Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kuruluşlar, CEO'nun kullanıcı hesabı gibi sıkı güvenliğe ihtiyaç duyan kaynaklara sahiptir. Şu anda, Bir Yardım Masası Yöneticisi parolasını sıfırlayarak bir CEO'nun hesabına erişim elde edebilir ve kiracı düzeyinde bir Grup Yöneticisi, SharePoint'te mali veri erişimi olan güvenlik gruplarına kullanıcı ekleyebilir.
Kısıtlı yönetim yönetim birimleri, kiracınızdaki belirli nesneleri belirlediğiniz belirli bir kişi kümesi dışında herhangi birinin değiştirmesine karşı korumanıza olanak sağlar. Bu, yöneticilerinizden kiracı düzeyinde rol atamalarını kaldırmak zorunda kalmadan güvenlik veya uyumluluk gereksinimlerini karşılamanızı sağlar.
Kısıtlı yönetim yönetim birimleri neden kullanılır?
Kiracınızdaki erişimi yönetmeye yardımcı olması için kısıtlı yönetim yönetim birimlerini kullanmanızın bazı nedenleri aşağıdadır.
Yönetici hesaplarınızı ve cihazlarını koruma
C düzeyindeki yönetici hesaplarınızı ve cihazlarını, parolalarını sıfırlayabilecek veya BitLocker kurtarma anahtarlarına erişebilecek Yardım Masası Yöneticileri'nden korumak istiyorsunuz. C düzeyi kullanıcı hesaplarınızı kısıtlı bir yönetim yönetim birimine ekleyebilir ve gerektiğinde parolalarını sıfırlayıp BitLocker kurtarma anahtarlarına erişebilen belirli bir güvenilen yönetici kümesini etkinleştirebilirsiniz.
Uyumluluk denetimini yalnızca yerel yöneticilere uygulama
Belirli kaynakların yalnızca belirli bir ülkedeki/bölgedeki yöneticiler tarafından yönetilebilmesini sağlamak için bir uyumluluk denetimi uygulamak istiyorsunuz. Bu kaynakları kısıtlı bir yönetim yönetim birimine ekleyebilir ve bu nesneleri yönetmek için yerel yöneticiler atayabilirsiniz. Genel Yöneticiler bile kısıtlı yönetim yönetim birimi kapsamındaki bir role (denetlenebilir bir olay) açıkça atanmadığı sürece nesneleri değiştirmelerine izin verilmez.
Hassas güvenlik gruplarının yönetimini belirli yöneticilerle kısıtlama
Kuruluşunuzdaki hassas uygulamalara erişimi denetlemek için güvenlik grupları kullanıyorsunuz ve grupları değiştirebilen kiracı kapsamlı yöneticilerinizin uygulamalara kimlerin erişebileceğini denetleyebilmesine izin vermek istemiyorsunuz. Bu güvenlik gruplarını kısıtlı bir yönetim yönetim birimine ekleyebilir ve ardından yalnızca atadığınız yöneticilerin bunları yönetee olduğundan emin olabilirsiniz.
Örnek senaryo
Aşağıdaki diyagramda, sadece yönetici desteğinin değiştirebildiği nesneleri içeren yöneticiye özel kısıtlı yönetim birimi (mor kutuda gösterilmiştir) gösterilmektedir. Kiracı düzeyindeki yöneticiler ve yerel yöneticiler, Yönetim yönetim birimindeki nesneleri değiştiremez.
Not
Nesneleri kısıtlı bir yönetim yönetim birimine yerleştirmek, nesnelerde değişiklik yapabilecek kişileri ciddi ölçüde kısıtlar. Bu kısıtlama, mevcut iş akışlarının bozulmasına neden olabilir.
Hangi nesneler üye olabilir?
Kısıtlı yönetim yönetim birimlerinin üyesi olabilecek nesneler aşağıdadır.
| Microsoft Entra nesne türü | Yönetim birimi | Kısıtlı yönetim yönetim birimi |
|---|---|---|
| Kullanıcılar | Evet | Evet |
| Cihazlar | Evet | Evet |
| Gruplar (Güvenlik) | Evet | Evet |
| Gruplar (Microsoft 365) | Evet | Hayır |
| Gruplar (Posta özellikli güvenlik) | Evet | Hayır |
| Gruplar (Dağıtım) | Evet | Hayır |
Hangi tür işlemler engellenir?
Kısıtlı yönetim yönetim birimi kapsamında açıkça atanmayan yöneticiler için, kısıtlı yönetim yönetim birimlerindeki nesnelerin Microsoft Entra özelliklerini doğrudan değiştiren işlemler engellenirken, Microsoft 365 hizmetlerindeki ilgili nesneler üzerindeki işlemler etkilenmez.
| İşlem türü | Engellendi | İzin Verilir |
|---|---|---|
| Kullanıcı asıl adı, kullanıcı fotoğrafı gibi standart özellikleri okuma | ✅ | |
| Kullanıcının, grubun veya cihazın Microsoft Entra özelliklerini değiştirme | ❌ | |
| Kullanıcı, grup veya cihazı silme | ❌ | |
| Kullanıcının parolasını güncelleştirme | ❌ | |
| Kısıtlı yönetim yönetim biriminde grubun sahiplerini veya üyelerini değiştirme | ❌ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcıları, grupları veya cihazları Microsoft Entra Id'deki gruplara ekleme | ✅ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcı için Exchange'de e-posta ve posta kutusu ayarlarını değiştirme | ✅ | |
| Intune kullanarak kısıtlı bir yönetim birimindeki bir cihaza ilke uygulama | ✅ | |
| SharePoint'te site sahibi olarak grup ekleme veya kaldırma | ✅ | |
| Kısıtlı bir yönetim biriminde lisans atama ve kullanıcıların kullanım konumunu güncelleştirme | ✅ |
Nesneleri kimler değiştirebilir?
Yalnızca kısıtlı yönetim yönetim birimi kapsamında açık ataması olan yöneticiler, kısıtlı yönetim yönetim birimindeki nesnelerin Microsoft Entra özelliklerini değiştirebilir.
| Rol | Scope | Engellendi | İzin Verilir |
|---|---|---|---|
| Genel Yönetici | Kiracı | ❌ | |
| Yetkili Rol Yöneticisi | Kiracı | ❌ | |
| Grup Yöneticisi, Kullanıcı Yöneticisi veya diğer roller | Kaynak | ❌ | |
| Kısıtlı yönetim yönetim birimlerine eklenen grup veya cihazların sahipleri | ❌ | ||
| Yerleşik veya özel rol | Kiracı | ❌ | |
| Yönetim birimi kapsamıyla atanabilecek roller | Kısıtlı yönetim yönetim birimi | ✅ | |
| Yönetim birimi kapsamıyla atanabilecek roller | Nesnenin üye olduğu başka bir kısıtlanmış yönetim yönetim birimi | ✅ | |
| Yönetim birimi kapsamıyla atanabilecek roller | Nesnesinin üye olduğu başka bir normal yönetim birimi | ❌ |
Kiracı kapsamına sahip bir yönetici kısıtlı yönetim yönetim birimindeki bir nesneyi değiştirmeyi denerse, aşağıdakine benzer iletiler görür:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Kısıtlı yönetim yönetim birimlerini kimler yönetebilir?
Kiracı kapsamındaki aşağıdaki roller kısıtlı yönetim yönetim birimlerindeki nesneleri değiştiremez, ancak kısıtlı yönetim yönetim birimlerini kendileri yönetebilir .
| Rol | Scope | Kısıtlı yönetim yönetim birimlerindeki nesneleri değiştirme | Kısıtlı yönetim yönetim birimlerini yönetme |
|---|---|---|---|
| Genel Yönetici | Kiracı | Hayır | Evet |
| Yetkili Rol Yöneticisi | Kiracı | Hayır | Evet |
Bu yönetim aşağıdaki görevleri içerir:
- Kısıtlı yönetim yönetim birimleri oluşturma veya silme
- Kısıtlı yönetim yönetim birimlerine üye ekleme veya kaldırma
- Kısıtlı yönetimsel birim kapsamıyla rol atama veya rol atamalarını kaldırma
- Kısıtlı kapsama sahip yönetimsel idari birimlerle kendilerine roller atama
Kısıtlı yönetim yönetim birimi kapsamına sahip bir yönetici işleri değiştirirse veya kuruluşa ayrılırsa, erişim kazanmak için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi kısıtlanmış yönetim yönetim birimine başka bir yönetici veya kendilerini atayabilir.
Denetim kayıtları
Kısıtlı yönetim yönetim birimlerinde ne zaman değişiklik yapıldığını izlemenize yardımcı olmak için, bu etkinlikler Microsoft Entra denetim günlüklerine kaydedilir.
| Etkinlik | Kategori | Ayrıntılar |
|---|---|---|
| Yönetim birimi ekleme | Yönetimsel Birim |
IsMemberManagementRestricted = doğru |
| Kısıtlı yönetim yönetim birimine üye ekleme | Yönetimsel Birim | |
| Kısıtlı yönetim yönetim biriminden üye kaldırma | Yönetimsel Birim | |
| Sınırlı Yönetim Yönetim Birimi kapsamındaki role üye ekleme | Rol Yönetimi | |
| Kısıtlı Yönetim Yönetim Birimi kapsamındaki rolden üye kaldırma | Rol Yönetimi |
Sınırlamalar
Kısıtlı yönetim yönetim birimleri için bazı sınırlar ve kısıtlamalar aşağıdadır.
- Kısıtlanmış yönetim ayarı yönetim birimi oluşturma sırasında uygulanmalıdır ve yönetim birimi oluşturulduktan sonra değiştirilemez.
- Kısıtlı yönetim yönetim birimindeki gruplar ve kullanıcılar Privileged Identity Management, Yetkilendirme yönetimi, Yaşam döngüsü iş akışları ve Access gözden geçirmeleri gibi Microsoft Entra ID İdaresi özellikleriyle yönetilemiyor.
- Bir grup genel üyeliğe sahip olacak şekilde yapılandırıldığında ( görünürlük özelliğini
Publicolarak ayarlayarak), kullanıcılar self servis grup üyeliğini kullanarak gruba katılabilir. Bu yapılandırma varsayılan ayar değildir ve kısıtlı yönetim yönetim birimlerindeki grupların genel üyelik için izin verecek şekilde yapılandırılması önerilmez. Bu geçici bir sınırlamadır ve kaldırılacaktır. - Kısıtlı bir yönetim yönetim birimine eklendiğinde rol atanabilir grupların üyelikleri değiştirilemez. Grup sahiplerinin kısıtlı yönetim yönetim birimlerindeki grupları yönetmesine izin verilmez ve yalnızca Genel Yöneticiler ve Ayrıcalıklı Rol Yöneticileri (yönetim birimi kapsamında atanamaz) üyeliği değiştirebilir.
- Gerekli rol yönetim birimi kapsamında atanabilecek rollerden biri değilse, bir nesne kısıtlı bir yönetim yönetim biriminde olduğunda bazı eylemler mümkün olmayabilir. Örneğin, kısıtlı yönetim yönetim birimindeki bir Genel Yönetici, bir Genel Yöneticinin parolasını sıfırlayan yönetim birimi kapsamında atanabilecek bir yönetici rolü olmadığından, parolalarını sistemdeki başka bir yönetici tarafından sıfırlayamaz. Bu tür senaryolarda, Genel Yöneticinin önce kısıtlı yönetim yönetim biriminden kaldırılması ve ardından başka bir Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi tarafından parola sıfırlaması gerekir.
- Kısıtlı bir yönetim yönetim birimini silerken, eski üyelerden tüm korumaların kaldırılması 30 dakika kadar sürebilir.
- Kiracıda en fazla 100 kısıtlanmış yönetim yönetim birimi.
Programlanabilirlik
Uygulamalar, kısıtlı yönetim yönetim birimlerindeki nesneleri varsayılan olarak değiştiremez. Kısıtlı yönetim yönetim birimindeki nesneleri yönetmek üzere bir uygulamaya erişim vermek için, kısıtlı yönetim yönetim birimi kapsamında uygulamaya bir Microsoft Entra rolü atamanız gerekir. Uygulamaya Microsoft Graph uygulama izinleri atarsanız, bu izinler kısıtlandığı için uygulanmaz.
Lisans gereksinimleri
Kısıtlı yönetim yönetim birimleri, her yönetim birimi yöneticisi için bir Microsoft Entra ID P1 lisansı ve yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.