Dieser Artikel stellt die Funktion der Restricted management administrative units (kurz: RMAU) vor, welche in Entra ID zur Absicherung und Containerisierung privilegierter Objekte (u.a. Benutzerkonten, Gruppen und Geräte) verwendet werden können.
Wichtig hierbei ist zu nennen, dass sich die o.g. Funktion aktuell noch in der Preview befindet.
Voraussetzungen
Bei der Lizenzierung einer RMAU wird zwischen dem verwalteten Administrator und dem enthaltenen Benutzer (Mitglied) unterschieden.
Administratoren, welche eine RMAU verwalten, sind mit mind. einer Entra ID P1 auszustatten. Benutzerkonten, welche in einer RMAU als Scope enthalten sind, benötigen ausschließlich eine Microsoft Entra ID Free Lizenz.
Anwendungsfall
Eine RMAU kann verschiedene Anwendungsfälle haben, u.a. die Absicherung von VIP-Benutzern, Sicherheitsgruppen oder privilegierten Computern.
In diesem Artikel liegt der Fokus auf Conditional Access. Hierzu wird nachfolgend eine RMAU erstellt, welche alle vorhandenen Ausnahmegruppen von Conditional Access-Richtlinien enthält.
Anlage RMAU
Hierzu wird in Entra ID -> Identity -> Roles & admins -> Admin units eine neue RMAU erstellt:
Dazu muss bei der Anlage der RMAU der Schieberegler Restricted management administrative unit aktiviert werden. Eine nachträgliche Aktivierung ist nicht möglich.
Die Zuweisung von Administratorrollen kann zunächst übersprungen werden. Im Anschluss können bestehende Gruppen in die erstellte RMAU hinzugefügt werden:
Dies sorgt dafür, dass u.a. das Hinzufügen von neuen Mitglieder auch für einen Administrator mit Global Administrator Berechtigung zunächst nicht möglich ist.
Berechtigungszuweisung
Die Zuweisung zur Bearbeitung von u.a. Gruppen, welche sich im Scope einer RMAU befinden, kann wie folgt konfiguriert werden:
Anschließend Roles and administrators öffnen:
Je nach Anwendungsfall gibt es verschiedene Administratorrollen innerhalb einer RMAU. Wir entscheiden uns für die Rolle des User Administrator, da diese Rolle entsprechend die Bearbeitung der Mitglieder zulässt.
Die Zuweisung der jeweiligen Rolle kann dann statisch (nicht empfohlen) oder mit Privileged Identity Management durchgeführt werden (Entra ID P2 Lizenz vorausgesetzt).
Unsere Empfehlung ist jedoch, alle personenbezogenen Administratorrollen immer als Eligible Assignment zu verteilen. Im besten Fall noch mit der Angabe eines Ablaufdatums.
Nach Zuweisung der notwendigen Berechtigungsrolle ist die Bearbeitung der RMAU möglich.
Die Rolle des Global Administrator allein ist nicht ausreichend, damit Objekte innerhalb einer RMAU verwalten werden können. Der Global Administrator hat jedoch jederzeit die Möglichkeit, eine neue RMAU zu erstellen bzw. die für die Verwaltung der RMAU notwendigen Rechte zu verteilen.
Die o.g. Schritte zeigen lediglich einen einzigen Anwendungsfall, für den eine RMAU verwendet werden kann.
Mögliche Einschränkungen und weitere nützliche Informationen sind hier zu finden:
Restricted management administrative units in Microsoft Entra ID (Preview) - Microsoft Entra ID | Microsoft Learn