- Skupiny zabezpečení používáte k řízení přístupu k citlivým aplikacím ve vaší organizaci a nechcete povolit správcům s vymezeným tenantem, kteří můžou upravovat skupiny, aby mohli řídit, kdo má k aplikacím přístup. Tyto skupiny zabezpečení můžete přidat do omezené jednotky pro správu a pak se ujistit, že je můžou spravovat jenom konkrétní správci, které přiřadíte.
Poznámka:
Umístění objektů do jednotek správy s omezeným přístupem výrazně omezuje, kdo může provádět změny objektů. Toto omezení může způsobit přerušení existujících pracovních postupů.
Jaké objekty můžou být členy?
Tady jsou objekty, které mohou být členy omezených jednotek pro správu.
| Typ objektu Microsoft Entra | Jednotka pro správu | Správa istrativní jednotka s povoleným nastavením omezené správy |
|---|---|---|
| Uživatelé | Ano | Yes |
| Zařízení | Ano | Yes |
| Skupiny (zabezpečení) | Ano | Yes |
| Skupiny (Microsoft 365) | Yes | No |
| Skupiny (zabezpečení s povolenou poštou) | Yes | No |
| Skupiny (distribuce) | Yes | No |
Jaké typy operací jsou blokované?
U správců, kteří nejsou explicitně přiřazeni v oboru jednotek správy s omezeným přístupem, jsou operace, které přímo upravují vlastnosti microsoft Entra objektů v jednotkách správy s omezeným přístupem blokované, zatímco operace související objekty ve službách Microsoftu 365 nejsou ovlivněny.
| Typ operace | Blokované | Povoleno |
|---|---|---|
| Čtení standardních vlastností, jako je hlavní název uživatele, fotka uživatele | ✅ | |
| Úprava vlastností Microsoft Entra uživatele, skupiny nebo zařízení | ❌ | |
| Odstranění uživatele, skupiny nebo zařízení | ❌ | |
| Aktualizace hesla pro uživatele | ❌ | |
| Úprava vlastníků nebočlenůch | ❌ | |
| Přidání uživatelů, skupin nebo zařízení v jednotce pro správu s omezeným přístupem do skupin v Microsoft Entra ID | ✅ | |
| Úprava nastavení e-mailu a poštovní schránky v Exchangi pro uživatele v jednotce pro správu s omezeným přístupem | ✅ | |
| Použití zásad na zařízení v jednotce pro správu s omezeným přístupem pomocí Intune | ✅ | |
| Přidání nebo odebrání skupiny jako vlastníka webu v SharePointu | ✅ |
Kdo může upravovat objekty?
Pouze správci s explicitním přiřazením v oboru omezené jednotky pro správu mohou změnit vlastnosti Microsoft Entra objektů v jednotce pro správu s omezeným přístupem.
| Role uživatele | Blokované | Povoleno |
|---|---|---|
| Globální správce | ❌ | |
| Správci s vymezeným tenantem (včetně globálních Správa istratorů) | ❌ | |
| Správa istrátory přiřazené v rozsahu jednotky pro správu s omezeným přístupem | ✅ | |
| Správa istrátory přiřazené v oboru jiné jednotky správy s omezeným přístupem, jehož je objekt členem | ✅ | |
| Správa istrátory přiřazené v rozsahu jiné pravidelné správní jednotky, jejímž členem je objekt | ❌ | |
| Skupiny Správa istrator, User Správa istrator a další role přiřazené v oboru prostředku | ❌ | |
| Vlastníci skupin nebo zařízení přidaní do omezených jednotek pro správu | ❌ |
Omezení
Tady jsou některé limity a omezení pro omezené jednotky správy.
- Nastavení omezené správy se musí použít při vytváření jednotek pro správu a po vytvoření jednotky pro správu se nedá změnit.
- Skupiny v jednotce pro správu s omezeným přístupem se nedají spravovat pomocí funkcí zásad správného řízení Microsoft Entra ID, jako je Microsoft Entra Privileged Identity Management nebo Správa nároků Microsoft Entra.
- Při přidání do omezené jednotky pro správu nemůžou mít přiřazené role žádné skupiny. Vlastníci skupin nemůžou spravovat skupiny v omezených jednotkách pro správu a upravovat členství můžou jenom globální Správa istrátory a Správa istrátory privilegovaných rolí (ani jeden z nich nelze přiřadit v oboru jednotek pro správu).
- Některé akce nemusí být možné, pokud je objekt v jednotce pro správu s omezeným přístupem, pokud požadovaná role není jednou z rolí, které je možné přiřadit v oboru jednotky správy. Například globální Správa istrator v jednotce pro správu s omezeným přístupem nemůže mít resetování hesla žádným jiným správcem v systému, protože v oboru jednotky pro správu není možné přiřadit žádnou roli správce, která může resetovat heslo globálního Správa istratoru. V takových scénářích bude potřeba nejprve odebrat globální Správa istrator z jednotky pro správu s omezeným přístupem a potom resetovat heslo jiným globálním Správa istratorem nebo privilegovanou rolí Správa istrator.
- Když odstraníte omezenou jednotku pro správu správy, může trvat až 30 minut, než se odeberou všechny ochrany od bývalých členů.
Programovatelnost
Aplikace ve výchozím nastavení nemůžou upravovat objekty v jednotkách správy s omezeným přístupem. Pokud chcete aplikaci udělit přístup ke správě objektů v jednotce pro správu s omezeným přístupem, musíte přiřadit oprávnění Directory.Write.Restrictedv Microsoft Graphu.
Požadavky na licenci
Omezené jednotky pro správu vyžadují licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu a licence Microsoft Entra ID Free pro členy jednotek pro správu. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.