Unidades administrativas de administración restringida en Microsoft Entra ID (versión preliminar)
Importante
Las unidades administrativas de administración restringida se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte los Términos del producto para ver los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Las unidades administrativas de manejo restringido le permiten proteger objetos específicos en su inquilino para que no se puedan modificar por nadie que no sea un conjunto específico de administradores que usted designe. Esto le permite cumplir los requisitos de seguridad o cumplimiento sin tener que quitar las asignaciones de roles de nivel de inquilino de los administradores.
¿Por qué usar unidades administrativas de administración restringida?
Estos son algunos de los motivos por los que puede usar unidades administrativas de administración restringida para ayudar a administrar el acceso en el inquilino.
- Quiere proteger las cuentas ejecutivas de nivel C y sus dispositivos de los administradores del departamento de soporte técnico que, de lo contrario, podrían restablecer sus contraseñas o acceder a las claves de recuperación de BitLocker. Puede agregar las cuentas de usuario de nivel C en una unidad administrativa de administración restringida y habilitar un conjunto específico de administradores de confianza que pueda restablecer sus contraseñas y acceder a las claves de recuperación de BitLocker cuando sea necesario.
- Está implementando un control de cumplimiento para asegurarse de que determinados recursos solo los pueden administrar los administradores de un país específico. Puede agregar esos recursos en una unidad administrativa de administración restringida y asignar administradores locales para administrar esos objetos. Incluso los administradores globales no podrán modificar los objetos a menos que se asignen explícitamente a un rol con ámbito a la unidad administrativa de administración restringida (que es un evento auditable).
- Está usando grupos de seguridad para controlar el acceso a aplicaciones confidenciales de su organización y no quiere permitir que los administradores con ámbito de inquilino puedan modificar grupos para poder controlar quién puede acceder a las aplicaciones. Puede agregar esos grupos de seguridad a una unidad administrativa de administración restringida y, a continuación, asegurarse de que solo los administradores específicos que asigne pueden administrarlos.
Nota
La colocación de objetos en unidades administrativas de administración restringida restringe gravemente quién puede realizar cambios en los objetos. Esta restricción puede hacer que los flujos de trabajo existentes se interrumpan.
¿Qué objetos pueden ser miembros?
Estos son los objetos que pueden ser miembros de unidades administrativas de administración restringidas.
Tipo de objeto de Microsoft Entra | Unidad administrativa | Unidad administrativa con la configuración de administración restringida habilitada |
---|---|---|
Usuarios | Sí | Sí |
Dispositivos | Sí | Sí |
Grupos (seguridad) | Sí | Sí |
Grupos (Microsoft 365) | Sí | No |
Grupos (seguridad habilitada para correo electrónico) | Sí | No |
Grupos (distribución) | Sí | No |
¿Qué tipos de operaciones están bloqueadas?
Para los administradores no asignados explícitamente en el ámbito de la unidad administrativa de administración restringida, las operaciones que modifican directamente las propiedades de Microsoft Entra de los objetos en unidades administrativas de administración restringida se bloquean, mientras que las operaciones en objetos relacionados en los servicios de Microsoft 365 no se ven afectadas.
Tipo de operación | Bloqueado | Permitida |
---|---|---|
Leer las propiedades estándar, como el nombre principal de usuario, la foto del usuario | ✅ | |
Modificación de las propiedades de Microsoft Entra del usuario, grupo o dispositivo | ❌ | |
Eliminar el usuario, el grupo o el dispositivo | ❌ | |
Actualización de la contraseña de un usuario | ❌ | |
Modificar propietarios o miembros del grupo en la unidad administrativa de administración restringida | ❌ | |
Agregar usuarios, grupos o dispositivos en una unidad administrativa de administración restringida a grupos de Microsoft Entra ID | ✅ | |
Modificar la configuración de correo electrónico y buzón en Exchange para el usuario en la unidad administrativa de administración restringida | ✅ | |
Aplicar directivas a un dispositivo en una unidad administrativa de administración restringida mediante Intune | ✅ | |
Agregar o quitar un grupo como propietario del sitio en SharePoint | ✅ |
¿Quién puede modificar objetos?
Solo los administradores con una asignación explícita en el ámbito de una unidad administrativa de administración restringida pueden cambiar las propiedades de Microsoft Entra de los objetos de la unidad administrativa de administración restringida.
Rol de usuario | Bloqueado | Permitida |
---|---|---|
Administrador global | ❌ | |
Administradores con ámbito de inquilino (incluido el administrador global) | ❌ | |
Administradores asignados en el ámbito de la unidad administrativa de administración restringida | ✅ | |
Administradores asignados en el ámbito de otra unidad administrativa de administración restringida de la que el objeto es miembro | ✅ | |
Administradores asignados en el ámbito de otra unidad administrativa normal de la que el objeto es miembro | ❌ | |
Administrador de grupos, Administrador de usuarios y otro rol asignado en el ámbito de un recurso | ❌ | |
Propietarios de grupos o dispositivos agregados a unidades administrativas de administración restringidas | ❌ |
Limitaciones
Estos son algunos de los límites y restricciones de las unidades administrativas de administración restringida.
- La configuración de administración restringida se debe aplicar durante la creación de la unidad administrativa y no se puede cambiar una vez creada la unidad administrativa.
- Los grupos de una unidad administrativa de administración restringida no se pueden administrar con características de Gobierno de id. de Microsoft Entra como Administración de derechos de Microsoft Entra Privileged Identity Management o Microsoft Entra.
- Los grupos a los que se pueden asignar roles, cuando se agregan a una unidad administrativa de administración restringida, no pueden modificar su pertenencia. Los propietarios de grupos no pueden administrar grupos en unidades administrativas de administración restringida y solo los administradores globales y los administradores de roles con privilegios (ninguno de los cuales se puede asignar en el ámbito de la unidad administrativa) pueden modificar la pertenencia.
- Es posible que algunas acciones no sean posibles cuando un objeto se encuentra en una unidad administrativa de administración restringida, si el rol necesario no es uno de los roles que se pueden asignar en el ámbito de la unidad administrativa. Por ejemplo, un administrador global de una unidad administrativa de administración restringida no puede tener su contraseña restablecida por ningún otro administrador del sistema, ya que no hay ningún rol de administrador que se pueda asignar en el ámbito de la unidad administrativa que pueda restablecer la contraseña de un administrador global. En estos escenarios, el administrador global tendría que quitarse primero de la unidad administrativa de administración restringida y, a continuación, tener el restablecimiento de contraseña por otro administrador global o administrador de roles con privilegios.
- Al eliminar una unidad administrativa de administración restringida, puede tardar hasta 30 minutos en quitar todas las protecciones de los antiguos miembros.
Programación
Las aplicaciones no pueden modificar objetos en unidades administrativas de administración restringida de forma predeterminada. Para conceder a una aplicación acceso para administrar objetos en una unidad administrativa de administración restringida, debe asignar un rol de Microsoft Entra a la aplicación en el ámbito de la unidad administrativa de administración restringida. Si asigna permisos de aplicación de Microsoft Graph a la aplicación, esos permisos no se aplicarán porque están restringidos.
Requisitos de licencia
El uso de unidades administrativas de administración restringida requiere una licencia P1 de Microsoft Entra ID para cada administrador de unidad administrativa y licencias Gratis para los miembros de las unidades administrativas. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Gratis y Prémium.