Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Organizacje mają zasoby, które wymagają rygorystycznych zabezpieczeń, takich jak konto użytkownika dyrektora generalnego. Obecnie administrator pomocy technicznej może potencjalnie uzyskać dostęp do konta dyrektora generalnego, resetując swoje hasło, a administrator grup na poziomie dzierżawy może dodawać użytkowników do grup zabezpieczeń z dostępem do danych finansowych w programie SharePoint.
Ograniczone jednostki administracyjne zarządzania umożliwiają ochronę określonych obiektów w dzierżawie przed modyfikacją przez osoby inne niż określony zestaw osób, które wyznaczysz. Pozwala to spełnić wymagania dotyczące zabezpieczeń lub zgodności bez konieczności usuwania przypisań ról na poziomie dzierżawy z administratorów.
Dlaczego warto używać ograniczonych jednostek administracyjnych zarządzania?
Oto kilka powodów, dla których można używać ograniczonych jednostek administracyjnych zarządzania do pomocy w zarządzaniu dostępem w dzierżawie.
Ochrona kont kadry kierowniczej i ich urządzeń
Chcesz chronić konta kadry kierowniczej na poziomie C i ich urządzenia od administratorów pomocy technicznej, którzy w przeciwnym razie będą mogli zresetować swoje hasła lub uzyskać dostęp do kluczy odzyskiwania funkcji BitLocker. Możesz dodać konta użytkowników na poziomie kierowniczym do jednostki administracyjnej o ograniczonych uprawnieniach zarządzania i włączyć określony zaufany zestaw administratorów, którzy mogą resetować hasła tych użytkowników i uzyskiwać dostęp do kluczy odzyskiwania funkcji BitLocker w razie potrzeby.
Implementowanie kontroli zgodności tylko dla administratorów lokalnych
Chcesz zaimplementować kontrolę zgodności, aby upewnić się, że niektóre zasoby mogą być zarządzane tylko przez administratorów w określonym kraju/regionie. Te zasoby można dodać w jednostce administracyjnej zarządzania z ograniczeniami i przypisać administratorów lokalnych do zarządzania tymi obiektami. Nawet administratorzy globalni nie będą mogli modyfikować obiektów, chyba że przypisują się jawnie do roli o określonym zakresie do jednostki administracyjnej z ograniczeniami zarządzania (co jest zdarzeniem podlegającym inspekcji).
Ograniczanie zarządzania poufnymi grupami zabezpieczeń do określonych administratorów
Używasz grup zabezpieczeń do kontrolowania dostępu do poufnych aplikacji w organizacji i nie chcesz zezwalać administratorom z uprawnieniami na poziomie dzierżawy, którzy mogą modyfikować grupy, aby mogli decydować, kto ma dostęp do tych aplikacji. Możesz dodać te grupy zabezpieczeń do jednostki administracyjnej zarządzania z ograniczeniami, a następnie upewnić się, że tylko przypisani administratorzy mogą nimi zarządzać.
Przykładowy scenariusz
Na poniższym diagramie przedstawiono przykładową jednostkę administracyjną zarządzania z ograniczeniami kadry kierowniczej (pokazaną w fioletowym polu) z obiektami, które można modyfikować tylko przez pomoc techniczną kadry kierowniczej. Administratorzy na poziomie dzierżawy i administratorzy lokalni nie mogą modyfikować obiektów w jednostce administracyjnej Executive.
Uwaga
Umieszczanie obiektów w jednostce administracyjnej z ograniczeniami zarządzania poważnie ogranicza, kto może wprowadzać zmiany w obiektach. To ograniczenie może spowodować przerwanie istniejących przepływów pracy.
Jakie obiekty mogą być elementami członkowskimi?
Oto obiekty, które mogą być członkami ograniczonych jednostek administracyjnych zarządzania.
| typ obiektu Microsoft Entra | Jednostka administracyjna | Jednostka administracyjna zarządzania z ograniczeniami |
|---|---|---|
| Użytkownicy | Tak | Tak |
| Urządzenia | Tak | Tak |
| Grupy (zabezpieczenia) | Tak | Tak |
| Grupy (Microsoft 365) | Tak | Nie. |
| Grupy (zabezpieczenia z włączoną obsługą poczty) | Tak | Nie. |
| Grupy (dystrybucja) | Tak | Nie. |
Jakie typy operacji są blokowane?
W przypadku administratorów, którzy nie są jawnie przypisani do ograniczonego zakresu jednostki administracyjnej zarządzania, operacje bezpośrednio modyfikujące właściwości Microsoft Entra obiektów w tych jednostkach są blokowane, natomiast operacje na powiązanych obiektach w usługach Microsoft 365 nie są tym dotknięte.
| Typ operacji | Zablokowano | Dozwolone |
|---|---|---|
| Odczytywanie standardowych właściwości, takich jak główna nazwa użytkownika, zdjęcie użytkownika | ✅ | |
| Modyfikowanie dowolnych właściwości usługi Microsoft Entra użytkownika, grupy lub urządzenia | ❌ | |
| Usuwanie użytkownika, grupy lub urządzenia | ❌ | |
| Aktualizowanie hasła dla użytkownika | ❌ | |
| Modyfikowanie właścicieli lub członków grupy w jednostce administracyjnej z ograniczonym zarządzaniem | ❌ | |
| Dodaj użytkowników, grupy lub urządzenia w jednostce administracyjnej z ograniczoną możliwością zarządzania do grup w usłudze Microsoft Entra ID | ✅ | |
| Modyfikowanie ustawień poczty e-mail i skrzynki pocztowej w programie Exchange dla użytkownika w jednostce administracyjnej zarządzania z ograniczeniami | ✅ | |
| Aplikowanie zasad do urządzenia w ograniczonej jednostce administracyjnej zarządzania przy użyciu usługi Intune | ✅ | |
| Dodawanie lub usuwanie grupy jako właściciela witryny w programie SharePoint | ✅ | |
| Przypisywanie licencji i aktualizowanie lokalizacji użycia użytkowników w jednostce administracyjnej o ograniczonym zarządzaniu | ✅ |
Kto może modyfikować obiekty?
Tylko administratorzy, którzy mają jawnie przypisaną rolę w specjalnej jednostce administracyjnej zarządzania ograniczonego dostępu, mogą zmieniać właściwości Microsoft Entra obiektów w tej jednostce.
| Rola | Scope | Zablokowano | Dozwolone |
|---|---|---|---|
| Globalny administrator usługi | Najemca | ❌ | |
| Administrator ról uprzywilejowanych | Najemca | ❌ | |
| Administrator grup, administrator użytkowników lub inne role | Zasób | ❌ | |
| Właściciele grup lub urządzeń dodanych do ograniczonych jednostek administracyjnych zarządzania | ❌ | ||
| Wbudowana lub niestandardowa rola | Najemca | ❌ | |
| Role przypisywane w zakresie jednostki administracyjnej | Jednostka administracyjna zarządzania z ograniczeniami | ✅ | |
| Role przypisywane w zakresie jednostki administracyjnej | Inna jednostka administracyjna z ograniczonym zarządzaniem, której obiekt jest członkiem | ✅ | |
| Role przypisywane w zakresie jednostki administracyjnej | Inna zwykła jednostka administracyjna, której obiekt jest elementem członkowskim | ❌ |
Jeśli administrator z zakresem dzierżawy próbuje zmodyfikować obiekt w jednostce administracyjnej zarządzania z ograniczeniami, będą widzieć komunikaty podobne do następujących:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Kto może zarządzać ograniczonymi jednostkami administracyjnymi zarządzania?
Następujące role w zakresie dzierżawcy nie mogą modyfikować obiektów w ograniczonych jednostkach zarządzania, ale mogą zarządzać samymi tymi ograniczonymi jednostkami administracyjnymi.
| Rola | Scope | Modyfikowanie obiektów w jednostkach administracyjnych zarządzania z ograniczeniami | Zarządzanie ograniczonymi jednostkami administracyjnymi |
|---|---|---|---|
| Globalny administrator usługi | Najemca | Nie. | Tak |
| Administrator ról uprzywilejowanych | Najemca | Nie. | Tak |
To zarządzanie obejmuje następujące zadania:
- Tworzenie lub usuwanie jednostek administracyjnych zarządzania z ograniczeniami
- Dodawanie lub usuwanie członków z ograniczonych jednostek administracyjnych zarządzania
- Przypisywanie ról lub usuwanie przypisań ról z ograniczonym zakresem jednostki administracyjnej zarządzania
- Przypisywanie sobie ról z ograniczonym zakresem jednostek administracyjnych zarządzania
Jeśli administrator z ograniczonym zakresem jednostki administracyjnej zmienia zadania lub opuszcza organizację, aby odzyskać dostęp, administrator globalny lub administrator ról uprzywilejowanych może przypisać innego administratora lub siebie do jednostki administracyjnej z ograniczeniami zarządzania.
Dzienniki inspekcji
Aby ułatwić śledzenie zmian wprowadzonych w ograniczonych jednostkach administracyjnych zarządzania, te działania są rejestrowane w dziennikach inspekcji firmy Microsoft Entra.
| Aktywność | Kategoria | Szczegóły |
|---|---|---|
| Dodawanie jednostki administracyjnej | AdministracjaUnit |
IsMemberManagementRestricted = prawda |
| Dodawanie członka do jednostki administracyjnej zarządzania z ograniczeniami | AdministracjaUnit | |
| Usuwanie elementu członkowskiego z jednostki administracyjnej zarządzania z ograniczeniami | AdministracjaUnit | |
| Dodawanie członka do roli w zakresie jednostki administracyjnej zarządzania z ograniczeniami | Zarządzanie rolami | |
| Usuwanie elementu członkowskiego z zakresu jednostki administracyjnej zarządzania z ograniczeniami | Zarządzanie rolami |
Ograniczenia
Poniżej przedstawiono niektóre limity i ograniczenia dotyczące ograniczonych jednostek administracyjnych zarządzania.
- Ustawienie zarządzania z ograniczeniami musi być stosowane podczas tworzenia jednostki administracyjnej i nie można go zmienić po utworzeniu jednostki administracyjnej.
- Grupy i użytkownicy w jednostce administracyjnej o ograniczonym zarządzaniu nie mogą być zarządzane za pomocą funkcji Microsoft Entra ID Governance, takich jak Privileged Identity Management, Zarządzanie upoważnieniami, Przepływy pracy cyklu życia i Przeglądy dostępu.
- Jeśli grupa jest skonfigurowana tak, aby miała członkostwo publiczne (przez ustawienie właściwości widoczności na
Public), użytkownicy mogą dołączyć do grupy przy użyciu członkostwa w grupie samoobsługowej. Ta konfiguracja nie jest ustawieniem domyślnym i nie zaleca się konfigurowania grup w ograniczonych jednostkach administracyjnych zarządzania w celu umożliwienia członkostwa publicznego. Jest to tymczasowe ograniczenie i zostanie usunięte. - Grupy z możliwością przypisywania ról, po dodaniu do jednostki administracyjnej z ograniczeniami zarządzania, nie mogą mieć zmodyfikowanego członkostwa. Właściciele grup nie mogą zarządzać grupami w ograniczonych jednostkach administracyjnych, a tylko administratorzy globalni i administratorzy ról uprzywilejowanych (żadna z nich nie może być przypisana w zakresie jednostki administracyjnej) może modyfikować członkostwo.
- Niektóre akcje mogą nie być możliwe, gdy obiekt znajduje się w jednostce administracyjnej zarządzania z ograniczeniami, jeśli wymagana rola nie jest jedną z ról, które można przypisać w zakresie jednostki administracyjnej. Na przykład administrator globalny w jednostce administracyjnej z ograniczeniami zarządzania nie może zresetować hasła przez żadnego innego administratora w systemie, ponieważ nie ma roli administratora, którą można przypisać w zakresie jednostki administracyjnej, która może zresetować hasło administratora globalnego. W takich scenariuszach administrator globalny musi najpierw zostać usunięty z jednostki administracyjnej z ograniczeniami zarządzania, a następnie zresetować hasło przez innego administratora globalnego lub administratora ról uprzywilejowanych.
- Usunięcie ograniczonej jednostki administracyjnej może potrwać do 30 minut, żeby usunąć wszystkie zabezpieczenia z byłych członków.
- Maksymalnie 100 ograniczonych jednostek administracyjnych zarządzania w dzierżawie.
Możliwości programowania
Aplikacje domyślnie nie mogą modyfikować obiektów w ograniczonych jednostkach administracyjnych zarządzania. Aby udzielić aplikacji dostępu do zarządzania obiektami w jednostce administracyjnej zarządzania z ograniczeniami, należy przypisać do aplikacji rolę Entra firmy Microsoft w zakresie jednostki administracyjnej zarządzania z ograniczeniami. Jeśli przypiszesz do aplikacji uprawnienia aplikacji programu Microsoft Graph, te uprawnienia nie będą stosowane, ponieważ są one ograniczone.
Wymagania dotyczące licencji
Jednostki administracyjne z ograniczeniami wymagają licencji Microsoft Entra ID P1 dla każdego administratora jednostki administracyjnej i licencji Microsoft Entra ID Free dla członków jednostki administracyjnej. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Porównując funkcje ogólnie dostępne w wersji bezpłatnej i Premium.