Microsoft Entra ID 中受限制的管理管理單位 (預覽)
重要
受限制的管理管理單位目前處於預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作的 Azure 功能的法律條款,請參閱產品條款。
受限制的管理管理單位可讓您保護租使用者中的特定物件不受您指定之特定系統管理員集合以外的任何人修改。 這可讓您符合安全性或合規性需求,而不需要從系統管理員移除租用戶層級角色指派。
為什麼要使用受限制的管理管理單位?
以下是您可能使用受限制的管理管理單位來協助管理租使用者中存取的一些原因。
- 您想要保護您的 C 層級執行帳戶及其裝置,使其免於技術服務人員 管理員 istrators,否則他們能夠重設其密碼或存取 BitLocker 修復密鑰。 您可以在受限制的管理管理單位中新增您的 C 層級用戶帳戶,並啟用一組特定的受信任系統管理員,這些系統管理員可在需要時重設其密碼並存取 BitLocker 修復密鑰。
- 您正在實作合規性控制,以確保特定國家/地區的系統管理員只能管理特定資源。 您可以在受限制的管理管理單位中新增這些資源,並指派本機系統管理員來管理這些物件。 即使全域 管理員 原則者也無法修改物件,除非這些對象明確指派給限定於受限制管理管理單位的角色(這是可稽核的事件)。
- 您使用安全組來控制組織中敏感性應用程式的存取權,而且您不想允許可修改群組的租用戶範圍系統管理員能夠控制誰可以存取應用程式。 您可以將這些安全組新增至受限制的管理管理單位,然後確定只有您指派的特定系統管理員可以管理它們。
注意
將物件放在受限制的管理單位,會嚴重限制誰可以變更物件。 這項限制可能會導致現有的工作流程中斷。
哪些物件可以是成員?
以下是可以是受限制管理管理單位成員的物件。
| Microsoft Entra 物件類型 | 系統管理單位 | 已啟用受限制管理設定的 管理員 單位 |
|---|---|---|
| 使用者 | Yes | Yes |
| 裝置 | Yes | Yes |
| 群組 (安全性) | Yes | Yes |
| 群組 (Microsoft 365) | 是 | No |
| 群組 (啟用信件的安全性) | 是 | No |
| 群組(散發) | 是 | No |
封鎖哪些類型的作業?
對於未在受限制管理管理單位範圍明確指派的系統管理員,會封鎖直接修改受限制管理管理單位中物件的 Microsoft Entra 屬性的作業,而 Microsoft 365 服務中相關對象的作業則不會受到影響。
| 作業類型 | 已封鎖 | 允許 |
|---|---|---|
| 讀取標準屬性,例如用戶主體名稱、使用者相片 | ✅ | |
| 修改使用者、群組或裝置的任何 Microsoft Entra 屬性 | ❌ | |
| 刪除使用者、群組或裝置 | ❌ | |
| 更新用戶的密碼 | ❌ | |
| 在受限制的管理管理單位中修改群組的擁有者或成員 | ❌ | |
| 將受限制管理管理單位中的使用者、群組或裝置新增至 Microsoft Entra 識別碼中的群組 | ✅ | |
| 在 Exchange 中修改受限制管理管理單位中使用者的電子郵件和信箱設定 | ✅ | |
| 使用 Intune 將原則套用至受限制管理管理單位中的裝置 | ✅ | |
| 在 SharePoint 中新增或移除群組作為網站擁有者 | ✅ |
神秘 可以修改物件嗎?
只有在受限制管理管理單位範圍內具有明確指派的系統管理員,才能變更受限制管理管理單位中物件的 Microsoft Entra 屬性。
| 使用者角色 | 已封鎖 | 允許 |
|---|---|---|
| 全域管理員 | ❌ | |
| 租使用者範圍的系統管理員(包括全域 管理員 istrator) | ❌ | |
| 在受限制管理單位範圍內指派的 管理員 管理單位 | ✅ | |
| 在物件所屬的另一個受限制管理管理單位範圍內指派的 管理員 istrators | ✅ | |
| 在對象所屬之另一個正則管理單位的範圍內指派的 管理員 istrators | ❌ | |
| 群組 管理員 istrator、使用者 管理員 istrator,以及資源範圍指派的其他角色 | ❌ | |
| 新增至受限制管理管理單位的群組或裝置擁有者 | ❌ |
限制
以下是限制管理單位的一些限制和限制。
- 限制的管理設定必須在管理單位建立期間套用,而且建立管理單位之後就無法變更。
- 受限制管理單位中的群組無法使用 Microsoft Entra Privileged Identity Management 或 Microsoft Entra 權利管理等 Microsoft Entra ID 控管 功能來管理。
- 當新增至受限制的管理管理單位時,可指派角色的群組無法修改其成員資格。 不允許群組擁有者管理受限制的管理單位中的群組,只有全域 管理員 istrators 和 Privileged Role 管理員 istrators(這兩者都無法在系統管理單位範圍中指派)修改成員資格。
- 當對象位於受限制的管理管理單位時,如果必要角色不是可在系統管理單位範圍指派的角色之一,則可能無法執行某些動作。 例如,受限制管理管理單位中的全域 管理員 istrator 無法由系統中的任何其他系統管理員重設其密碼,因為系統管理單位範圍沒有可指派的系統管理員角色,可以重設 Global 管理員 istrator 的密碼。 在這種情況下,全域 管理員 istrator 必須先從受限制的管理管理單位中移除,然後由另一個 Global 管理員 istrator 或 Privileged Role 管理員 istrator 重設其密碼。
- 刪除受限制的管理管理單位時,最多可能需要 30 分鐘的時間,才能移除先前成員的所有保護。
可程式性
根據預設,應用程式無法在受限制的管理管理單位中修改物件。 若要授與應用程式存取權來管理受限制管理管理單位中的物件,您必須在 Microsoft Graph 中指派 Directory.Write.Restricted許可權。
授權需求
受限制的管理管理單位需要每個管理單位系統管理員的 Microsoft Entra ID P1 授權,以及系統管理單位成員的 Microsoft Entra ID 免費授權。 若要尋找您需求的正確授權,請參閱比較免費和 進階版 版本的一般可用功能。