Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Организации имеют ресурсы, которым требуется строгая безопасность, например учетная запись пользователя генерального директора. В настоящее время администратор службы технической поддержки может получить доступ к учетной записи генерального директора, сбросив пароль, а администратор групп уровня клиента может добавить пользователей в группы безопасности с доступом к финансовым данным в SharePoint.
Ограниченные административные единицы управления позволяют защитить определенные объекты в вашей среде от изменения кем-либо, кроме определенного вами набора людей. Это позволяет соответствовать требованиям безопасности или соответствия требованиям, не удаляя назначения ролей на уровне клиента от администраторов.
Зачем использовать административные единицы управления с ограниченным доступом?
Вот некоторые причины, по которым можно использовать ограниченные административные единицы для управления доступом в вашем клиенте.
Защита учетных записей руководителей и их устройств
Вы хотите защитить учетные записи руководителей уровня C и их устройства от администраторов службы технической поддержки, которые в противном случае смогут сбросить пароли или получить доступ к ключам восстановления BitLocker. Вы можете добавить учетные записи пользователей уровня C в административное подразделение с ограниченным доступом и включить определенный доверенный набор администраторов, которые могут сбрасывать пароли и получать доступ к ключам восстановления BitLocker при необходимости.
Реализуйте контроль соблюдения только для локальных администраторов
Вы хотите реализовать контроль соответствия требованиям, чтобы гарантировать, что определенные ресурсы могут управляться только администраторами в определенной стране или регионе. Вы можете добавить эти ресурсы в административную единицу с ограничениями управления и назначить локальных администраторов для управления данными объектами. Даже глобальным администраторам не разрешается изменять объекты, если они только явно не назначат себя на роль, охватывающую ограниченную административную единицу управления (что является событием, подлежащим аудиту).
Ограничение управления конфиденциальными группами безопасности определенным администраторам
Группы безопасности используются для управления доступом к конфиденциальным приложениям в вашей организации, и вы не хотите разрешить администраторам, имеющим полномочия на уровне клиента, которые могут изменять группы, контролировать, кто может получать доступ к приложениям. Эти группы безопасности можно добавить в административную единицу управления с ограниченным доступом, а затем убедиться, что им могут управлять только определенные администраторы.
Пример сценария
На следующей схеме показан пример административной единицы управления с ограниченным доступом (показан в пурпурном поле) с объектами, которые могут быть изменены только поддержкой руководителей. Администраторы уровня арендатора и локальные администраторы не могут изменять объекты в исполнительном административном подразделении.
Примечание.
Размещение объектов в административной единице ограниченного управления сильно ограничивает, кто может вносить изменения в объекты. Это ограничение может привести к разрыву существующих рабочих процессов.
Какие объекты могут быть членами?
Ниже приведены объекты, которые могут быть членами ограниченных административных единиц управления.
| Тип объекта Microsoft Entra | Административная единица | Административное подразделение ограниченного управления |
|---|---|---|
| Пользователи | Да | Да |
| Устройства | Да | Да |
| Группы (безопасность) | Да | Да |
| Группы (Microsoft 365) | Да | Нет |
| Группы безопасности с поддержкой электронной почты | Да | Нет |
| Группы (распределение) | Да | Нет |
Какие типы операций блокируются?
Для администраторов, которые не назначены явно в пределах области административного подразделения ограниченного управления, операции, которые напрямую изменяют свойства объектов Microsoft Entra в этих подразделениях, блокируются, в то время как операции с связанными объектами в службах Microsoft 365 не затрагиваются.
| Тип операции | Заблокировано | Допустимо |
|---|---|---|
| Чтение стандартных свойств, таких как основное имя пользователя, фотография пользователя | ✅ | |
| Изменение любых свойств Microsoft Entra пользователя, группы или устройства | ❌ | |
| Удаление пользователя, группы или устройства | ❌ | |
| Обновление пароля для пользователя | ❌ | |
| Измените владельцев или участников группы в административной единице с ограниченными полномочиями управления. | ❌ | |
| Добавьте пользователей, группы или устройства в административное подразделение с ограниченным доступом к группам в Microsoft Entra ID | ✅ | |
| Изменение параметров электронной почты и почтовых ящиков в Exchange для пользователя в административной единице с ограниченным доступом | ✅ | |
| Применяйте политики к устройству в административной единице с ограниченным управлением с использованием Intune. | ✅ | |
| Добавление или удаление группы в качестве владельца сайта в SharePoint | ✅ | |
| Назначение лицензий и обновление расположения пользователей в административной единице управления с ограниченным доступом | ✅ |
Кто может изменять объекты?
Только администраторы с явным назначением в области административной единицы ограниченного управления могут изменять свойства объектов Microsoft Entra в административной единице ограниченного управления.
| Должность | Область действия | Заблокировано | Допустимо |
|---|---|---|---|
| Глобальный администратор | Арендатор | ❌ | |
| Администратор привилегированных ролей | Арендатор | ❌ | |
| Администратор групп, администратор пользователей или другие роли | Ресурс | ❌ | |
| Владельцы групп или устройств, добавленных в административные единицы управления с ограниченным доступом | ❌ | ||
| Встроенная или настраиваемая роль | Арендатор | ❌ | |
| Роли, которые можно назначать с областью административного подразделения | Административное подразделение ограниченного управления | ✅ | |
| Роли, которые можно назначить в рамках административной единицы | Другая ограниченная административная единица управления, в которой объект является членом | ✅ | |
| Роли, которые можно назначить в пределах области административной единицы | Другая обычная административная единица, в которой объект является членом | ❌ |
Если администратор с областью клиента пытается изменить объект в административной единице ограниченного управления, они будут видеть сообщения, аналогичные следующим:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Кто может управлять административными подразделениями с ограниченным доступом?
Следующие роли в области клиента не могут изменять объекты в ограниченных административных единицах управления, но они могут самостоятельно управлять административными единицами управления с ограниченным доступом.
| Должность | Область действия | Изменение объектов в административных единицах управления с ограниченным доступом | Управление административными единицами управления с ограниченным доступом |
|---|---|---|---|
| Глобальный администратор | Арендатор | Нет | Да |
| Администратор привилегированных ролей | Арендатор | Нет | Да |
Это управление включает следующие задачи:
- Создание или удаление административных единиц управления с ограниченным доступом
- Добавление или удаление участников из ограниченных административных единиц управления
- Назначить роли или удалить назначения ролей с ограниченной областью административного управления
- Назначать себе роли с ограниченным охватом административных единиц управления
Если администратор с ограниченной областью управления изменяет задания или покидает организацию, чтобы восстановить доступ, глобальный администратор или администратор привилегированных ролей может назначить другого администратора или себя ограниченному административному подразделению управления.
Журналы аудита
Для отслеживания изменений, внесенных в ограниченные административные единицы управления, эти действия записываются в журналы аудита Microsoft Entra.
| Активность | Категория | Сведения |
|---|---|---|
| Add administrative unit (Добавление административной единицы) | Административное подразделение |
IsMemberManagementRestricted = верно |
| Добавление участника в административную единицу управления с ограниченным доступом | Административное подразделение | |
| Удаление члена из ограниченной административной единицы управления | Административное подразделение | |
| Добавление участника в роль, ограниченную административной единицей управления | Управление ролями | |
| Удаление члена из роли, ограниченной административной единицей управления | Управление ролями |
Ограничения
Ниже приведены некоторые ограничения и ограничения для административных единиц управления с ограниченным доступом.
- Параметр ограниченного управления должен применяться во время создания административной единицы и не может быть изменен после создания административной единицы.
- Группы и пользователи в административной единице с ограниченным управлением не могут управляться с помощью функций Microsoft Entra ID Governance, таких как Управление привилегированными идентификациями, управление полномочиями, рабочие процессы жизненного цикла и проверка доступа.
- Если группа настроена для общедоступного членства (задав для свойства
Public), пользователи могут присоединиться к группе с помощью самостоятельного членства в группах. Эта конфигурация не является параметром по умолчанию, и не рекомендуется настраивать группы в ограниченных административных единицах управления, чтобы разрешить общедоступное членство. Это временное ограничение и будет удалено. - Группы с назначаемыми ролями при добавлении в административную единицу с ограниченным доступом к управлению не могут иметь изменённым свой состав. Владельцы групп не могут управлять группами в административных единицах с ограниченным управлением, а членство могут изменять только глобальные администраторы и администраторы привилегированных ролей (ни один из которых не может быть назначен в рамках административной единицы).
- Некоторые действия могут быть недоступны, если объект находится в ограниченной административной единице управления, если требуемая роль не является одной из ролей, которые могут быть назначены в области администрирования. Например, глобальный администратор в ограниченной административной единице управления не может иметь свой пароль сброшен другим администратором в системе, поскольку нет такой роли администратора, которую можно было бы назначить на уровне административной единицы, которая бы позволила сброс пароля глобального администратора. В таких случаях сначала глобальный администратор должен быть удален из административной единицы ограниченного управления, а после этого их пароль должен быть сброшен другим глобальным администратором или администратором привилегированных ролей.
- При удалении ограниченной административной единицы управления может потребоваться до 30 минут, чтобы удалить все защиты от бывших участников.
- Не более 100 административных единиц ограниченного управления в арендаторе.
Программируемость
Приложения по умолчанию не могут изменять объекты в ограниченных административных единицах управления. Чтобы предоставить приложению доступ к объектам в административной единице ограниченного управления, необходимо назначить роль Microsoft Entra приложению в области административной единицы управления с ограниченным доступом. Если вы назначаете приложениям Microsoft Graph разрешения, эти разрешения не будут применяться, так как они ограничены.
Требования к лицензиям
Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.