Административные единицы ограниченного управления в идентификаторе Microsoft Entra (предварительная версия)

Маңызды

Административные единицы ограниченного управления в настоящее время находятся в предварительной версии. Ознакомьтесь с условиями продукта для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Ограниченные административные единицы управления позволяют защитить определенные объекты в клиенте от изменения любым пользователем, кроме определенного набора назначенных администраторов. Это позволяет соответствовать требованиям безопасности или соответствия требованиям, не удаляя назначения ролей на уровне клиента от администраторов.

Зачем использовать административные единицы управления с ограниченным доступом?

Ниже приведены некоторые причины, по которым можно использовать административные единицы ограниченного управления для управления доступом в клиенте.

  • Вы хотите защитить учетные записи руководителей уровня C и их устройства от администраторов службы технической поддержки, которые в противном случае смогут сбросить пароли или получить доступ к ключам восстановления BitLocker. Вы можете добавить учетные записи пользователей уровня C в административное подразделение с ограниченным доступом и включить определенный доверенный набор администраторов, которые могут сбрасывать пароли и получать доступ к ключам восстановления BitLocker при необходимости.
  • Вы реализуете контроль соответствия требованиям, чтобы гарантировать, что определенные ресурсы могут управляться только администраторами в определенной стране. Эти ресурсы можно добавить в административную единицу ограниченного управления и назначить локальным администраторам для управления этими объектами. Даже глобальные администраторы не могут изменять объекты, если только они не назначают себя явно роли, ограниченной административной единице управления (это событие, доступное для аудита).
  • Группы безопасности используются для управления доступом к конфиденциальным приложениям в вашей организации, и вы не хотите разрешить администраторам с областью клиента, которые могут изменять группы, чтобы управлять доступом к приложениям. Эти группы безопасности можно добавить в административную единицу управления с ограниченным доступом, а затем убедиться, что им могут управлять только определенные администраторы.

Ескерім

Размещение объектов в административных единицах управления с ограниченным доступом значительно ограничивает возможность внесения изменений в объекты. Это ограничение может привести к разрыву существующих рабочих процессов.

Какие объекты могут быть членами?

Ниже приведены объекты, которые могут быть членами ограниченных административных единиц управления.

Тип объекта Microsoft Entra Административная единица Административная единица с включенным параметром ограниченного управления
Пользователи Да Да
. Да Да
Группы (безопасность) Да Да
Группы (Microsoft 365) Да Нет
Группы (безопасность с поддержкой почты) Да Нет
Группы (распределение) Да Нет

Какие типы операций блокируются?

Для администраторов, не назначенных администраторам в области административного подразделения ограниченного управления, операции, которые напрямую изменяют свойства объектов Microsoft Entra в административных единицах ограниченного управления, блокируются, а операции с связанными объектами в службах Microsoft 365 не затрагиваются.

Тип операции Заблокировано Допустимо
Чтение стандартных свойств, таких как имя участника-пользователя, фотография пользователя
Изменение любых свойств Microsoft Entra пользователя, группы или устройства
Удаление пользователя, группы или устройства
Обновление пароля для пользователя
Изменение владельцев или членов группы в административной единице ограниченного управления
Добавление пользователей, групп или устройств в административное подразделение с ограниченным доступом к группам в идентификаторе Microsoft Entra
Изменение параметров электронной почты и почтовых ящиков в Exchange для пользователя в административной единице с ограниченным доступом
Применение политик к устройству в административной единице ограниченного управления с помощью Intune
Добавление или удаление группы в качестве владельца сайта в SharePoint

Кто может изменять объекты?

Только администраторы с явным назначением в области административной единицы ограниченного управления могут изменять свойства объектов Microsoft Entra в административной единице ограниченного управления.

роль пользователя. Заблокировано Допустимо
Глобальный администратор
Администраторы с областью действия клиента (включая глобального администратора)
Администраторы, назначенные в области администрирования ограниченного управления
Администраторы, назначенные в области другого административного подразделения ограниченного управления, в котором объект является членом
Администраторы, назначенные в области другой регулярной административной единицы, в которой объект является членом
Администратор групп, администратор пользователей и другая роль, назначенная в области ресурса
Владельцы групп или устройств, добавленных в административные единицы управления с ограниченным доступом

Ограничения

Ниже приведены некоторые ограничения и ограничения для административных единиц управления с ограниченным доступом.

  • Параметр ограниченного управления должен применяться во время создания административной единицы и не может быть изменен после создания административной единицы.
  • Группы в административной единице ограниченного управления нельзя управлять с помощью Управление идентификацией Microsoft Entra функций, таких как Microsoft Entra управление привилегированными пользователями или управление правами Microsoft Entra.
  • Группы, назначаемые ролями, при добавлении в административную единицу с ограниченным доступом к управлению, не могут быть изменены. Владельцы групп не могут управлять группами в административных единицах ограниченного управления, а также изменять членство могут только глобальные администраторы и администраторы привилегированных ролей (ни из которых могут быть назначены в области администрирования).
  • Некоторые действия могут быть недоступны, если объект находится в ограниченной административной единице управления, если требуемая роль не является одной из ролей, которые могут быть назначены в области администрирования. Например, глобальный администратор в административной единице с ограниченным доступом не может сбрасывать пароль любым другим администратором в системе, так как в области администрирования не может быть назначена роль администратора, которая может сбросить пароль глобального администратора. В таких случаях глобальный администратор должен быть удален из административной единицы ограниченного управления, а затем сбрасывать пароль другим глобальным администратором или администратором привилегированных ролей.
  • При удалении ограниченной административной единицы управления может потребоваться до 30 минут, чтобы удалить все защиты от бывших участников.

Программируемость

Приложения по умолчанию не могут изменять объекты в ограниченных административных единицах управления. Чтобы предоставить приложению доступ к объектам в административной единице ограниченного управления, необходимо назначить роль Microsoft Entra приложению в области административной единицы управления с ограниченным доступом. Если вы назначаете приложениям Microsoft Graph разрешения, эти разрешения не будут применяться, так как они ограничены.

Требования к лицензиям

Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.

Следующие шаги