Microsoft Entra ID 中的受限管理单元(预览版)
重要
受限管理单元目前以预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅产品条款。
受限管理单元可用于保护租户中的特定对象,防止除了你指定的一组特定管理员以外的任何人对其进行修改。 这样,无需从管理员中删除租户级角色分配,即可满足安全性或合规性要求。
为什么使用受限管理单元?
下面是使用受限管理单元来帮助管理租户中的访问权限的一些可能原因。
- 你希望保护 C 级高管帐户及其设备免受支持管理员的访问,否则这些管理员将能够重置其密码或访问 BitLocker 恢复密钥。 可以在受限管理单元中添加 C 级用户帐户,并启用一组特定的受信任管理员,这些管理员可根据需要重置其密码并访问 BitLocker 恢复密钥。
- 你正在实施合规性控制,以确保某些资源只能由特定国家/地区的管理员管理。 可以将这些资源添加到受限管理单元中,并分配本地管理员来管理这些对象。 即使全局管理员也不允许修改这些对象,除非他们将自己显式分配给限定于受限管理单元的角色(此事件可审核)。
- 你正在使用安全组来控制对组织中敏感应用程序的访问,并希望禁止租户范围的管理员修改组以控制谁可以访问应用程序。 可以将这些安全组添加到受限管理单元中,然后确保只有你分配的特定管理员才能对其进行管理。
注意
将对象放在受限管理单元中会严格限制谁可以更改对象。 此限制可能导致现有工作流中断。
哪些对象可以成为成员?
下面是可以成为受限管理单元成员的对象。
Microsoft Entra 对象类型 | 管理单元 | 启用了受限管理设置的管理单元 |
---|---|---|
用户 | 是 | 是 |
设备 | 是 | 是 |
组(安全组) | 是 | 是 |
组 (Microsoft 365) | 是 | 否 |
组(已启用邮件的安全组) | 是 | 否 |
组(通讯组) | 是 | 否 |
哪些类型的操作被阻止?
对于未在受限管理单元范围内显式分配的管理员,将阻止其直接修改受限管理单元中对象的 Microsoft Entra 属性的操作,而 Microsoft 365 服务中相关对象的操作不受影响。
操作类型 | 已阻止 | 允许 |
---|---|---|
读取用户主体名称、用户照片之类的标准属性 | ✅ | |
修改用户、组或设备的任何 Microsoft Entra 属性 | ❌ | |
删除用户、组或设备 | ❌ | |
更新用户的密码 | ❌ | |
修改受限管理单元中组的所有者或成员 | ❌ | |
将受限管理单元中的用户、组或设备添加到 Microsoft Entra ID 中的组 | ✅ | |
在 Exchange 中修改受限管理单元中用户的电子邮件与邮箱设置 | ✅ | |
使用 Intune 将策略应用于受限管理单元中的设备 | ✅ | |
在 SharePoint 中以网站所有者身份添加或删除组 | ✅ |
谁可以修改对象?
只有在受限管理单元范围内显式分配的管理员才能更改受限管理单元中对象的 Microsoft Entra 属性。
用户角色 | 已阻止 | 允许 |
---|---|---|
全局管理员 | ❌ | |
租户范围的管理员(包括全局管理员) | ❌ | |
在受限管理单元范围内分配的管理员 | ✅ | |
在对象所属的另一个受限管理单元范围内分配的管理员 | ✅ | |
在对象所属的另一个常规管理单元范围内分配的管理员 | ❌ | |
在资源范围内分配的组管理员、用户管理员和其他角色 | ❌ | |
添加到受限管理单元的组或设备的所有者 | ❌ |
限制
下面是受限管理单元的一些限制和约束。
- 创建管理单元期间必须应用受限管理设置,创建管理单元之后该设置无法更改。
- 无法使用 Microsoft Entra Privileged Identity Management 或 Microsoft Entra 权利管理等 Microsoft Entra ID Governance 功能管理受限制管理管理单元中的组。
- 向受限管理单元添加可分配角色的组时,无法修改这些组的成员身份。 组所有者不能管理受限管理单元中的组,只有全局管理员和特权角色管理员(两者都不能在管理单元范围内分配)可以修改成员身份。
- 如果所需的角色不是可以在管理单元范围内分配的角色之一,则当对象位于受限管理单元中时,某些操作可能不可用。 例如,对于受限管理单元中的全局管理员,系统中的任何其他管理员都不能重置其密码,因为可以在管理单元范围内分配的所有管理员角色都无法重置全局管理员的密码。 在这种情况下,需要先从受限管理单元中删除全局管理员,然后由另一个全局管理员或特权角色管理员重置其密码。
- 删除受限管理单元时,可能需要多达 30 分钟的时间才能从以前的成员中删除所有保护。
可编程性
默认情况下,应用程序无法修改受限管理单元中的对象。 若要授予应用程序对受限管理单元中管理对象的访问权限,必须在受限管理单元的范围内为应用程序分配 Microsoft Entra 角色。 如果将 Microsoft Graph 应用程序权限分配给应用程序,则这些权限将不适用,因为这是受限的。
许可要求
受限管理单元要求每个管理单元管理员都有一个 Microsoft Entra ID P1 许可证,管理单元成员都有 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。