Microsoft Entra Id'de kısıtlı yönetim yönetim birimleri (Önizleme)
Önemli
Kısıtlı yönetim yönetim birimleri şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan yasal koşullar için Ürün Koşulları'na bakın.
Kısıtlı yönetim yönetim birimleri, kiracınızdaki belirli nesneleri belirlediğiniz belirli bir yönetici kümesi dışında herhangi birinin değiştirmesine karşı korumanıza olanak sağlar. Bu, yöneticilerinizden kiracı düzeyinde rol atamalarını kaldırmak zorunda kalmadan güvenlik veya uyumluluk gereksinimlerini karşılamanızı sağlar.
Kısıtlı yönetim yönetim birimleri neden kullanılır?
Kiracınızdaki erişimi yönetmeye yardımcı olması için kısıtlı yönetim yönetim birimlerini kullanmanızın bazı nedenleri aşağıdadır.
- C düzeyindeki yönetici hesaplarınızı ve cihazlarını, parolalarını sıfırlayabilecek veya BitLocker kurtarma anahtarlarına erişebilecek Yardım Masası Yöneticileri'nden korumak istiyorsunuz. C düzeyi kullanıcı hesaplarınızı kısıtlı bir yönetim yönetim birimine ekleyebilir ve gerektiğinde parolalarını sıfırlayıp BitLocker kurtarma anahtarlarına erişebilen belirli bir güvenilen yönetici kümesini etkinleştirebilirsiniz.
- Belirli kaynakların yalnızca belirli bir ülkedeki yöneticiler tarafından yönetilebilmesini sağlamak için bir uyumluluk denetimi uyguluyorsunuz. Bu kaynakları kısıtlı bir yönetim yönetim birimine ekleyebilir ve bu nesneleri yönetmek için yerel yöneticiler atayabilirsiniz. Genel Yöneticiler bile kısıtlı yönetim yönetim birimi kapsamındaki bir role (denetlenebilir bir olay) açıkça atanmadığı sürece nesneleri değiştirmelerine izin verilmez.
- Kuruluşunuzdaki hassas uygulamalara erişimi denetlemek için güvenlik grupları kullanıyorsunuz ve grupları değiştirebilen kiracı kapsamlı yöneticilerinizin uygulamalara kimlerin erişebileceğini denetleyebilmesine izin vermek istemiyorsunuz. Bu güvenlik gruplarını kısıtlı bir yönetim yönetim birimine ekleyebilir ve ardından yalnızca atadığınız yöneticilerin bunları yönetee olduğundan emin olabilirsiniz.
Not
Nesneleri kısıtlı yönetim yönetim birimlerine yerleştirmek, nesnelerde değişiklik yapabilecek kişileri ciddi ölçüde kısıtlar. Bu kısıtlama, mevcut iş akışlarının bozulmasına neden olabilir.
Hangi nesneler üye olabilir?
Kısıtlı yönetim yönetim birimlerinin üyesi olabilecek nesneler aşağıdadır.
| Microsoft Entra nesne türü | Yönetim birimi | Kısıtlı yönetim ayarının etkinleştirildiği yönetim birimi |
|---|---|---|
| Kullanıcılar | Yes | Yes |
| Cihazlar | Yes | Yes |
| Gruplar (Güvenlik) | Yes | Yes |
| Gruplar (Microsoft 365) | Yes | Hayır |
| Gruplar (Posta özellikli güvenlik) | Yes | Hayır |
| Gruplar (Dağıtım) | Yes | Hayır |
Hangi tür işlemler engellenir?
Kısıtlı yönetim yönetim birimi kapsamında açıkça atanmayan yöneticiler için, kısıtlı yönetim yönetim birimlerindeki nesnelerin Microsoft Entra özelliklerini doğrudan değiştiren işlemler engellenirken, Microsoft 365 hizmetlerindeki ilgili nesneler üzerindeki işlemler etkilenmez.
| İşlem türü | Engellendi | İzin Verilir |
|---|---|---|
| Kullanıcı asıl adı, kullanıcı fotoğrafı gibi standart özellikleri okuma | ✅ | |
| Kullanıcının, grubun veya cihazın Microsoft Entra özelliklerini değiştirme | ❌ | |
| Kullanıcı, grup veya cihazı silme | ❌ | |
| Kullanıcının parolasını güncelleştirme | ❌ | |
| Kısıtlı yönetim yönetim biriminde grubun sahiplerini veya üyelerini değiştirme | ❌ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcıları, grupları veya cihazları Microsoft Entra Id'deki gruplara ekleme | ✅ | |
| Kısıtlı yönetim yönetim birimindeki kullanıcı için Exchange'de e-posta ve posta kutusu ayarlarını değiştirme | ✅ | |
| Intune kullanarak kısıtlı bir yönetim birimindeki bir cihaza ilke uygulama | ✅ | |
| SharePoint'te site sahibi olarak grup ekleme veya kaldırma | ✅ |
Nesneleri kimler değiştirebilir?
Yalnızca kısıtlı yönetim yönetim birimi kapsamında açık ataması olan yöneticiler, kısıtlı yönetim yönetim birimindeki nesnelerin Microsoft Entra özelliklerini değiştirebilir.
| Kullanıcı rolü | Engellendi | İzin Verilir |
|---|---|---|
| Genel Yönetici | ❌ | |
| Kiracı kapsamlı yöneticiler (Genel Yönetici dahil) | ❌ | |
| Kısıtlı yönetim yönetim birimi kapsamında atanan yöneticiler | ✅ | |
| Nesnenin üyesi olduğu başka bir kısıtlı yönetim yönetim birimi kapsamında atanan yöneticiler | ✅ | |
| Nesnenin üye olduğu başka bir normal yönetim birimi kapsamında atanan yöneticiler | ❌ | |
| Kaynak kapsamında atanan Grup Yöneticisi, Kullanıcı Yöneticisi ve diğer rol | ❌ | |
| Kısıtlı yönetim yönetim birimlerine eklenen grup veya cihazların sahipleri | ❌ |
Sınırlamalar
Kısıtlı yönetim yönetim birimleri için bazı sınırlar ve kısıtlamalar aşağıdadır.
- Kısıtlanmış yönetim ayarı yönetim birimi oluşturma sırasında uygulanmalıdır ve yönetim birimi oluşturulduktan sonra değiştirilemez.
- Kısıtlı yönetim yönetim birimindeki gruplar, Microsoft Entra Privileged Identity Management veya Microsoft Entra yetkilendirme yönetimi gibi Microsoft Entra Kimlik Yönetimi özelliklerle yönetilemiyor.
- Kısıtlı bir yönetim yönetim birimine eklendiğinde rol atanabilir grupların üyelikleri değiştirilemez. Grup sahiplerinin kısıtlı yönetim yönetim birimlerindeki grupları yönetmesine izin verilmez ve yalnızca Genel Yöneticiler ve Ayrıcalıklı Rol Yöneticileri (yönetim birimi kapsamında atanamaz) üyeliği değiştirebilir.
- Gerekli rol yönetim birimi kapsamında atanabilecek rollerden biri değilse, bir nesne kısıtlı bir yönetim yönetim biriminde olduğunda bazı eylemler mümkün olmayabilir. Örneğin, kısıtlı bir yönetim yönetim birimindeki bir Genel Yönetici, bir Genel Yöneticinin parolasını sıfırlayan yönetim birimi kapsamında atanabilecek bir yönetici rolü olmadığından, parolalarını sistemdeki başka bir yönetici tarafından sıfırlayamaz. Bu tür senaryolarda, Genel Yöneticinin önce kısıtlı yönetim yönetim biriminden kaldırılması ve ardından başka bir Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi tarafından parola sıfırlaması gerekir.
- Kısıtlı bir yönetim yönetim birimini silerken, eski üyelerden tüm korumaların kaldırılması 30 dakika kadar sürebilir.
Programlanabilirlik
Uygulamalar, kısıtlı yönetim yönetim birimlerindeki nesneleri varsayılan olarak değiştiremez. Kısıtlı yönetim yönetim birimindeki nesneleri yönetmek üzere bir uygulamaya erişim vermek için, kısıtlı yönetim yönetim birimi kapsamında uygulamaya bir Microsoft Entra rolü atamanız gerekir. Uygulamaya Microsoft Graph uygulama izinleri atarsanız, bu izinler kısıtlandığı için uygulanmaz.
Lisans gereksinimleri
Kısıtlı yönetim yönetim birimleri, her yönetim birimi yöneticisi için bir Microsoft Entra ID P1 lisansı ve yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.