Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Organisationen verfügen über Ressourcen, die strenge Sicherheit benötigen, z. B. das Benutzerkonto des CEO. Derzeit kann ein Helpdesk-Administrator potenziell Zugriff auf das Konto eines CEO erhalten, indem er dessen Kennwort zurücksetzt, und ein Gruppenadministrator auf Mandantenebene kann Benutzern Sicherheitsgruppen in SharePoint mit Zugriff auf Finanzdaten hinzufügen.
Mit den Verwaltungseinheiten für eingeschränkte Verwaltung können Sie bestimmte Objekte in Ihrem Mandanten vor Änderungen durch andere als die von Ihnen festgelegten Personen schützen. Dadurch können Sie Sicherheits- oder Complianceanforderungen erfüllen, ohne Rollenzuweisungen auf Mandantenebene für Administratoren aufheben zu müssen.
Warum sollten Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden?
Im Folgenden finden Sie einige Gründe, warum Sie Verwaltungseinheiten mit eingeschränkter Verwaltung verwenden sollten, um den Zugriff in Ihrem Mandanten zu verwalten.
Schützen Sie Ihre Konten von Führungskräften und deren Geräte
Sie möchten die Benutzerkonten Ihrer Geschäftsführung und deren Geräte vor Helpdeskadministratoren schützen, die andernfalls ihre Kennwörter zurücksetzen oder auf BitLocker-Wiederherstellungsschlüssel zugreifen können. Sie können Ihre Benutzerkonten auf C-Ebene zu einer eingeschränkten Verwaltungseinheit hinzufügen und einen bestimmten vertrauenswürdigen Satz von Administratoren aktivieren, die ihre Kennwörter zurücksetzen und bei Bedarf auf BitLocker-Wiederherstellungsschlüssel zugreifen können.
Compliance-Kontrolle nur für lokale Administratoren implementieren
Sie möchten ein Compliance-Steuerelement implementieren, um sicherzustellen, dass bestimmte Ressourcen nur von Administratoren in einem bestimmten Land/einer bestimmten Region verwaltet werden können. Sie können diese Ressourcen in einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und lokale Administratoren zuweisen, um diese Objekte zu verwalten. Auch globale Administratoren dürfen die Objekte nicht ändern, es sei denn, sie weisen sich selbst explizit einer Rolle zu, die der Verwaltungseinheit mit eingeschränkter Verwaltung zugeordnet ist (was ein überprüfbares Ereignis ist).
Einschränken der Verwaltung vertraulicher Sicherheitsgruppen auf bestimmte Administratoren
Sie verwenden Sicherheitsgruppen, um den Zugriff auf vertrauliche Anwendungen in Ihrer Organisation zu steuern, und möchten nicht zulassen, dass mandantenbezogene Administratoren, die Gruppen ändern können, steuern können, wer auf die Anwendungen zugreifen kann. Sie können diese Sicherheitsgruppen einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen und dann sicherstellen, dass sie nur von den spezifischen, von Ihnen zugewiesenen Administratoren verwaltet werden können.
Beispielszenario
Das folgende Diagramm zeigt ein Beispiel für eine verwaltungsbeschränkte Verwaltungseinheit (dargestellt im violetten Feld) mit Objekten, die nur von Der Geschäftsleitungsunterstützung geändert werden können. Administratoren auf Mandantenebene und lokale Administratoren können die Objekte in der Verwaltungseinheit "Executive" nicht ändern.
Hinweis
Das Platzieren von Objekten in einer eingeschränkten Verwaltungseinheit schränkt stark ein, wer Änderungen an den Objekten vornehmen kann. Diese Einschränkung kann dazu führen, dass vorhandene Workflows unterbrochen werden.
Welche Objekte können Mitglieder sein?
Hier sind die Objekte aufgeführt, die Mitglieder von Verwaltungseinheiten mit eingeschränkter Verwaltung sein können.
| Microsoft Entra-Objekttyp | Verwaltungseinheit | Eingeschränkte Verwaltungseinheit |
|---|---|---|
| Benutzer | Ja | Ja |
| Geräte | Ja | Ja |
| Gruppen (Sicherheit) | Ja | Ja |
| Gruppen (Microsoft 365) | Ja | Nein |
| Gruppen (E-Mail-aktivierte Sicherheit) | Ja | Nein |
| Gruppen (Verteilung) | Ja | Nein |
Welche Arten von Vorgängen werden blockiert?
Für Administratoren, die nicht explizit im Bereich der Verwaltungseinheit mit eingeschränkter Verwaltung zugewiesen sind, werden Vorgänge blockiert, die die Microsoft Entra-Eigenschaften von Objekten in Verwaltungseinheiten mit eingeschränkter Verwaltung direkt ändern, während Vorgänge für verwandte Objekte in Microsoft 365-Diensten nicht betroffen sind.
| Vorgangsart | Blockiert | Zulässig |
|---|---|---|
| Lesen von Standardeigenschaften wie Benutzerprinzipalname, Benutzerfoto | ✅ | |
| Ändern von Microsoft Entra-Eigenschaften des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Löschen des Benutzers, der Gruppe oder des Geräts | ❌ | |
| Aktualisieren des Kennworts für einen Benutzer | ❌ | |
| Ändern von Besitzern oder Mitgliedern der Gruppe in der Verwaltungseinheit mit eingeschränkter Verwaltung | ❌ | |
| Hinzufügen von Benutzern, Gruppen oder Geräten in einer Verwaltungsverwaltungseinheit mit eingeschränkter Verwaltung zu Gruppen in Microsoft Entra ID | ✅ | |
| Ändern der E-Mail- und Postfacheinstellungen in Exchange für den Benutzer in der Verwaltungseinheit mit eingeschränkter Verwaltung | ✅ | |
| Anwenden von Richtlinien auf ein Gerät in einer Verwaltungseinheit für die eingeschränkte Verwaltung mithilfe von Intune | ✅ | |
| Hinzufügen oder Entfernen einer Gruppe als Websitebesitzer in SharePoint | ✅ | |
| Lizenzen zuweisen und den Verwendungsort von Benutzern in einer Verwaltungseinheit mit eingeschränkter Verwaltung aktualisieren. | ✅ |
Wer kann Objekte ändern?
Nur Administratoren mit einer expliziten Zuweisung im Bereich einer Verwaltungseinheit für die eingeschränkte Verwaltung können die Microsoft Entra-Eigenschaften von Objekten in der Verwaltungseinheit für die eingeschränkte Verwaltung ändern.
| Rolle | Umfang | Blockiert | Zulässig |
|---|---|---|---|
| Globaler Administrator | Mieter | ❌ | |
| Administrator für privilegierte Rollen | Mieter | ❌ | |
| Gruppenadministrator, Benutzeradministrator oder andere Rollen | Ressource | ❌ | |
| Besitzer von Gruppen oder Geräten, die zu Verwaltungseinheiten mit eingeschränkter Verwaltung hinzugefügt wurden | ❌ | ||
| Integrierte oder benutzerdefinierte Rolle | Mieter | ❌ | |
| Rollen, die mit dem Geltungsbereich administrativer Einheiten zugewiesen werden können | Eingeschränkte Verwaltungseinheit | ✅ | |
| Rollen, die mit dem Geltungsbereich administrativer Einheiten zugewiesen werden können | Eine andere eingeschränkte Verwaltungseinheit, der das Objekt angehört | ✅ | |
| Rollen, die mit dem Geltungsbereich administrativer Einheiten zugewiesen werden können | Eine weitere reguläre administrative Einheit, deren Objekt Mitglied ist | ❌ |
Wenn ein Administrator mit Mandantenbereich versucht, ein Objekt in einer eingeschränkten Verwaltungsverwaltungseinheit zu ändern, werden Nachrichten ähnlich wie die folgenden angezeigt:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Wer kann eingeschränkte Verwaltungseinheiten verwalten?
Die folgenden Rollen im Mandantenbereich können Objekte in eingeschränkten Verwaltungseinheiten nicht ändern, aber sie können die eingeschränkten Verwaltungseinheiten selbst verwalten.
| Rolle | Umfang | Ändern von Objekten in eingeschränkten Verwaltungseinheiten | Verwalten eingeschränkter Verwaltungseinheiten |
|---|---|---|---|
| Globaler Administrator | Mieter | Nein | Ja |
| Administrator für privilegierte Rollen | Mieter | Nein | Ja |
Diese Verwaltung umfasst die folgenden Aufgaben:
- Erstellen oder Löschen eingeschränkter Verwaltungseinheiten
- Hinzufügen oder Entfernen von Mitgliedern aus einer eingeschränkten Verwaltungseinheit
- Zuweisung von Rollen oder Aufhebung von Rollenzuweisungen mit eingeschränktem Umfang der Verwaltungseinheit
- Eigenzuweisung von Rollen mit eingeschränktem Umfang der Verwaltungseinheiten
Wenn ein Administrator mit eingeschränkter Verwaltungseinheit Aufträge ändert oder die Organisation verlässt, um wieder Zugriff zu erhalten, kann ein globaler Administrator oder ein Privilegierter Rollenadministrator einen anderen Administrator oder sich selbst der eingeschränkten Verwaltungsverwaltungseinheit zuweisen.
Überwachungsprotokolle
Damit Sie nachverfolgen können, wann Änderungen an eingeschränkten Verwaltungseinheiten vorgenommen werden, werden diese Aktivitäten in den Microsoft Entra-Überwachungsprotokollen aufgezeichnet.
| Aktivität | Kategorie | Einzelheiten |
|---|---|---|
| Verwaltungseinheit hinzufügen | AdministrativeUnit |
IsMemberManagementRestricted = wahr |
| Mitglied zu Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen | AdministrativeUnit | |
| Mitglied aus Verwaltungseinheit mit eingeschränkter Verwaltung entfernen | AdministrativeUnit | |
| Mitglied zu Rolle für Verwaltungseinheit mit eingeschränkter Verwaltung hinzufügen | Rollenverwaltung | |
| Mitglied aus Rolle für Verwaltungseinheit mit eingeschränkter Verwaltung entfernen | Rollenverwaltung |
Einschränkungen
Für Verwaltungseinheiten mit eingeschränkter Verwaltung gelten die folgenden Grenzwerte und Einschränkungen.
- Die Einstellung für die eingeschränkte Verwaltung muss während der Erstellung einer Verwaltungseinheit angewendet werden und kann nach der Erstellung der Verwaltungseinheit nicht mehr geändert werden.
- Gruppen und Benutzer in einer eingeschränkten Verwaltungseinheit können nicht mit Microsoft Entra ID Governance-Features wie Privileged Identity Management, Berechtigungsverwaltung, Lebenszyklusworkflows und Zugriffsüberprüfungen verwaltet werden.
- Wenn eine Gruppe so konfiguriert ist, dass sie über eine öffentliche Mitgliedschaft verfügt (durch Festlegen der Sichtbarkeitseigenschaft auf
Public), können Benutzer der Gruppe mithilfe der Self-Service-Gruppenmitgliedschaft beitreten. Diese Konfiguration ist nicht die Standardeinstellung, und es wird nicht empfohlen, Gruppen in eingeschränkten Verwaltungseinheiten zu konfigurieren, um die öffentliche Mitgliedschaft zu ermöglichen. Dies ist eine temporäre Einschränkung und wird entfernt. - Die Mitgliedschaft von Gruppen, denen Rollen zugewiesen werden können, kann nicht geändert werden, wenn sie einer Verwaltungseinheit mit eingeschränkter Verwaltung hinzugefügt werden. Gruppenbesitzer dürfen keine Gruppen in Verwaltungseinheiten mit eingeschränkter Verwaltung verwalten. Nur globale Administratoren und Administratoren mit privilegierten Rollen (die nicht im Bereich der Verwaltungseinheit zugewiesen werden können) können die Mitgliedschaft ändern.
- Bestimmte Aktionen sind unter Umständen nicht möglich, wenn sich ein Objekt in einer Verwaltungseinheit mit eingeschränkter Verwaltung befindet, wenn die erforderliche Rolle nicht zu den Rollen gehört, die im Bereich der Verwaltungseinheit zugewiesen werden können. Ein globaler Administrator in einer eingeschränkten Verwaltungseinheit kann z. B. von keinem anderen Administrator im System sein Kennwort zurücksetzen lassen. Es gibt keine Administratorrolle, die auf der Ebene der Verwaltungseinheit zugewiesen werden kann, die das Kennwort eines globalen Administrators zurücksetzen kann. In solchen Szenarien muss der globale Administrator zuerst aus der Verwaltungseinheit mit eingeschränkter Verwaltung entfernt werden und dann sein Kennwort von einem anderen globalen Administrator oder Administrator für privilegierte Rollen zurücksetzen lassen.
- Beim Löschen einer Verwaltungseinheit mit eingeschränkter Verwaltung kann es bis zu 30 Minuten dauern, bis alle Schutzmechanismen von den ehemaligen Mitgliedern entfernt worden sind.
- Maximal 100 eingeschränkte Verwaltungseinheiten in einem Mandanten.
Programmierbarkeit
Anwendungen können Objekte in Verwaltungseinheiten mit eingeschränkter Verwaltung standardmäßig nicht ändern. Um einer Anwendung Zugriff auf die Verwaltung von Objekten in einer eingeschränkten Verwaltungseinheit zu gewähren, müssen Sie der Anwendung eine Microsoft Entra-Rolle im Rahmen der Verwaltungseinheit „Eingeschränkte Verwaltung“ zuweisen. Wenn Sie der Anwendung Microsoft Graph-Anwendungsberechtigungen zuweisen, gelten diese Berechtigungen nicht, da sie eingeschränkt ist.
Lizenzanforderungen
Bei der Verwendung von Verwaltungseinheiten mit eingeschränkter Verwaltung ist für alle Admins einer Verwaltungseinheit eine Microsoft Entra ID Premium P1-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Microsoft Entra ID Free-Lizenzen. Sehen Sie sich den Vergleichen der allgemein verfügbaren Features der Free- und der Premium-Edition an, um die richtige Lizenz für Ihre Anforderungen zu ermitteln.