Delen via


Beheereenheden met beperkte beheerrechten in Microsoft Entra-id (preview)

Belangrijk

Beheereenheden met beperkte beheerrechten bevinden zich momenteel in PREVIEW. Zie de productvoorwaarden voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Met beperkte beheereenheden kunt u specifieke objecten in uw tenant beschermen tegen wijzigingen door anderen dan een specifieke set beheerders die u aanwijst. Hierdoor kunt u voldoen aan de beveiligings- of nalevingsvereisten zonder dat u roltoewijzingen op tenantniveau van uw beheerders hoeft te verwijderen.

Waarom beheereenheden met beperkte beheerrechten gebruiken?

Hier volgen enkele redenen waarom u beheereenheden voor beperkt beheer kunt gebruiken om de toegang in uw tenant te beheren.

  • U wilt uw managementaccounts op C-niveau en hun apparaten beveiligen tegen helpdeskbeheerders die anders hun wachtwoorden opnieuw kunnen instellen of toegang kunnen krijgen tot BitLocker-herstelsleutels. U kunt uw gebruikersaccounts op C-niveau toevoegen in een beheereenheid met beperkte beheerrechten en een specifieke vertrouwde set beheerders inschakelen die hun wachtwoorden opnieuw kunnen instellen en waar nodig toegang kunnen krijgen tot BitLocker-herstelsleutels.
  • U implementeert een nalevingsbeheer om ervoor te zorgen dat bepaalde resources alleen kunnen worden beheerd door beheerders in een specifiek land. U kunt deze resources toevoegen in een beheereenheid voor beperkt beheer en lokale beheerders toewijzen om deze objecten te beheren. Zelfs globale beheerders mogen de objecten niet wijzigen, tenzij ze zichzelf expliciet toewijzen aan een rol die is gericht op de beheereenheid met beperkte beheerrechten (een controleerbare gebeurtenis).
  • U gebruikt beveiligingsgroepen om de toegang tot gevoelige toepassingen in uw organisatie te beheren en u wilt uw tenantbeheerders die groepen kunnen wijzigen niet toestaan om te bepalen wie toegang heeft tot de toepassingen. U kunt deze beveiligingsgroepen toevoegen aan een beheereenheid voor beperkt beheer en er vervolgens voor zorgen dat alleen de specifieke beheerders die u toewijst, deze kunnen beheren.

Notitie

Als u objecten in beheereenheden met beperkte beheereenheden plaatst, beperkt u ernstig wie wijzigingen in de objecten kan aanbrengen. Deze beperking kan ertoe leiden dat bestaande werkstromen worden verbroken.

Welke objecten kunnen leden zijn?

Hier volgen de objecten die lid kunnen zijn van beheereenheden met beperkte beheerrechten.

Microsoft Entra-objecttype Beheereenheid Beheereenheid waarvoor beperkte beheerinstelling is ingeschakeld
Gebruikers Ja Ja
Apparaten Ja Ja
Groepen (beveiliging) Ja Ja
Groepen (Microsoft 365) Ja Nr.
Groepen (beveiliging met e-mail) Ja Nr.
Groepen (distributie) Ja Nr.

Welke typen bewerkingen worden geblokkeerd?

Voor beheerders die niet expliciet zijn toegewezen aan het bereik van beperkte beheereenheden, worden bewerkingen die de Eigenschappen van Microsoft Entra van objecten in beperkte beheereenheden rechtstreeks wijzigen, geblokkeerd, terwijl bewerkingen op gerelateerde objecten in Microsoft 365-services niet worden beïnvloed.

Het type bewerking Geblokkeerd Toegestaan
Standaardeigenschappen lezen, zoals user principal name, user photo
Microsoft Entra-eigenschappen van de gebruiker, groep of apparaat wijzigen
De gebruiker, groep of apparaat verwijderen
Wachtwoord voor een gebruiker bijwerken
Eigenaren of leden van de groep wijzigen in de beheereenheid met beperkte beheerrechten
Gebruikers, groepen of apparaten toevoegen in een beheereenheid met beperkte beheerrechten aan groepen in Microsoft Entra-id
E-mail- en postvakinstellingen wijzigen in Exchange voor de gebruiker in de beheereenheid voor beperkt beheer
Beleid toepassen op een apparaat in een beheereenheid met beperkt beheer met Intune
Een groep toevoegen of verwijderen als site-eigenaar in SharePoint

Wie kan objecten wijzigen?

Alleen beheerders met een expliciete toewijzing binnen het bereik van een beheereenheid voor beperkt beheer kunnen de Eigenschappen van Microsoft Entra van objecten in de beheereenheid voor beperkt beheer wijzigen.

Gebruikersrol Geblokkeerd Toegestaan
Globale beheerder
Tenantbeheerders (inclusief globale beheerder)
Beheerders die zijn toegewezen aan het bereik van een beheereenheid met beperkte beheerrechten
Beheerders toegewezen aan het bereik van een andere beheereenheid met beperkte toegang waarvan het object lid is
Beheerders toegewezen aan het bereik van een andere reguliere beheereenheid waarvan het object lid is
Groepsbeheerder, gebruikersbeheerder en andere rol toegewezen aan het bereik van een resource
Eigenaren van groepen of apparaten die zijn toegevoegd aan beheereenheden met beperkte beheerrechten

Beperkingen

Hier volgen enkele van de limieten en beperkingen voor beheereenheden met beperkte beheerrechten.

  • De instelling voor beperkt beheer moet worden toegepast tijdens het maken van een beheereenheid en kan niet worden gewijzigd nadat de beheereenheid is gemaakt.
  • Groepen in een beheereenheid met beperkte toegang kunnen niet worden beheerd met Microsoft Entra ID-governance functies zoals Microsoft Entra Privileged Identity Management of Microsoft Entra-rechtenbeheer.
  • Roltoewijzingsgroepen kunnen, wanneer ze worden toegevoegd aan een beheereenheid met beperkte beheerrechten, hun lidmaatschap niet wijzigen. Groepseigenaren mogen geen groepen beheren in beheereenheden met beperkte beheerrechten en alleen globale beheerders en beheerders met bevoorrechte rollen (die geen van beide kunnen worden toegewezen voor het bereik van beheereenheden) kunnen het lidmaatschap wijzigen.
  • Bepaalde acties zijn mogelijk niet mogelijk wanneer een object zich in een beheereenheid met beperkt beheer bevindt, als de vereiste rol niet een van de rollen is die kunnen worden toegewezen op het bereik van de beheereenheid. Een globale beheerder in een beheereenheid met beperkte toegang kan bijvoorbeeld geen wachtwoord opnieuw instellen door een andere beheerder in het systeem, omdat er geen beheerdersrol is die kan worden toegewezen aan het bereik van de beheereenheid waarmee het wachtwoord van een globale beheerder opnieuw kan worden ingesteld. In dergelijke scenario's moet de globale beheerder eerst worden verwijderd uit de beheereenheid met beperkte beheerrechten en vervolgens hun wachtwoord opnieuw instellen door een andere globale beheerder of bevoorrechte rolbeheerder.
  • Bij het verwijderen van een beheereenheid met beperkte beheerrechten kan het tot 30 minuten duren voordat alle beveiligingen van de voormalige leden worden verwijderd.

Programmeerbaarheid

Toepassingen kunnen standaard geen objecten in beheereenheden voor beperkt beheer wijzigen. Als u een toepassing toegang wilt verlenen tot het beheren van objecten in een beheereenheid met beperkte beheerrechten, moet u een Microsoft Entra-rol toewijzen aan de toepassing binnen het bereik van de beheereenheid voor beperkt beheer. Als u Microsoft Graph-toepassingsmachtigingen toewijst aan de toepassing, zijn deze machtigingen niet van toepassing omdat deze zijn beperkt.

Licentievereisten

Voor beheereenheden met beperkte beheereenheden is een Microsoft Entra ID P1-licentie vereist voor elke beheerder van beheereenheden en gratis licenties voor microsoft-entra-id's voor leden van de beheereenheid. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.

Volgende stappen