Správa účtů správce v Azure Active Directory B2C

  • Článek

V Azure Active Directory B2C (Azure AD B2C) tenant představuje váš adresář příjemců, pracovních účtů a účtů hostů. S rolí správce můžou tenanta spravovat pracovní účty a účty hostů.

V tomto článku získáte informace o těchto tématech:

  • Přidání správce (pracovního účtu)
  • Pozvání správce (účet hosta)
  • Přidání přiřazení role k uživatelskému účtu
  • Odebrání přiřazení role z uživatelského účtu
  • Odstranění účtu správce
  • Ochrana účtů pro správu

Předpoklady

Přidání správce (pracovního účtu)

Pokud chcete vytvořit nový účet pro správu, postupujte takto:

  1. Přihlaste se k webu Azure Portal pomocí oprávnění globálního Správa istratoru nebo privilegované role Správa istrator.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.

  4. V části Spravovat vyberte Uživatelé.

  5. Vyberte Nový uživatel.

  6. Vyberte Vytvořit uživatele (můžete vytvořit mnoho uživatelů najednou tak, že vyberete možnost Chci vytvořit uživatele hromadně).

  7. Na stránce Uživatel zadejte informace pro tohoto uživatele:

    • Uživatelské jméno. Povinný: Uživatelské jméno nového uživatele. Například, mary@contoso.com. Část uživatelského jména musí používat počáteční výchozí název domény, název tenanta.onmicrosoft.com nebo vlastní doménu, například contoso.com.><
    • Name (Název): Povinný: Jméno a příjmení nového uživatele Například Mary Parkerová.
    • Skupiny Volitelné. Uživatele můžete přidat do jedné nebo více existujících skupin. Uživatele můžete také přidat do skupin později.
    • Role adresáře: Pokud pro uživatele požadujete oprávnění správce Microsoft Entra, můžete je přidat do role Microsoft Entra. Uživatele můžete přiřadit jako globální správce nebo jednu nebo více omezených rolí správce v Microsoft Entra ID. Další informace o přiřazování rolí naleznete v tématu Použití rolí k řízení přístupu k prostředkům.
    • Informace o úloze: Tady můžete přidat další informace o uživateli nebo to udělat později.

  8. Zkopírujte automaticky vygenerované heslo v poli Heslo. Toto heslo budete muset předat uživateli, aby se mohl poprvé přihlásit.

  9. Vyberte Vytvořit.

Uživatel se vytvoří a přidá do tenanta Azure AD B2C. Je vhodnější mít alespoň jeden pracovní účet nativní pro vašeho tenanta Azure AD B2C, který má přiřazenou roli Globální Správa istrator. Tento účet může být považován za rozsklený účet nebo účty pro nouzový přístup.

Pozvání správce (účet hosta)

Ke správě tenanta můžete také pozvat nového uživatele typu host. Účet hosta je upřednostňovanou možností, pokud má vaše organizace také ID Microsoft Entra, protože životní cyklus této identity je možné spravovat externě.

Pokud chcete pozvat uživatele, postupujte takto:

  1. Přihlaste se k webu Azure Portal pomocí oprávnění globálního Správa istratoru nebo privilegované role Správa istrator.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.

  4. V části Spravovat vyberte Uživatelé.

  5. Vyberte Nový účet hosta.

  6. Na stránce Uživatel zadejte informace pro tohoto uživatele:

    • Name (Název): Povinný: Jméno a příjmení nového uživatele Například Mary Parkerová.
    • E-mailová adresa Povinný: E-mailová adresa uživatele, kterého chcete pozvat, což musí být účet Microsoft. Například, mary@contoso.com.
    • Osobní zpráva: Přidáte osobní zprávu, která bude součástí e-mailu s pozvánkou.
    • Skupiny Volitelné. Uživatele můžete přidat do jedné nebo více existujících skupin. Uživatele můžete také přidat do skupin později.
    • Role adresáře: Pokud pro uživatele požadujete oprávnění správce Microsoft Entra, můžete je přidat do role Microsoft Entra. Uživatele můžete přiřadit jako globální správce nebo jednu nebo více omezených rolí správce v Microsoft Entra ID. Další informace o přiřazování rolí naleznete v tématu Použití rolí k řízení přístupu k prostředkům.
    • Informace o úloze: Tady můžete přidat další informace o uživateli nebo to udělat později.

  7. Vyberte Vytvořit.

Uživateli se odešle e-mail s pozvánkou. Aby se uživatel mohl přihlásit, musí přijmout pozvánku.

Opětovné odeslání e-mailu s pozvánkou

Pokud host nedostal e-mail s pozvánkou nebo vypršela platnost pozvánky, můžete pozvánku poslat znovu. Jako alternativu k e-mailu s pozvánkou můžete hostovi poskytnout přímý odkaz pro přijetí pozvánky. Pokud chcete pozvánku poslat znovu a získat přímý odkaz:

  1. Přihlaste se k portálu Azure.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.

  4. V části Spravovat vyberte Uživatelé.

  5. Vyhledejte a vyberte uživatele, na kterého chcete pozvánku znovu odeslat.

  6. Uživatel | Stránka profilu v části Identita vyberte (Spravovat). Screenshot shows how to resend guest account invitation email.

  7. Pokud chcete pozvánku poslat znovu, vyberte Ano. Až budete chtít pozvánku poslat znovu, vyberte Ano.

  8. Azure AD B2C odešle pozvánku. Adresu URL pozvánky můžete také zkopírovat a zadat ji přímo hostu.

    Screenshot shows how get the invitation URL.

Přidat přiřazení role

Roli můžete přiřadit při vytváření uživatele nebo pozvání uživatele typu host. Roli můžete přidat, změnit nebo odebrat roli pro uživatele:

  1. Přihlaste se k webu Azure Portal pomocí oprávnění globálního Správa istratoru nebo privilegované role Správa istrator.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.
  4. V části Spravovat vyberte Uživatelé.
  5. Vyberte uživatele, pro kterého chcete změnit role. Pak vyberte Přiřazené role.
  6. Vyberte Přidat přiřazení, vyberte roli, která se má přiřadit (například správce aplikace) a pak zvolte Přidat.

Odebrání přiřazení role

Pokud potřebujete uživateli odebrat přiřazení role, postupujte takto:

  1. Vyberte Azure AD B2C, vyberte Uživatelé a pak vyhledejte a vyberte uživatele.
  2. Vyberte Přiřazené role. Vyberte roli, kterou chcete odebrat, například správce aplikace, a pak vyberte Odebrat přiřazení.

Kontrola přiřazení rolí účtu správce

V rámci procesu auditování obvykle kontrolujete, kteří uživatelé jsou přiřazení ke konkrétním rolím v adresáři Azure AD B2C. Pomocí následujícího postupu můžete auditovat, kteří uživatelé mají aktuálně přiřazené privilegované role.

  1. Přihlaste se k webu Azure Portal pomocí oprávnění globálního Správa istratoru nebo privilegované role Správa istrator.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.
  4. V části Spravovat vyberte Role a správci.
  5. Vyberte roli, například globální správce. Role | Stránka Přiřazení obsahuje seznam uživatelů s danou rolí.

Odstranění účtu správce

Pokud chcete odstranit existujícího uživatele, musíte mít přiřazení role globálního správce . Globální správci můžou odstranit libovolného uživatele, včetně jiných správců. Správci uživatelů můžou odstranit libovolného uživatele, který není správcem.

  1. V adresáři Azure AD B2C vyberte Uživatelé a pak vyberte uživatele, kterého chcete odstranit.
  2. Vyberte Odstranit a potom potvrďte odstranění tlačítkem Ano .

Uživatel se odstraní a už se nebude zobrazovat na stránce Uživatelé – Všichni uživatelé. Uživatel se bude dalších 30 dnů zobrazovat na stránce Odstranění uživatelé a během této doby je možné ho obnovit. Další informace o obnovení uživatele naleznete v tématu Obnovení nebo odebrání nedávno odstraněného uživatele pomocí Microsoft Entra ID.

Ochrana účtů pro správu

Doporučuje se chránit všechny účty správců pomocí vícefaktorového ověřování (MFA) pro zajištění vyššího zabezpečení. Vícefaktorové ověřování je proces ověření identity během přihlášení, který uživatele vyzve k další formě identifikace, například ověřovací kód na mobilním zařízení nebo žádost v aplikaci Microsoft Authenticator.

Authentication methods in use at the sign in screenshot

Pokud nepoužíváte podmíněný přístup, můžete povolit výchozí nastavení zabezpečení Microsoft Entra, aby všechny účty pro správu používaly vícefaktorové ověřování.

Další kroky