Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A szervezetek olyan erőforrásokkal rendelkeznek, amelyek szigorú biztonságot igényelnek, például a vezérigazgató felhasználói fiókját. Egy ügyfélszolgálati rendszergazda jelenleg potenciálisan hozzáférhet egy vezérigazgató fiókjához a jelszó alaphelyzetbe állításával, a bérlőszintű csoportok rendszergazdája pedig hozzáadhat felhasználókat a SharePointhoz pénzügyi adathozzáféréssel rendelkező biztonsági csoportokhoz.
A korlátozott felügyeleti egységek lehetővé teszik, hogy megvédje a bérlő bizonyos objektumait a módosítástól, amelyet az Ön által kijelölt személyeken kívül mások nem hajthatnak végre. Ez lehetővé teszi a biztonsági vagy megfelelőségi követelmények teljesítését anélkül, hogy el kellene távolítania a bérlőszintű szerepkör-hozzárendeléseket a rendszergazdáktól.
Miért érdemes korlátozott felügyeleti felügyeleti egységeket használni?
Az alábbiakban néhány okot talál arra, hogy miért érdemes korlátozott Felügyeleti Egységeket használni a bérlő hozzáférésének kezeléséhez.
A vezetői fiókok és eszközeik védelme
A C szintű vezetői fiókokat és eszközeiket olyan ügyfélszolgálati rendszergazdáktól szeretné védeni, akik egyébként alaphelyzetbe állíthatják a jelszavaikat, vagy hozzáférhetnek a BitLocker helyreállítási kulcsaihoz. C-szintű felhasználói fiókjait hozzáadhatja egy korlátozott felügyeleti felügyeleti egységhez, és engedélyezheti a rendszergazdák egy meghatározott megbízható csoportját, akik szükség esetén alaphelyzetbe állíthatják a jelszavaikat, és hozzáférhetnek a BitLocker helyreállítási kulcsaihoz.
Megfelelőség-vezérlés implementálása csak helyi rendszergazdák számára
Egy megfelelőségi ellenőrzést szeretne implementálni annak érdekében, hogy bizonyos erőforrásokat csak egy adott ország/régió rendszergazdái felügyelhessenek. Ezeket az erőforrásokat felveheti egy korlátozott felügyeleti felügyeleti egységbe, és hozzárendelheti a helyi rendszergazdákat az objektumok kezeléséhez. Még a globális rendszergazdák sem módosíthatják az objektumokat, hacsak nem rendelik magukat explicit módon egy olyan szerepkörhöz, amely hatókörrel rendelkezik a korlátozott felügyeleti egységhez (amely egy naplózható esemény).
Bizalmas biztonsági csoportok kezelésének korlátozása adott rendszergazdákra
Biztonsági csoportokkal szabályozhatja a szervezet bizalmas alkalmazásaihoz való hozzáférést, és nem szeretné engedélyezni, hogy a csoportokat módosító bérlői hatókörű rendszergazdák szabályozhassák, hogy kik férhetnek hozzá az alkalmazásokhoz. Ezeket a biztonsági csoportokat hozzáadhatja egy korlátozott felügyeleti felügyeleti egységhez, majd győződjön meg arról, hogy csak az ön által hozzárendelt rendszergazdák kezelhetik őket.
Példaforgatókönyv
Az alábbi ábrán egy példamutató vezető korlátozott igazgatási egység látható (a lila mezőben), olyan objektumokkal, amelyeket csak a vezetői támogatás módosíthat. A bérlői szintű rendszergazdák és a helyi rendszergazdák nem módosíthatják az objektumokat a vezetői felügyeleti egységben.
Feljegyzés
Az objektumok korlátozott felügyeleti felügyeleti egységben való elhelyezése szigorúan korlátozza, hogy ki módosíthatja az objektumokat. Ez a korlátozás a meglévő munkafolyamatok megszakadását okozhatja.
Milyen objektumok lehetnek tagok?
Az alábbi objektumok lehetnek korlátozott felügyeleti egységek tagjai.
| Microsoft Entra objektumtípus | Felügyeleti egység | Korlátozott irányítási adminisztratív egység |
|---|---|---|
| Felhasználók | Igen | Igen |
| Eszközök | Igen | Igen |
| Csoportok (biztonság) | Igen | Igen |
| Csoportok (Microsoft 365) | Igen | Nem |
| Csoportok (Levelezési szolgáltatással engedélyezett biztonság) | Igen | Nem |
| Csoportok (disztribúció) | Igen | Nem |
Milyen típusú műveletek vannak letiltva?
A korlátozott felügyeleti felügyeleti egység hatókörében explicit módon nem hozzárendelt rendszergazdák esetében a korlátozott felügyeleti egységek objektumainak Microsoft Entra-tulajdonságait közvetlenül módosító műveletek le lesznek tiltva, míg a Microsoft 365-szolgáltatások kapcsolódó objektumainak műveleteire nincs hatással.
| Művelettípus | Blokkolva | Engedélyezve |
|---|---|---|
| Szabványos tulajdonságok, például a felhasználói főazonosító és a felhasználói fénykép olvasása | ✅ | |
| A felhasználó, csoport vagy eszköz Microsoft Entra-tulajdonságainak módosítása | ❌ | |
| Felhasználó, csoport vagy eszköz törlése | ❌ | |
| Felhasználó jelszavának frissítése | ❌ | |
| A csoport tulajdonosainak vagy tagjainak módosítása a korlátozott felügyeleti egységben | ❌ | |
| Felhasználók, csoportok vagy eszközök hozzáadása egy korlátozott felügyeleti egységben lévő csoportokhoz a Microsoft Entra ID-ban. | ✅ | |
| E-mail- és postaláda-beállítások módosítása az Exchange-ben a felhasználó számára a korlátozott felügyeleti felügyeleti egységben | ✅ | |
| Szabályzatok alkalmazása korlátozott felügyeleti felügyeleti egységben lévő eszközökre az Intune használatával | ✅ | |
| Csoport hozzáadása vagy eltávolítása webhelytulajdonosként a SharePointban | ✅ | |
| Licencek hozzárendelése és a felhasználók használati helyének frissítése egy korlátozott felügyeleti felügyeleti egységben | ✅ |
Ki módosíthatja az objektumokat?
Csak a korlátozott felügyeleti felügyeleti egység hatókörében explicit hozzárendeléssel rendelkező rendszergazdák módosíthatják a Microsoft Entra objektumtulajdonságait a korlátozott felügyeleti felügyeleti egységben.
| That is not necessary since there are no changes to apply. | Hatókör | Blokkolva | Engedélyezve |
|---|---|---|---|
| Globális rendszergazda | Bérlő | ❌ | |
| Kiemelt szerepkörű rendszergazda | Bérlő | ❌ | |
| Csoportok rendszergazdája, felhasználói rendszergazda vagy más szerepkörök | Erőforrás | ❌ | |
| Korlátozott felügyeleti felügyeleti egységekhez hozzáadott csoportok vagy eszközök tulajdonosai | ❌ | ||
| Beépített vagy egyéni szerepkör | Bérlő | ❌ | |
| A felügyeleti egység hatókörével hozzárendelhető szerepkörök | Korlátozott irányítási adminisztratív egység | ✅ | |
| A felügyeleti egység hatókörével hozzárendelhető szerepkörök | Egy másik korlátozott felügyeleti felügyeleti egység, amelynek az objektum tagja | ✅ | |
| A felügyeleti egység hatókörével hozzárendelhető szerepkörök | Egy másik szokásos felügyeleti egység, amelynek az objektum tagja | ❌ |
Ha egy bérlői hatókörrel rendelkező rendszergazda korlátozott felügyeleti felügyeleti egységben próbál módosítani egy objektumot, az alábbihoz hasonló üzeneteket fog látni:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Ki kezelheti a korlátozott felügyeleti egységeket?
A bérlő hatókörében a következő szerepkörök nem módosíthatják a korlátozott felügyeleti felügyeleti egységek objektumait, de maguk kezelhetik a korlátozott felügyeleti felügyeleti egységeket.
| That is not necessary since there are no changes to apply. | Hatókör | Objektumok módosítása korlátozott felügyeleti egységekben | Korlátozott menedzsment adminisztratív egységek kezelése |
|---|---|---|---|
| Globális rendszergazda | Bérlő | Nem | Igen |
| Kiemelt szerepkörű rendszergazda | Bérlő | Nem | Igen |
Ez a felügyelet a következő feladatokat foglalja magában:
- Korlátozott felügyeleti felügyeleti egységek létrehozása vagy törlése
- Tagok hozzáadása vagy eltávolítása korlátozott kezelési adminisztratív egységekből
- Szerepkörök hozzárendelése vagy szerepkör-hozzárendelések eltávolítása korlátozott felügyeleti egység hatókörével
- Szerepkörök hozzárendelése saját magukhoz korlátozott hatókörű felügyeleti egységekkel
Ha egy korlátozott felügyeleti felügyeleti egység hatókörével rendelkező rendszergazda feladatokat módosít vagy elhagyja a szervezetet, a hozzáférés visszanyerése érdekében a globális rendszergazda vagy a kiemelt szerepkör-rendszergazda hozzárendelhet egy másik rendszergazdát vagy magukat a korlátozott felügyeleti felügyeleti egységhez.
Ellenőrzési naplók
A korlátozott felügyeleti egységek módosításainak nyomon követéséhez ezeket a tevékenységeket a Microsoft Entra naplók rögzítik.
| Tevékenység | Kategória | Részletek |
|---|---|---|
| Adminisztratív egység hozzáadása | Adminisztratív egység |
IsMemberManagementRestricted = igaz |
| Tag hozzáadása korlátozott felügyeleti felügyeleti egységhez | Adminisztratív egység | |
| Tag eltávolítása a korlátozott felügyeleti felügyeleti egységből | Adminisztratív egység | |
| Tag hozzáadása korlátozott felügyeleti felügyeleti egységen keresztül hatókörrel rendelkező szerepkörhöz | RoleManagement | |
| Tag eltávolítása a korlátozott felügyeleti felügyeleti egységen keresztül hatókörrel rendelkező szerepkörből | RoleManagement |
Korlátozások
Az alábbiakban a korlátozott felügyeleti egységekre vonatkozó korlátok és megszorítások találhatók.
- A korlátozott felügyeleti beállítást a felügyeleti egység létrehozásakor kell alkalmazni, és a felügyeleti egység létrehozása után nem módosítható.
- A korlátozott felügyeleti felügyeleti egységben lévő csoportok és felhasználók nem kezelhetők a Microsoft Entra ID Governance olyan funkcióival, mint a Privileged Identity Management, a Jogosultságkezelés, az Életciklus munkafolyamatok és az Access-felülvizsgálatok.
- Ha egy csoport nyilvános tagságra van konfigurálva (a láthatósági tulajdonság
Publicbeállításával), a felhasználók önkiszolgáló csoporttagság használatával csatlakozhatnak a csoporthoz. Ez a konfiguráció nem az alapértelmezett beállítás, és nem ajánlott korlátozott felügyeleti felügyeleti egységekben lévő csoportokat konfigurálni a nyilvános tagság engedélyezéséhez. Ez egy ideiglenes korlátozás, és el lesz távolítva. - A szerepkörhöz hozzárendelhető csoportok, ha korlátozott felügyeleti felügyeleti egységhez vannak hozzáadva, nem módosíthatják a tagságukat. A csoporttulajdonosok nem kezelhetik a csoportokat korlátozott felügyeleti egységekben, és csak a globális rendszergazdák és a kiemelt szerepkörök rendszergazdái módosíthatják a tagságot, egyikük sem jelölhető ki a felügyeleti egység hatókörében.
- Előfordulhat, hogy bizonyos műveletek nem lehetségesek, ha egy objektum korlátozott felügyeleti felügyeleti egységben van, ha a szükséges szerepkör nem tartozik a felügyeleti egység hatókörében hozzárendelhető szerepkörök közé. Egy korlátozott felügyeleti felügyeleti egység globális rendszergazdája például nem tudja a rendszer többi rendszergazdája által alaphelyzetbe állítani a jelszavát, mert nincs olyan rendszergazdai szerepkör, amely a felügyeleti egység hatókörében rendelhető hozzá, amely visszaállíthatja a globális rendszergazda jelszavát. Ilyen esetekben a globális rendszergazdát először el kell távolítani a korlátozott felügyeleti felügyeleti egységből, majd egy másik globális rendszergazda vagy kiemelt szerepkör-rendszergazda visszaállítaná a jelszót.
- Egy korlátozott felügyeleti felügyeleti egység törlése akár 30 percet is igénybe vehet, amíg eltávolítja az összes védelmet a korábbi tagoktól.
- Egy bérlőben legfeljebb 100 korlátozott felügyeleti felügyeleti egység lehet.
Programozhatóság
Az alkalmazások alapértelmezés szerint nem módosíthatják a korlátozott felügyeleti felügyeleti egységek objektumait. Ha hozzáférést szeretne adni az alkalmazásnak az objektumok korlátozott felügyeleti felügyeleti egységben való kezeléséhez, microsoft Entra-szerepkört kell hozzárendelnie az alkalmazáshoz a korlátozott felügyeleti felügyeleti egység hatókörében. Ha Microsoft Graph-alkalmazásengedélyeket rendel hozzá az alkalmazáshoz, ezek az engedélyek nem lesznek érvényesek, mert az korlátozott.
Licenckövetelmények
A korlátozott felügyeleti egységekhez minden rendszergazdához Microsoft Entra ID P1 licencre van szükség, míg a felügyeleti egységek tagjainak ingyenes Microsoft Entra ID licencre van szükségük. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.