使用管理單位來設定委派

  • 7 分鐘

系統管理單位是 Microsoft Entra ID 資源,可以是其他 Microsoft Entra 資源的容器。 管理單位只能包含使用者、群組和裝置。

管理單位會將角色中的權限限制為您所定義之組織的任何部分。 例如,您可以使用管理單位,將服務台管理員角色委派給區域支援專家,讓他們只能管理其支援區域中的使用者。 您可以使用 Azure 入口網站、PowerShell Cmdlet 和指令碼,或是 Microsoft Graph 來管理系統管理單位。

什麼是系統管理單位?

在 Microsoft Entra ID 中使用單一租用戶時,如果您為使用者指派任何管理員角色,則其現在為租用戶中每個使用者的管理員。 一律考慮到最小權限的安全性準則,這一律是授與系統管理責任的最佳方法。 系統管理單位是用來在 Microsoft Entra ID 中解決這項挑戰的容器。 如果您需要使用者管理員能夠只管理一組特定的使用者和群組。 假設只管理醫院研究部門中的使用者。 您可以設定系統管理單位。 在該系統管理單位內,您會為研究小組新增使用者和群組,然後將特定使用者新增至系統管理單位內的使用者管理員角色,並將其稱為 Admin-for-research。 Admin-for-research 能夠管理系統管理單位中的使用者,但無法跨整個租用戶管理,這有助於達到最低權限的準則。

系統管理單位可使用哪些系統管理員角色?

您可以讓下列角色中的使用者管理系統管理單位:

  • 驗證管理員
  • 群組系統管理員
  • 技術支援管理員
  • 授權系統管理員
  • 密碼管理員
  • 使用者系統管理員

注意

如果您熟悉內部部署的 Active Directory,這項功能的處理方式是在目錄中設定組織單位 (OU),並將使用者新增至 OU。

規劃系統管理單位

管理單位可用來以邏輯方式將 Microsoft Entra 資源分組。 IT 部門遍佈全球的組織可能會建立系統管理單位,來定義相關的地理界限。 在另一個案例中,全球組織設有附屬組織,以半自主方式進行營運,則系統管理單位可代表附屬組織。

系統管理單位的建立準則是依組織的唯一需求所引導。 管理單位是橫跨 Microsoft 365 服務定義結構的常見方式。 建議您在準備系統管理單位時,謹記其跨 Microsoft 365 服務的用途。 您可從管理單位中獲得最大價值,當您能夠在管理單位之下橫跨 Microsoft 365 連結常見的資源。

您可以預期在組織中建立系統管理單位時,會經過下列階段:

  1. 初始採用:貴組織會根據初始準則開始建立系統管理單位,且系統管理單位的數目會隨所定義的準則而增加。
  2. 剪除:在定義準則之後,會將不再需要的系統管理單位刪除。
  3. 穩定:您的組織結構已定義,系統管理單位的數目短期內不會大幅變更。

在 Microsoft Entra ID 中委派系統管理

組織成長帶來複雜度。 其中一項常見的回應是減少一些使用 Microsoft Entra 管理員角色進行存取管理的工作負載。 您可以盡可能指派最低權限給使用者來存取其應用程式及執行其工作。 即使您未指派全域管理員角色給每個應用程式擁有者,也會將應用程式管理責任加諸於現有的全域管理員。 組織會基於諸多原因移至更分散式的管理。

在 Microsoft Entra ID 中,您可以透過下列方式委派應用程式的建立和管理權限:

  • 限制誰可以建立應用程式,並管理他們建立的應用程式。 根據預設,在 Microsoft Entra ID 中所有使用者都可以註冊應用程式,以及管理他們建立的應用程式的所有層面。 您可以限制只允許特定人員擁有該權限。
  • 將一個或多個擁有者指派給應用程式。 是一種簡單的方式,可針對特定的應用程式,授與某人能夠管理 Microsoft Entra ID 設定所有層面的能力。
  • 指派內建的系統管理員角色,以授與存取權來管理所有應用程式的 Microsoft Entra ID 設定。 建議的方式是授與 IT 專家管理廣泛應用程式設定的存取權,而不授與其管理與應用程式設定不相關之 Microsoft Entra ID 其他部分的存取權。
  • 建立自訂角色以定義特定權限。 然後將角色指派給使用者,以指派有限的擁有者。 或者,您也可以在目錄範圍 (所有應用程式) 指派為有限的系統管理員。

建議使用上述其中一種方法來授與存取權的原因有兩個。 首先,委派執行系統管理工作的功能,減輕全域系統管理員的負擔。 第二,使用有限的權限來改善您的安全狀態,並降低未經授權存取的可能性。

委派規劃

在開發符合您需求的委派模型時很有用。 開發委派模型是一項反覆式設計程序,建議您遵循下列步驟:

  • 定義您需要的角色
  • 委派應用程式管理
  • 授與註冊應用程式的能力
  • 委派應用程式所有權
  • 開發安全性方案
  • 建立緊急帳戶
  • 保護管理員角色
  • 將提高權限設為暫時性的

定義角色

判斷系統管理員所進行的 Active Directory 工作,以及其對應至角色的方式。 應評估每項工作的頻率、重要度和難易度。 這些準則是工作定義的重要層面,因為其左右了是否應委派權限:

  • 您定期執行的工作會發生有限的風險,且完成絕佳的委派候選項目時相當瑣碎。
  • 委派之前,應該先謹慎地考量您很少執行,但在整個組織中有潛在風險且需要高技能層級的工作。 反之,您可以暫時將帳戶提高至必要角色,或重新指派工作。

委派應用程式管理

在貴組織內擴大使用應用程式可能會使委派模型過度使用。 若其對於全域管理員造成應用程式存取管理的負擔,很有可能是因為模型隨時間而增加其額外負荷。 如果您為人員授與如設定企業應用程式的全域管理員角色,則您現在可以將其卸載為下列較低特殊權限角色。 這麼做有助於加強您的安全性態勢,並減少意外錯誤的可能性。 最具特殊權限的應用程式管理員角色為:

  • 應用程式管理員角色,可授與在目錄中管理所有應用程式的能力,包含註冊、單一登入設定、使用者與群組指派及授權,應用程式 Proxy 設定,以及同意。 其並不會授與管理條件式存取的能力。
  • 雲端應用程式管理員角色,可授與所有應用程式管理員的能力,但不會授與應用程式 Proxy 設定的存取權 (因為其沒有內部部署權限)。

委派應用程式註冊

所有使用者預設皆可建立應用程式註冊。 若要選擇性授與建立應用程式註冊的能力:

  • 在 [使用者設定] 中,將 [使用者可以註冊應用程式] 設為 [否]
  • 指派應用程式開發人員角色給使用者

若要選擇性授與同意的能力來允許應用程式存取資料:

  • 在企業應用程式的 [使用者設定] 上,將 [使用者可同意應用程式代表自己存取公司資料] 設為 [否]
  • 指派應用程式開發人員角色給使用者

當應用程式開發人員建立新的應用程式註冊時,系統會自動將他們新增為第一個擁有者。

委派應用程式所有權

針對更精細的應用程式存取委派,您可以指派所有權給個別的企業應用程式。 您會提高目前對於指派應用程式註冊擁有者的支援。 擁有權是在 [企業應用程式] 畫面中針對每個企業應用程式所指派的。 優點則是擁有者只能管理他們自己的企業應用程式。 例如,您可以指派 Salesforce 應用程式的擁有者,該擁有者可以管理 Salesforce (而無法管理任何其他應用程式) 的存取權和設定。 企業應用程式可以有多個擁有者,且使用者可為許多企業應用程式的擁有者。 有兩種應用程式擁有者角色:

  • 企業應用程式擁有者角色會授與能力來管理使用者所擁有的企業應用程式,包括單一登入設定、使用者和群組指派,以及新增更多擁有者。 它不會授與管理應用程式 Proxy 設定或條件式存取的能力。
  • 應用程式註冊擁有者角色會授與能力來管理使用者所擁有之應用程式的應用程式註冊,包括應用程式資訊清單,以及新增其他擁有者。

開發安全性方案

Microsoft Entra ID 提供延伸的指引,可規劃及執行您 Microsoft Entra 系統管理員角色的安全性方案,保護混合式和雲端部署的特殊權限存取

建立緊急帳戶

若要在發生問題時維持身分識別管理儲存的存取權,請根據建立緊急存取管理帳戶準備緊急存取帳戶。

保護管理員角色

取得特殊權限帳戶控制權的攻擊者可能會做出極大的損壞。 一律先保護這些帳戶。 使用可供所有 Microsoft Entra 組織使用的安全性預設值功能。 安全性預設值可對特殊權限 Microsoft Entra 帳戶強制執行多重要素驗證。