Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Verwaltungseinheiten mit eingeschränkter Verwaltung befinden sich derzeit in der VORSCHAU. In den Produktbedingungen finden Sie die rechtlichen Bestimmungen, die für Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht für die allgemeine Verfügbarkeit freigegeben sind.
Mithilfe von Verwaltungseinheiten mit eingeschränkter Verwaltung können Sie bestimmte Objekte in Ihrem Mandanten vor einer Änderung durch andere Personen als einer bestimmten, von Ihnen festgelegten Gruppe von Administratoren schützen. Dadurch können Sie Sicherheits- oder Complianceanforderungen erfüllen, ohne Rollenzuweisungen auf Mandantenebene für Administratoren aufheben zu müssen.
Warum sollten Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden?
Im Folgenden finden Sie einige Gründe, warum Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden sollten, um den Zugriff in Ihrem Mandanten zu verwalten.
- Sie möchten die Benutzerkonten Ihrer Geschäftsführung und deren Geräte vor Helpdeskadministratoren schützen, die andernfalls ihre Kennwörter zurücksetzen oder auf BitLocker-Wiederherstellungsschlüssel zugreifen können. Sie können die Benutzerkonten Ihrer Geschäftsführung einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und eine bestimmte Gruppe vertrauenswürdiger Administratoren aktivieren, die ihre Kennwörter zurücksetzen und bei Bedarf auf BitLocker-Wiederherstellungsschlüssel zugreifen können.
- Sie implementieren ein Compliance-Steuerelement, um sicherzustellen, dass bestimmte Ressourcen nur von Administratoren in einem bestimmten Land/einer bestimmten Region verwaltet werden können. Sie können diese Ressourcen in einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und lokale Administratoren zuweisen, um diese Objekte zu verwalten. Auch globale Administratoren dürfen die Objekte nicht ändern, es sei denn, sie weisen sich selbst explizit einer Rolle zu, die der Verwaltungseinheit mit eingeschränkter Verwaltung zugeordnet ist (was ein überprüfbares Ereignis ist).
- Sie verwenden Sicherheitsgruppen, um den Zugriff auf vertrauliche Anwendungen in Ihrer Organisation zu steuern, und möchten nicht zulassen, dass mandantenbezogene Administratoren, die Gruppen ändern können, steuern können, wer auf die Anwendungen zugreifen kann. Sie können diese Sicherheitsgruppen einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und dann sicherstellen, dass sie nur von den spezifischen, von Ihnen zugewiesenen Administratoren verwaltet werden können.
Hinweis
Das Platzieren von Objekten in Verwaltungseinheiten mit eingeschränkter Verwaltung schränkt stark ein, wer Änderungen an den Objekten vornehmen kann. Diese Einschränkung kann dazu führen, dass vorhandene Workflows unterbrochen werden.
Welche Objekte können Mitglieder sein?
Hier sind die Objekte aufgeführt, die Mitglieder von Verwaltungseinheiten mit eingeschränkter Verwaltung sein können.
| Microsoft Entra-Objekttyp | Verwaltungseinheit | Verwaltungseinheit mit aktivierter Einstellung für die eingeschränkte Verwaltung |
|---|---|---|
| Benutzer | Ja | Ja |
| Geräte | Ja | Ja |
| Gruppen (Sicherheit) | Ja | Ja |
| Gruppen (Microsoft 365) | Ja | Nein |
| Gruppen (E-Mail-aktivierte Sicherheit) | Ja | Nein |
| Gruppen (Verteilung) | Ja | Nein |
Welche Arten von Vorgängen werden blockiert?
Für Administratoren, die nicht explizit im Bereich der Verwaltungseinheit mit eingeschränkter Verwaltung zugewiesen sind, werden Vorgänge blockiert, die die Microsoft Entra-Eigenschaften von Objekten in Verwaltungseinheiten mit eingeschränkter Verwaltung direkt ändern, während Vorgänge für verwandte Objekte in Microsoft 365-Diensten nicht betroffen sind.
| Vorgangsart | Blockiert | Zulässig |
|---|---|---|
| Lesen von Standardeigenschaften wie Benutzerprinzipalname, Benutzerfoto | ✅ | |
| Ändern von Microsoft Entra-Eigenschaften des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Löschen des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Aktualisieren des Kennworts für einen Benutzer | ❌ | |
| Ändern von Besitzern oder Mitgliedern der Gruppe in der Verwaltungseinheit mit eingeschränkter Verwaltung | ❌ | |
| Hinzufügen von Benutzern, Gruppen oder Geräten in einer Verwaltungsverwaltungseinheit mit eingeschränkter Verwaltung zu Gruppen in Microsoft Entra ID | ✅ | |
| Ändern der E-Mail- und Postfacheinstellungen in Exchange für den Benutzer in der Verwaltungseinheit mit eingeschränkter Verwaltung | ✅ | |
| Anwenden von Richtlinien auf ein Gerät in einer Verwaltungseinheit für die eingeschränkte Verwaltung mithilfe von Intune | ✅ | |
| Hinzufügen oder Entfernen einer Gruppe als Websitebesitzer in SharePoint | ✅ | |
| Lizenzen zuweisen und den Verwendungsort von Benutzern in einer Verwaltungseinheit mit eingeschränkter Verwaltung aktualisieren. | ✅ |
Wer kann Objekte ändern?
Nur Administratoren mit einer expliziten Zuweisung im Bereich einer Verwaltungseinheit für die eingeschränkte Verwaltung können die Microsoft Entra-Eigenschaften von Objekten in der Verwaltungseinheit für die eingeschränkte Verwaltung ändern.
| Benutzerrolle | Blockiert | Zulässig |
|---|---|---|
| Globaler Administrator | ❌ | |
| Mandantenbezogene Administratoren (einschließlich globaler Administrator) | ❌ | |
| Administratoren, die im Bereich der Verwaltungseinheit für die eingeschränkte Verwaltung zugewiesen sind | ✅ | |
| Administratoren, die im Bereich einer anderen Verwaltungseinheit für die eingeschränkte Verwaltung, der das Objekt angehört, zugewiesen sind | ✅ | |
| Administratoren, die im Bereich einer anderen regulären Verwaltungseinheit, der das Objekt angehört, zugewiesen sind | ❌ | |
| Gruppenadministrator, Benutzeradministrator und andere Rollen, die im Bereich einer Ressource zugewiesen werden | ❌ | |
| Besitzer von Gruppen oder Geräten, die zu Verwaltungseinheiten mit eingeschränkter Verwaltung hinzugefügt wurden | ❌ |
Einschränkungen
Für Verwaltungseinheiten mit eingeschränkter Verwaltung gelten die folgenden Grenzwerte und Einschränkungen.
- Die Einstellung für die eingeschränkte Verwaltung muss während der Erstellung einer Verwaltungseinheit angewendet werden und kann nach der Erstellung der Verwaltungseinheit nicht mehr geändert werden.
- Gruppen und Benutzer in einer eingeschränkten Verwaltungseinheit können nicht mit Microsoft Entra ID Governance-Features wie Privileged Identity Management, Berechtigungsverwaltung, Lebenszyklusworkflows und Zugriffsüberprüfungen verwaltet werden.
- Wenn eine Gruppe so konfiguriert ist, dass sie über eine öffentliche Mitgliedschaft verfügt (durch Festlegen der Sichtbarkeitseigenschaft auf
Public), können Benutzer der Gruppe mithilfe der Self-Service-Gruppenmitgliedschaft beitreten. Diese Konfiguration ist nicht die Standardeinstellung, und es wird nicht empfohlen, Gruppen in eingeschränkten Verwaltungseinheiten zu konfigurieren, um die öffentliche Mitgliedschaft zu ermöglichen. Dies ist eine temporäre Einschränkung und wird entfernt. - Die Mitgliedschaft von Gruppen, denen Rollen zugewiesen werden können, kann nicht geändert werden, wenn sie einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzugefügt werden. Gruppenbesitzer dürfen keine Gruppen in Verwaltungseinheiten mit eingeschränkter Verwaltung verwalten. Nur globale Administratoren und Administratoren mit privilegierten Rollen (die nicht im Bereich der Verwaltungseinheit zugewiesen werden können) können die Mitgliedschaft ändern.
- Bestimmte Aktionen sind unter Umständen nicht möglich, wenn sich ein Objekt in einer Verwaltungseinheit mit eingeschränkter Verwaltung befindet, wenn die erforderliche Rolle nicht zu den Rollen gehört, die im Bereich der Verwaltungseinheit zugewiesen werden können. Beispielsweise kann ein globaler Administrator in einer Verwaltungseinheit mit eingeschränkter Verwaltung sein Kennwort nicht von einem anderen Administrator im System zurücksetzen lassen, da es keine Administratorrolle gibt, die im Bereich der Verwaltungseinheit zugewiesen werden kann, die das Kennwort eines globalen Administrators zurücksetzen kann. In solchen Szenarien muss der globale Administrator zuerst aus der Verwaltungseinheit mit eingeschränkter Verwaltung entfernt werden und dann sein Kennwort von einem anderen globalen Administrator oder Administrator für privilegierte Rollen zurücksetzen lassen.
- Beim Löschen einer Verwaltungseinheit mit eingeschränkter Verwaltung kann es bis zu 30 Minuten dauern, bis alle Schutzmechanismen von den ehemaligen Mitgliedern entfernt worden sind.
Programmierbarkeit
Anwendungen können Objekte in Verwaltungseinheiten mit eingeschränkter Verwaltung standardmäßig nicht ändern. Um einer Anwendung Zugriff auf die Verwaltung von Objekten in einer eingeschränkten Verwaltungseinheit zu gewähren, müssen Sie der Anwendung eine Microsoft Entra-Rolle im Rahmen der Verwaltungseinheit „Eingeschränkte Verwaltung“ zuweisen. Wenn Sie der Anwendung Microsoft Graph-Anwendungsberechtigungen zuweisen, gelten diese Berechtigungen nicht, da sie eingeschränkt ist.
Lizenzanforderungen
Bei der Verwendung von Verwaltungseinheiten mit eingeschränkter Verwaltung ist für alle Admins einer Verwaltungseinheit eine Microsoft Entra ID Premium P1-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Microsoft Entra ID Free-Lizenzen. Sehen Sie sich den Vergleichen der allgemein verfügbaren Features der Free- und der Premium-Edition an, um die richtige Lizenz für Ihre Anforderungen zu ermitteln.