Административные единицы ограниченного управления в идентификаторе Microsoft Entra (предварительная версия)
Внимание
Административные единицы ограниченного управления в настоящее время находятся в предварительной версии. Ознакомьтесь с условиями продукта для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Ограниченные административные единицы управления позволяют защитить определенные объекты в клиенте от изменения любым пользователем, кроме определенного набора назначенных администраторов. Это позволяет соответствовать требованиям безопасности или соответствия требованиям, не удаляя назначения ролей на уровне клиента от администраторов.
Зачем использовать административные единицы управления с ограниченным доступом?
Ниже приведены некоторые причины, по которым можно использовать административные единицы ограниченного управления для управления доступом в клиенте.
- Вы хотите защитить учетные записи руководителей уровня C и их устройства от вспомогательных Администратор istratorов, которые в противном случае смогут сбросить пароли или получить доступ к ключам восстановления BitLocker. Вы можете добавить учетные записи пользователей уровня C в административное подразделение с ограниченным доступом и включить определенный доверенный набор администраторов, которые могут сбрасывать пароли и получать доступ к ключам восстановления BitLocker при необходимости.
- Вы реализуете контроль соответствия требованиям, чтобы гарантировать, что определенные ресурсы могут управляться только администраторами в определенной стране. Эти ресурсы можно добавить в административную единицу ограниченного управления и назначить локальным администраторам для управления этими объектами. Даже глобальные Администратор istratorы не могут изменять объекты, если они не назначают себя явно роли, область ограниченной административной единице управления (это событие, которое является аудитом).
- Вы используете группы безопасности для управления доступом к конфиденциальным приложениям в вашей организации, и вы не хотите разрешить администраторам, область клиента, которые могут изменять группы, чтобы иметь возможность управлять доступом к приложениям. Эти группы безопасности можно добавить в административную единицу управления с ограниченным доступом, а затем убедиться, что им могут управлять только определенные администраторы.
Примечание.
Размещение объектов в административных единицах управления с ограниченным доступом значительно ограничивает возможность внесения изменений в объекты. Это ограничение может привести к разрыву существующих рабочих процессов.
Какие объекты могут быть членами?
Ниже приведены объекты, которые могут быть членами ограниченных административных единиц управления.
| Тип объекта Microsoft Entra | Административная единица | Администратор istrative unit с включенным параметром ограниченного управления |
|---|---|---|
| Пользователи | Да | Да |
| . | Да | Да |
| Группы (безопасность) | Да | Да |
| Группы (Microsoft 365) | Да | Нет |
| Группы (безопасность с поддержкой почты) | Да | Нет |
| Группы (распределение) | Да | Нет |
Какие типы операций блокируются?
Для администраторов, не назначенных в административной единице ограниченного управления область, операции, которые напрямую изменяют свойства Объектов Microsoft Entra в административных единицах управления с ограниченным доступом, блокируются, в то время как операции с связанными объектами в службах Microsoft 365 не затрагиваются.
| Тип операции | Заблокировано | Допустимо |
|---|---|---|
| Чтение стандартных свойств, таких как имя участника-пользователя, фотография пользователя | ✅ | |
| Изменение любых свойств Microsoft Entra пользователя, группы или устройства | ❌ | |
| Удаление пользователя, группы или устройства | ❌ | |
| Обновление пароля для пользователя | ❌ | |
| Изменение владельцев или членов группы в административной единице ограниченного управления | ❌ | |
| Добавление пользователей, групп или устройств в административное подразделение с ограниченным доступом к группам в идентификаторе Microsoft Entra | ✅ | |
| Изменение параметров электронной почты и почтовых ящиков в Exchange для пользователя в административной единице с ограниченным доступом | ✅ | |
| Применение политик к устройству в административной единице ограниченного управления с помощью Intune | ✅ | |
| Добавление или удаление группы в качестве владельца сайта в SharePoint | ✅ |
Кто может изменять объекты?
Только администраторы с явным назначением в область ограниченной административной единицы управления могут изменять свойства объектов Microsoft Entra в административной единице ограниченного управления.
| роль пользователя. | Заблокировано | Допустимо |
|---|---|---|
| Глобальный администратор | ❌ | |
| Администраторы область клиента (включая глобальный Администратор istrator) | ❌ | |
| Администратор istrator, назначенные в область административной единицы ограниченного управления | ✅ | |
| Администратор istrator, назначенные в область другого административного подразделения ограниченного управления, в котором объект является членом | ✅ | |
| Администратор istrator, назначенные в область другого регулярного административного подразделения, в котором объект является членом | ❌ | |
| Группы Администратор istrator, user Администратор istrator и другая роль, назначенная область ресурса | ❌ | |
| Владельцы групп или устройств, добавленных в административные единицы управления с ограниченным доступом | ❌ |
Ограничения
Ниже приведены некоторые ограничения и ограничения для административных единиц управления с ограниченным доступом.
- Параметр ограниченного управления должен применяться во время создания административной единицы и не может быть изменен после создания административной единицы.
- Группы в административной единице ограниченного управления нельзя управлять с помощью Управление идентификацией Microsoft Entra функций, таких как Microsoft Entra управление привилегированными пользователями или управление правами Microsoft Entra.
- Группы, назначаемые ролями, при добавлении в административную единицу с ограниченным доступом к управлению, не могут быть изменены. Владельцы групп не могут управлять группами в административных единицах ограниченного управления и изменять членство только глобальных Администратор istrators и привилегированных ролей Администратор istrator (ни в каких из которых нельзя назначать в административном подразделении область).
- Некоторые действия могут быть недоступны, если объект находится в ограниченной административной единице управления, если требуемая роль не является одной из ролей, которые могут быть назначены в административной единице область. Например, глобальный Администратор istrator в административной единице ограниченного управления не может сбрасывать пароль любым другим администратором в системе, так как в административной единице не может быть назначена роль администратора область, которая может сбросить пароль глобального Администратор istrator. В таких сценариях глобальный Администратор istrator необходимо сначала удалить из административной единицы ограниченного управления, а затем сбросить пароль другим глобальным Администратор istrator или привилегированной ролью Администратор istrator.
- При удалении ограниченной административной единицы управления может потребоваться до 30 минут, чтобы удалить все защиты от бывших участников.
Программируемость
Приложения по умолчанию не могут изменять объекты в ограниченных административных единицах управления. Чтобы предоставить приложению доступ для управления объектами в административной единице ограниченного управления, необходимо назначить разрешение Directory.Write.Restrictedв Microsoft Graph.
Требования к лицензиям
Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.