Begränsade administrativa hanteringsenheter i Microsoft Entra-ID (förhandsversion)
Viktigt!
Begränsade administrativa hanteringsenheter är för närvarande i förhandsversion. Se produktvillkoren för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Med begränsade administrativa hanteringsenheter kan du skydda specifika objekt i klientorganisationen från att ändras av någon annan än en specifik uppsättning administratörer som du anger. På så sätt kan du uppfylla säkerhets- eller efterlevnadskrav utan att behöva ta bort rolltilldelningar på klientorganisationsnivå från dina administratörer.
Varför ska du använda administrativa enheter för begränsad hantering?
Här följer några orsaker till varför du kan använda begränsade administrativa hanteringsenheter för att hantera åtkomst i din klientorganisation.
- Du vill skydda dina verkställande konton på C-nivå och deras enheter från supportadministratörer som annars skulle kunna återställa sina lösenord eller komma åt BitLocker-återställningsnycklar. Du kan lägga till dina användarkonton på C-nivå i en administrativ enhet för begränsad hantering och aktivera en specifik betrodd uppsättning administratörer som kan återställa sina lösenord och få åtkomst till BitLocker-återställningsnycklar när det behövs.
- Du implementerar en efterlevnadskontroll för att säkerställa att vissa resurser endast kan hanteras av administratörer i ett visst land. Du kan lägga till dessa resurser i en administrativ enhet för begränsad hantering och tilldela lokala administratörer för att hantera dessa objekt. Inte ens globala administratörer får ändra objekten om de inte uttryckligen tilldelar sig själva till en roll som är begränsad till den begränsade administrativa hanteringsenheten (vilket är en granskningsbar händelse).
- Du använder säkerhetsgrupper för att styra åtkomsten till känsliga program i din organisation och du vill inte tillåta att administratörer med klientomfattning som kan ändra grupper kan styra vem som kan komma åt programmen. Du kan lägga till dessa säkerhetsgrupper i en administrativ enhet för begränsad hantering och sedan se till att endast de specifika administratörer som du tilldelar kan hantera dem.
Kommentar
Om objekt placeras i begränsade administrativa enheter begränsas allvarligt vem som kan göra ändringar i objekten. Den här begränsningen kan leda till att befintliga arbetsflöden bryts.
Vilka objekt kan vara medlemmar?
Här är de objekt som kan vara medlemmar i administrativa enheter för begränsad hantering.
Microsoft Entra-objekttyp | Administratörsenhet | Administrativ enhet med inställningen begränsad hantering aktiverad |
---|---|---|
Användare | Ja | Ja |
Enheter | Ja | Ja |
Grupper (säkerhet) | Ja | Ja |
Grupper (Microsoft 365) | Ja | Nej |
Grupper (e-postaktiverad säkerhet) | Ja | Nej |
Grupper (distribution) | Ja | Nej |
Vilka typer av åtgärder blockeras?
För administratörer som inte uttryckligen har tilldelats det begränsade administrativa enhetsomfånget för hantering blockeras åtgärder som direkt ändrar Microsoft Entra-egenskaperna för objekt i administrativa enheter för begränsad hantering, medan åtgärder på relaterade objekt i Microsoft 365-tjänster inte påverkas.
Åtgärdstyp | Spärrad | Tillåtet |
---|---|---|
Läsa standardegenskaper som användarens huvudnamn, användarfoto | ✅ | |
Ändra alla Microsoft Entra-egenskaper för användaren, gruppen eller enheten | ❌ | |
Ta bort användaren, gruppen eller enheten | ❌ | |
Uppdatera lösenord för en användare | ❌ | |
Ändra ägare eller medlemmar i gruppen i den administrativa enheten för begränsad hantering | ❌ | |
Lägga till användare, grupper eller enheter i en administrativ enhet för begränsad hantering till grupper i Microsoft Entra-ID | ✅ | |
Ändra inställningarna för e-post och postlåda i Exchange för användaren i den administrativa enheten för begränsad hantering | ✅ | |
Tillämpa principer på en enhet i en administrativ enhet för begränsad hantering med Hjälp av Intune | ✅ | |
Lägga till eller ta bort en grupp som webbplatsägare i SharePoint | ✅ |
Vem kan ändra objekt?
Endast administratörer med en explicit tilldelning i omfånget för en administrativ enhet för begränsad hantering kan ändra Microsoft Entra-egenskaperna för objekt i den administrativa enheten för begränsad hantering.
Användarroll | Spärrad | Tillåtet |
---|---|---|
Global administratör | ❌ | |
Administratörer med klientomfattning (inklusive global administratör) | ❌ | |
Administratörer som tilldelats inom ramen för den administrativa enheten för begränsad hantering | ✅ | |
Administratörer som tilldelats i omfånget för en annan begränsad administrativ hanteringsenhet som objektet är medlem i | ✅ | |
Administratörer som tilldelats i omfånget för en annan vanlig administrativ enhet som objektet är medlem i | ❌ | |
Gruppadministratör, användaradministratör och annan roll som tilldelats i omfånget för en resurs | ❌ | |
Ägare av grupper eller enheter som lagts till i begränsade administrativa hanteringsenheter | ❌ |
Begränsningar
Här följer några av begränsningarna och begränsningarna för administrativa enheter för begränsad hantering.
- Inställningen för begränsad hantering måste tillämpas när den administrativa enheten skapas och kan inte ändras när den administrativa enheten har skapats.
- Grupper i en administrativ enhet för begränsad hantering kan inte hanteras med Microsoft Entra ID-styrningsfunktioner som Microsoft Entra Privileged Identity Management eller Microsoft Entra-berättigandehantering.
- Rolltilldelningsbara grupper kan inte ändra sitt medlemskap när de läggs till i en administrativ enhet för begränsad hantering. Gruppägare får inte hantera grupper i administrativa enheter med begränsad hantering och endast globala administratörer och privilegierade rolladministratörer (ingen av dem kan tilldelas i det administrativa enhetsomfånget) kan ändra medlemskapet.
- Vissa åtgärder kanske inte är möjliga när ett objekt finns i en administrativ enhet för begränsad hantering, om den nödvändiga rollen inte är en av de roller som kan tilldelas i det administrativa enhetsomfånget. En global administratör i en administrativ enhet för begränsad hantering kan till exempel inte återställa sina lösenord av någon annan administratör i systemet, eftersom det inte finns någon administratörsroll som kan tilldelas i det administrativa enhetsomfånget som kan återställa lösenordet för en global administratör. I sådana scenarier måste den globala administratören först tas bort från den begränsade administrativa hanteringsenheten och sedan återställa sina lösenord av en annan global administratör eller privilegierad rolladministratör.
- När du tar bort en administrativ enhet för begränsad hantering kan det ta upp till 30 minuter att ta bort alla skydd från de tidigare medlemmarna.
Programmerbarhet
Program kan inte ändra objekt i begränsade administrativa hanteringsenheter som standard. Om du vill ge ett program åtkomst till att hantera objekt i en administrativ enhet för begränsad hantering måste du tilldela programmet en Microsoft Entra-roll i omfånget för den administrativa enheten för begränsad hantering. Om du tilldelar Microsoft Graph-programbehörigheter till programmet gäller inte dessa behörigheter eftersom det är begränsat.
Licenskrav
Begränsade administrativa hanteringsenheter kräver en Microsoft Entra ID P1-licens för varje administratör för administrativa enheter och kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.