Udostępnij za pośrednictwem


Jednostki administracyjne zarządzania z ograniczeniami w usłudze Microsoft Entra ID (wersja zapoznawcza)

Ważne

Ograniczone jednostki administracyjne zarządzania są obecnie w wersji zapoznawczej. Zapoznaj się z postanowieniami prawnymi dotyczącymi produktów, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze wydane w wersji ogólnodostępnej.

Ograniczone jednostki administracyjne zarządzania umożliwiają ochronę określonych obiektów w dzierżawie przed modyfikacją przez każdego innego niż określony zestaw wyznaczonych administratorów. Pozwala to spełnić wymagania dotyczące zabezpieczeń lub zgodności bez konieczności usuwania przypisań ról na poziomie dzierżawy z administratorów.

Dlaczego warto używać ograniczonych jednostek administracyjnych zarządzania?

Oto kilka powodów, dla których można używać ograniczonych jednostek administracyjnych do zarządzania dostępem w dzierżawie.

  • Chcesz chronić konta kadry kierowniczej na poziomie C i ich urządzenia od administratorów pomocy technicznej, którzy w przeciwnym razie będą mogli zresetować swoje hasła lub uzyskać dostęp do kluczy odzyskiwania funkcji BitLocker. Możesz dodać konta użytkowników na poziomie C w jednostce administracyjnej z ograniczeniami zarządzania i włączyć określony zaufany zestaw administratorów, którzy mogą resetować swoje hasła i uzyskiwać dostęp do kluczy odzyskiwania funkcji BitLocker w razie potrzeby.
  • Wdrażasz kontrolę zgodności, aby upewnić się, że niektóre zasoby mogą być zarządzane tylko przez administratorów w określonym kraju. Te zasoby można dodać w jednostce administracyjnej zarządzania z ograniczeniami i przypisać administratorów lokalnych do zarządzania tymi obiektami. Nawet administratorzy globalni nie będą mogli modyfikować obiektów, chyba że przypisują się jawnie do roli o określonym zakresie do jednostki administracyjnej z ograniczeniami zarządzania (co jest zdarzeniem podlegającym inspekcji).
  • Używasz grup zabezpieczeń do kontrolowania dostępu do poufnych aplikacji w organizacji i nie chcesz zezwalać administratorom o zakresie dzierżawy, którzy mogą modyfikować grupy, aby mogli kontrolować, kto może uzyskiwać dostęp do aplikacji. Możesz dodać te grupy zabezpieczeń do jednostki administracyjnej zarządzania z ograniczeniami, a następnie upewnić się, że tylko przypisani administratorzy mogą nimi zarządzać.

Uwaga

Umieszczanie obiektów w ograniczonych jednostkach administracyjnych zarządzania poważnie ogranicza, kto może wprowadzać zmiany w obiektach. To ograniczenie może spowodować przerwanie istniejących przepływów pracy.

Jakie obiekty mogą być elementami członkowskimi?

Oto obiekty, które mogą być członkami ograniczonych jednostek administracyjnych zarządzania.

Microsoft Entra, typ obiektu Jednostka administracyjna Jednostka administracyjna z włączonym ustawieniem zarządzania z ograniczeniami
Użytkownicy Tak Tak
Urządzenia Tak Tak
Grupy (zabezpieczenia) Tak Tak
Grupy (Microsoft 365) Tak Nie.
Grupy (zabezpieczenia z włączoną obsługą poczty) Tak Nie.
Grupy (dystrybucja) Tak Nie.

Jakie typy operacji są blokowane?

W przypadku administratorów, którzy nie są jawnie przypisani w ograniczonym zakresie jednostki administracyjnej zarządzania, operacje, które bezpośrednio modyfikują właściwości obiektów firmy Microsoft w ograniczonych jednostkach administracyjnych zarządzania, są blokowane, podczas gdy operacje na powiązanych obiektach w usługach Microsoft 365 nie mają wpływu.

Typ operacji Zablokowano Dozwolone
Odczytywanie standardowych właściwości, takich jak główna nazwa użytkownika, zdjęcie użytkownika
Modyfikowanie dowolnych właściwości usługi Microsoft Entra użytkownika, grupy lub urządzenia
Usuwanie użytkownika, grupy lub urządzenia
Aktualizowanie hasła dla użytkownika
Modyfikowanie właścicieli lub członków grupy w jednostce administracyjnej zarządzania z ograniczeniami
Dodawanie użytkowników, grup lub urządzeń w jednostce administracyjnej zarządzania z ograniczeniami do grup w usłudze Microsoft Entra ID
Modyfikowanie ustawień poczty e-mail i skrzynki pocztowej w programie Exchange dla użytkownika w jednostce administracyjnej zarządzania z ograniczeniami
Stosowanie zasad do urządzenia w jednostce administracyjnej zarządzania z ograniczeniami przy użyciu usługi Intune
Dodawanie lub usuwanie grupy jako właściciela witryny w programie SharePoint

Kto może modyfikować obiekty?

Tylko administratorzy z jawnym przypisaniem w zakresie jednostki administracyjnej zarządzania z ograniczeniami mogą zmieniać właściwości obiektów firmy Microsoft w jednostce administracyjnej zarządzania z ograniczeniami.

Rola użytkownika Zablokowano Dozwolone
Globalny administrator usługi
Administratorzy z zakresem dzierżawy (w tym administrator globalny)
Administratorzy przypisani w zakresie jednostki administracyjnej zarządzania z ograniczeniami
Administratorzy przypisani w zakresie innej jednostki administracyjnej zarządzania z ograniczeniami, której obiekt jest członkiem
Administratorzy przypisani w zakresie innej regularnej jednostki administracyjnej, której obiekt jest członkiem
Administrator grup, administrator użytkowników i inna rola przypisana w zakresie zasobu
Właściciele grup lub urządzeń dodanych do ograniczonych jednostek administracyjnych zarządzania

Ograniczenia

Poniżej przedstawiono niektóre limity i ograniczenia dotyczące ograniczonych jednostek administracyjnych zarządzania.

  • Ustawienie zarządzania z ograniczeniami musi być stosowane podczas tworzenia jednostki administracyjnej i nie można go zmienić po utworzeniu jednostki administracyjnej.
  • Grupy w jednostce administracyjnej zarządzania z ograniczeniami nie mogą być zarządzane za pomocą funkcji Zarządzanie tożsamością Microsoft Entra, takich jak Microsoft Entra Privileged Identity Management lub Zarządzanie upoważnieniami firmy Microsoft Entra.
  • Grupy z możliwością przypisywania ról, po dodaniu do jednostki administracyjnej z ograniczeniami zarządzania, nie mogą mieć zmodyfikowanego członkostwa. Właściciele grup nie mogą zarządzać grupami w ograniczonych jednostkach administracyjnych, a tylko administratorzy globalni i administratorzy ról uprzywilejowanych (żadna z nich nie może być przypisana w zakresie jednostki administracyjnej) może modyfikować członkostwo.
  • Niektóre akcje mogą nie być możliwe, gdy obiekt znajduje się w jednostce administracyjnej zarządzania z ograniczeniami, jeśli wymagana rola nie jest jedną z ról, które można przypisać w zakresie jednostki administracyjnej. Na przykład administrator globalny w jednostce administracyjnej z ograniczeniami zarządzania nie może zresetować hasła przez żadnego innego administratora w systemie, ponieważ nie ma żadnej roli administratora, którą można przypisać w zakresie jednostki administracyjnej, która może zresetować hasło administratora globalnego. W takich scenariuszach administrator globalny musi najpierw zostać usunięty z jednostki administracyjnej z ograniczeniami zarządzania, a następnie zresetować hasło przez innego administratora globalnego lub administratora ról uprzywilejowanych.
  • Usunięcie ograniczonej jednostki administracyjnej zarządzania może potrwać do 30 minut, aby usunąć wszystkie zabezpieczenia z byłych członków.

Możliwości programowania

Aplikacje domyślnie nie mogą modyfikować obiektów w ograniczonych jednostkach administracyjnych zarządzania. Aby udzielić aplikacji dostępu do zarządzania obiektami w jednostce administracyjnej zarządzania z ograniczeniami, należy przypisać do aplikacji rolę Entra firmy Microsoft w zakresie jednostki administracyjnej zarządzania z ograniczeniami. Jeśli przypiszesz do aplikacji uprawnienia aplikacji programu Microsoft Graph, te uprawnienia nie będą stosowane, ponieważ są one ograniczone.

Wymagania dotyczące licencji

Jednostki administracyjne zarządzania z ograniczeniami wymagają licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej i microsoft Entra ID Bezpłatne licencje dla członków jednostki administracyjnej. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Następne kroki