Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le organizzazioni hanno risorse che richiedono una sicurezza rigorosa, ad esempio l'account utente del CEO. Attualmente, un amministratore del supporto tecnico può ottenere l'accesso all'account di un CEO reimpostando la password e un amministratore dei gruppi a livello di tenant può aggiungere utenti ai gruppi di sicurezza con accesso ai dati finanziari in SharePoint.
Le unità amministrative con restrizioni consentono di proteggere oggetti specifici nel tenant dalla modifica da parte di chiunque non appartenga a un insieme specifico di persone designate. In questo modo è possibile soddisfare i requisiti di sicurezza o conformità senza dover rimuovere le assegnazioni di ruolo a livello di tenant dagli amministratori.
Perché usare le unità amministrative di gestione con restrizioni?
Ecco alcuni motivi per cui è possibile usare le unità amministrative di gestione con restrizioni per gestire l'accesso nel tenant.
Proteggere gli account esecutivi e i relativi dispositivi
Si vogliono proteggere gli account executive di C e i relativi dispositivi dagli amministratori del supporto tecnico che altrimenti sarebbero in grado di reimpostare le password o accedere alle chiavi di ripristino di BitLocker. È possibile aggiungere gli account utente a livello C a un'unità amministrativa di gestione con restrizioni e abilitare un set attendibile specifico di amministratori che possono reimpostare le password e accedere alle chiavi di ripristino di BitLocker quando necessario.
Implementare il controllo di conformità solo agli amministratori locali
Si vuole implementare un controllo di conformità per assicurarsi che determinate risorse possano essere gestite solo dagli amministratori in un paese/area geografica specifica. È possibile aggiungere tali risorse in un'unità amministrativa di gestione con restrizioni e assegnare amministratori locali per gestire tali oggetti. Anche gli amministratori globali non potranno modificare gli oggetti a meno che non si assegnino in modo esplicito a un ruolo con ambito all'unità amministrativa di gestione con restrizioni (che è un evento controllabile).
Limitare la gestione dei gruppi di sicurezza sensibili a specifici amministratori
Si usano gruppi di sicurezza per controllare l'accesso alle applicazioni sensibili nell'organizzazione e non si vuole consentire agli amministratori con ambito tenant che possono modificare i gruppi per controllare chi può accedere alle applicazioni. È possibile aggiungere tali gruppi di sicurezza a un'unità amministrativa di gestione con restrizioni e quindi assicurarsi che solo gli amministratori specifici assegnati possano gestirli.
Scenario di esempio
Il diagramma seguente mostra un'unità amministrativa di gestione con restrizioni esecutiva di esempio (illustrata nella casella viola) con oggetti che possono essere modificati solo dal supporto esecutivo. Gli amministratori a livello di tenant e gli amministratori locali non possono modificare gli oggetti nell'unità amministrativa Executive.
Nota
L'inserimento di oggetti in un'unità amministrativa di gestione con restrizioni limita notevolmente gli utenti che possono apportare modifiche agli oggetti. Questa restrizione può causare l'interruzione dei flussi di lavoro esistenti.
Quali oggetti possono essere membri?
Ecco gli oggetti che possono essere membri di unità amministrative di gestione con restrizioni.
| Tipo di oggetto Microsoft Entra | Unità amministrativa | Unità amministrativa di gestione con restrizioni |
|---|---|---|
| Utenti | Sì | Sì |
| Dispositivi | Sì | Sì |
| Gruppi (sicurezza) | Sì | Sì |
| Gruppi (Microsoft 365) | Sì | NO |
| Gruppi (sicurezza abilitata per la posta elettronica) | Sì | NO |
| Gruppi (distribuzione) | Sì | NO |
Quali tipi di operazioni vengono bloccati?
Per gli amministratori non assegnati in modo esplicito nell'ambito dell'unità amministrativa di gestione con restrizioni, le operazioni che modificano direttamente le proprietà degli oggetti nelle unità amministrative di gestione con restrizioni vengono bloccate, mentre le operazioni sugli oggetti correlati nei servizi di Microsoft 365 non sono interessate.
| Tipo di operazione | Bloccati | Consentito |
|---|---|---|
| Leggere le proprietà standard come il nome principale utente e la foto utente. | ✅ | |
| Modificare le proprietà di Microsoft Entra dell'utente, del gruppo o del dispositivo | ❌ | |
| Eliminare l'utente, il gruppo o il dispositivo | ❌ | |
| Aggiornare la password per un utente | ❌ | |
| Modificare proprietari o membri del gruppo nell'unità amministrativa di gestione con restrizioni | ❌ | |
| Aggiungere utenti, gruppi o dispositivi in un'unità amministrativa di gestione con restrizioni ai gruppi in Microsoft Entra ID | ✅ | |
| Modificare le impostazioni di posta elettronica e cassetta postale in Exchange per l'utente nell'unità amministrativa di gestione con restrizioni | ✅ | |
| Applicare criteri a un dispositivo in un'unità amministrativa di gestione con restrizioni usando Intune | ✅ | |
| Aggiungere o rimuovere un gruppo come proprietario del sito in SharePoint | ✅ | |
| Assegnare licenze e aggiornare la posizione di utilizzo degli utenti in un'unità amministrativa di gestione con restrizioni | ✅ |
Chi può modificare gli oggetti?
Solo gli amministratori con un'assegnazione esplicita nell'ambito di un'unità amministrativa di gestione con restrizioni possono modificare le proprietà di Microsoft Entra degli oggetti nell'unità amministrativa di gestione con restrizioni.
| Ruolo | Ambito | Bloccati | Consentito |
|---|---|---|---|
| Amministratore globale | Inquilino | ❌ | |
| Amministratore di ruolo privilegiato | Inquilino | ❌ | |
| Amministratore dei gruppi, Amministratore utenti o altri ruoli | Conto risorse | ❌ | |
| Proprietari di gruppi o dispositivi aggiunti alle unità amministrative di gestione con restrizioni | ❌ | ||
| Ruolo predefinito o personalizzato | Inquilino | ❌ | |
| Ruoli che possono essere assegnati con ambito di unità amministrativa | Unità amministrativa di gestione con restrizioni | ✅ | |
| Ruoli che possono essere assegnati con ambito di unità amministrativa | Un'altra unità amministrativa di gestione con restrizioni di cui l'oggetto è membro | ✅ | |
| Ruoli che possono essere assegnati con ambito di unità amministrativa | Un'altra unità amministrativa regolare di cui l'oggetto è membro | ❌ |
Se un amministratore con ambito tenant tenta di modificare un oggetto in un'unità amministrativa di gestione con restrizioni, visualizzerà messaggi simili ai seguenti:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Chi può gestire le unità amministrative di gestione con restrizioni?
I ruoli seguenti nell'ambito del tenant non possono modificare gli oggetti nelle unità amministrative di gestione con restrizioni, ma possono gestire autonomamente le unità amministrative di gestione con restrizioni.
| Ruolo | Ambito | Modificare gli oggetti nelle unità amministrative di gestione con restrizioni | Gestire le unità amministrative di gestione limitata |
|---|---|---|---|
| Amministratore globale | Inquilino | NO | Sì |
| Amministratore di ruolo privilegiato | Inquilino | NO | Sì |
Questa gestione include le attività seguenti:
- Creare o eliminare unità amministrative di gestione con restrizioni
- Aggiungere o rimuovere membri da un'unità amministrativa di gestione con restrizioni
- Assegnare ruoli o rimuovere assegnazioni di ruoli con ambito di unità amministrativa a gestione limitata
- Assegnare a se stessi ruoli con ambito limitato alle unità amministrative di gestione.
Se un amministratore con ambito dell'unità amministrativa con restrizioni di gestione modifica i processi o lascia l'organizzazione, per ottenere nuovamente l'accesso, un amministratore globale o un amministratore del ruolo con privilegi può assegnare un altro amministratore o se stesso all'unità amministrativa di gestione con restrizioni.
Registri di audit
Per tenere traccia delle modifiche apportate alle unità amministrative di gestione con restrizioni, queste attività vengono registrate nei log di controllo di Microsoft Entra.
| Attività | Categoria | Dettagli |
|---|---|---|
| Aggiungere un'unità amministrativa | Unità amministrativa |
IsMemberManagementRestricted = vero |
| Aggiungere un membro all'unità amministrativa di gestione con restrizioni | Unità amministrativa | |
| Rimuovere un membro dall'unità amministrativa di gestione con restrizioni | Unità amministrativa | |
| Aggiungere un membro al ruolo con ambito sull'unità amministrativa gestione con restrizioni | Gestione dei ruoli | |
| Rimuovere un membro dal ruolo con ambito sull'unità amministrativa gestione con restrizioni | Gestione dei ruoli |
Limiti
Ecco alcuni dei limiti e dei vincoli per le unità amministrative di gestione con restrizioni.
- L'impostazione di gestione con restrizioni deve essere applicata durante la creazione dell'unità amministrativa e non può essere modificata dopo la creazione dell'unità amministrativa.
- I gruppi e gli utenti in un'unità amministrativa di gestione con restrizioni non possono essere gestiti con le funzionalità di governance di Microsoft Entra ID, ad esempio Privileged Identity Management, Gestione entitlement, Flussi di lavoro del ciclo di vita e Verifiche di accesso.
- Quando un gruppo è configurato per avere l'appartenenza pubblica (impostando la proprietà visibility su
Public), gli utenti possono partecipare al gruppo usando l'appartenenza al gruppo self-service. Questa configurazione non è l'impostazione predefinita e non è consigliabile configurare i gruppi in unità amministrative di gestione con restrizioni per consentire l'appartenenza pubblica. Si tratta di una limitazione temporanea e verrà rimossa. - I gruppi assegnabili ai ruoli, se aggiunti a un'unità amministrativa di gestione con restrizioni, non possono modificare l'appartenenza. I proprietari dei gruppi non sono autorizzati a gestire i gruppi in unità amministrative di gestione con restrizioni e solo gli amministratori globali e gli amministratori del ruolo con privilegi (nessuno dei quali può essere assegnato nell'ambito dell'unità amministrativa) possono modificare l'appartenenza.
- Alcune azioni potrebbero non essere possibili quando un oggetto si trova in un'unità amministrativa di gestione con restrizioni, se il ruolo richiesto non è uno dei ruoli che possono essere assegnati nell'ambito dell'unità amministrativa. Ad esempio, un amministratore globale in un'unità amministrativa di gestione con restrizioni non può avere la reimpostazione della password da parte di altri amministratori del sistema, perché non esiste alcun ruolo di amministratore che può essere assegnato nell'ambito dell'unità amministrativa che può reimpostare la password di un amministratore globale. In questi scenari, l'amministratore globale deve prima essere rimosso dall'unità amministrativa di gestione con restrizioni e quindi la reimpostazione della password deve essere effettuata da un altro amministratore globale o amministratore del ruolo con privilegi.
- Quando si elimina un'unità amministrativa di gestione con restrizioni, possono essere necessari fino a 30 minuti per rimuovere tutte le protezioni dai membri precedenti.
- Un massimo di 100 unità amministrative di gestione con restrizioni in un tenant.
Programmabilità
Le applicazioni non possono modificare gli oggetti nelle unità amministrative di gestione con restrizioni per impostazione predefinita. Per concedere a un'applicazione l'accesso per gestire gli oggetti in un'unità amministrativa di gestione con restrizioni, è necessario assegnare un ruolo Microsoft Entra all'applicazione nell'ambito dell'unità amministrativa di gestione con restrizioni. Se si assegnano le autorizzazioni dell'applicazione Microsoft Graph all'applicazione, tali autorizzazioni non verranno applicate perché sono limitate.
Requisiti di licenza
Le unità amministrative di gestione con restrizioni richiedono una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID gratuito per i membri dell'unità amministrativa. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.