Microsoft Entra Id'de kısıtlı yönetim yönetim birimleri (Önizleme)
Önemli
Kısıtlı yönetim yönetim birimleri şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan yasal koşullar için Ürün Koşulları'na bakın.
Kısıtlı yönetim yönetim birimleri, kiracınızdaki belirli nesneleri belirlediğiniz belirli bir yönetici kümesi dışında herhangi birinin değiştirmesine karşı korumanıza olanak sağlar. Bu, yöneticilerinizden kiracı düzeyinde rol atamalarını kaldırmak zorunda kalmadan güvenlik veya uyumluluk gereksinimlerini karşılamanızı sağlar.
Kısıtlı yönetim yönetim birimleri neden kullanılır?
Kiracınızdaki erişimi yönetmeye yardımcı olması için kısıtlı yönetim yönetim birimlerini kullanmanızın bazı nedenleri aşağıdadır.
- C düzeyindeki yönetici hesaplarınızı ve cihazlarını, parolalarını sıfırlayabilecek veya BitLocker kurtarma anahtarlarına erişebilecek yardım masası Yönetici istrator'lardan korumak istiyorsunuz. C düzeyi kullanıcı hesaplarınızı kısıtlı bir yönetim yönetim birimine ekleyebilir ve gerektiğinde parolalarını sıfırlayıp BitLocker kurtarma anahtarlarına erişebilen belirli bir güvenilen yönetici kümesini etkinleştirebilirsiniz.
- Belirli kaynakların yalnızca belirli bir ülkedeki yöneticiler tarafından yönetilebilmesini sağlamak için bir uyumluluk denetimi uyguluyorsunuz. Bu kaynakları kısıtlı bir yönetim yönetim birimine ekleyebilir ve bu nesneleri yönetmek için yerel yöneticiler atayabilirsiniz. Global Yönetici istrator'ların bile kısıtlı yönetim yönetim birimi kapsamındaki bir role (denetlenebilir bir olay) açıkça atamadıkları sürece nesneleri değiştirmelerine izin verilmez.
- Kuruluşunuzdaki hassas uygulamalara erişimi denetlemek için güvenlik grupları kullanıyorsunuz ve grupları değiştirebilen kiracı kapsamlı yöneticilerinizin uygulamalara kimlerin erişebileceğini denetleyebilmesine izin vermek istemiyorsunuz. Bu güvenlik gruplarını kısıtlı bir yönetim yönetim birimine ekleyebilir ve ardından yalnızca atadığınız yöneticilerin bunları yönetee olduğundan emin olabilirsiniz.
Not
Nesneleri kısıtlı yönetim yönetim birimlerine yerleştirmek, nesnelerde değişiklik yapabilecek kişileri ciddi ölçüde kısıtlar. Bu kısıtlama, mevcut iş akışlarının bozulmasına neden olabilir.
Hangi nesneler üye olabilir?
Kısıtlı yönetim yönetim birimlerinin üyesi olabilecek nesneler aşağıdadır.
| Microsoft Entra nesne türü | Yönetim birimi | Kısıtlı yönetim ayarının etkinleştirildiği Yönetici istrative birimi |
|---|---|---|
| Kullanıcılar | Yes | Yes |
| Cihazlar | Yes | Yes |
| Gruplar (Güvenlik) | Yes | Yes |
| Gruplar (Microsoft 365) | Yes | Hayır |
| Gruplar (Posta özellikli güvenlik) | Yes | Hayır |
| Gruplar (Dağıtım) | Yes | Hayır |
Hangi tür işlemler engellenir?
Kısıtlı yönetim yönetim birimi kapsamında açıkça atanmayan yöneticiler için, kısıtlı yönetim yönetim birimlerindeki nesnelerin Microsoft Entra özelliklerini doğrudan değiştiren işlemler engellenirken, Microsoft 365 hizmetlerindeki ilgili nesneler üzerindeki işlemler etkilenmez.
| İşlem türü | Engellendi | İzin Verilir |
|---|---|---|
| Kullanıcı asıl adı, kullanıcı fotoğrafı gibi standart özellikleri okuma | ✅ | |
| Kullanıcının, grubun veya cihazın Microsoft Entra özelliklerini değiştirme | ❌ | |
| Kullanıcı, grup veya cihazı silme | ❌ | |
| Kullanıcının parolasını güncelleştirme | ❌ | |
| Kısıtlı yönetim yönetim biriminde grubun sahiplerini veya üyelerini değiştirme | ❌ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcıları, grupları veya cihazları Microsoft Entra Id'deki gruplara ekleme | ✅ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcı için Exchange'de e-posta ve posta kutusu ayarlarını değiştirme | ✅ | |
| Intune kullanarak kısıtlı bir yönetim birimindeki bir cihaza ilke uygulama | ✅ | |
| SharePoint'te site sahibi olarak grup ekleme veya kaldırma | ✅ |
Nesneleri kimler değiştirebilir?
Yalnızca kısıtlı yönetim yönetim birimi kapsamında açık ataması olan yöneticiler, kısıtlı yönetim yönetim birimindeki nesnelerin Microsoft Entra özelliklerini değiştirebilir.
| Kullanıcı rolü | Engellendi | İzin Verilir |
|---|---|---|
| Genel Yönetici | ❌ | |
| Kiracı kapsamlı yöneticiler (Genel Yönetici istrator dahil) | ❌ | |
| Kısıtlanmış yönetim yönetim birimi kapsamında atanan Yönetici istrator'lar | ✅ | |
| Nesnenin üye olduğu başka bir kısıtlı yönetim yönetim birimi kapsamında atanan Yönetici istrator'lar | ✅ | |
| nesnenin üye olduğu başka bir normal yönetim biriminin kapsamında atanan Yönetici istrator'lar | ❌ | |
| Yönetici istrator, User Yönetici istrator ve kaynak kapsamında atanan diğer rolü gruplar | ❌ | |
| Kısıtlı yönetim yönetim birimlerine eklenen grup veya cihazların sahipleri | ❌ |
Sınırlamalar
Kısıtlı yönetim yönetim birimleri için bazı sınırlar ve kısıtlamalar aşağıdadır.
- Kısıtlanmış yönetim ayarı yönetim birimi oluşturma sırasında uygulanmalıdır ve yönetim birimi oluşturulduktan sonra değiştirilemez.
- Kısıtlı yönetim yönetim birimindeki gruplar, Microsoft Entra Privileged Identity Management veya Microsoft Entra yetkilendirme yönetimi gibi Microsoft Entra Kimlik Yönetimi özelliklerle yönetilemiyor.
- Kısıtlı bir yönetim yönetim birimine eklendiğinde rol atanabilir grupların üyelikleri değiştirilemez. Grup sahiplerinin kısıtlı yönetim birimlerindeki grupları yönetmesine izin verilmez ve yalnızca Genel Yönetici istrator'lar ve Ayrıcalıklı Rol Yönetici istrator'lar (yönetim birimi kapsamında atanamaz) üyeliği değiştirebilir.
- Gerekli rol yönetim birimi kapsamında atanabilecek rollerden biri değilse, bir nesne kısıtlı bir yönetim yönetim biriminde olduğunda bazı eylemler mümkün olmayabilir. Örneğin, kısıtlı yönetim yönetim birimindeki bir Genel Yönetici istrator, bir Genel Yönetici istrator'ın parolasını sıfırlayan yönetim birimi kapsamında atanabilecek bir yönetici rolü olmadığından sistemdeki başka bir yönetici tarafından parolasını sıfırlayamaz. Bu tür senaryolarda, Genel Yönetici strator'ın önce kısıtlı yönetim yönetim biriminden kaldırılması ve ardından parolalarının başka bir Genel Yönetici strator veya Privileged Role Yönetici istrator tarafından sıfırlanması gerekir.
- Kısıtlı bir yönetim yönetim birimini silerken, eski üyelerden tüm korumaların kaldırılması 30 dakika kadar sürebilir.
Programlanabilirlik
Uygulamalar, kısıtlı yönetim yönetim birimlerindeki nesneleri varsayılan olarak değiştiremez. Bir uygulamaya kısıtlı yönetim yönetim birimindeki nesneleri yönetme erişimi vermek için, Microsoft Graph'ta Directory.Write.Restrictediznini atamanız gerekir.
Lisans gereksinimleri
Kısıtlı yönetim yönetim birimleri, her yönetim birimi yöneticisi için bir Microsoft Entra ID P1 lisansı ve yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.