Sdílet prostřednictvím

Přidání a správa účtů správců

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil mají zelený kruh se symbolem bílé značky zaškrtnutí. Externí tenanti (další informace)

Účty správců jsou uživatelé vašeho externího tenanta Microsoft Entra, kteří mají přiřazené role správce. Účet správce můžete do tenanta přidat tak, že vytvoříte nebo pozvete uživatele prostřednictvím Centra pro správu Microsoft Entra nebo Microsoft Graphu a přiřadíte mu roli správce. Pokud roli správce nepřiřazujete, má uživatel výchozí uživatelská oprávnění.

Tento článek se zaměřuje na správu účtů správců pomocí Centra pro správu Microsoft Entra. Abyste mohli přidávat nebo odstraňovat uživatele, musíte mít alespoň oprávnění správce uživatelů .

Informace o koncových uživatelích aplikace najdete také v tématu Správa uživatelských účtů pro spotřebitele a firemní zákazníky . Tito uživatelé obvykle nemají přiřazené role správce, aby si zachovali výchozí uživatelská oprávnění.

Požadavky

  • Pokud jste ještě nevytvořili vlastního externího tenanta Microsoft Entra, vytvořte ho teď.
  • Porozumět uživatelským účtům v Microsoft Entra External ID.
  • Seznamte se s rolemi uživatelů pro řízení přístupu k prostředkům.

Přidání účtu správce

Pomocí následujícího postupu vytvořte nový uživatelský účet a přidělte účtu oprávnění správce přidáním role Microsoft Entra. (Tady jsou popsané jenom požadované kroky. Úplný popis všech vlastností najdete v článku Microsoft Entra ID How to create users.)

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

  3. Přejděte na Entra ID>Uživatelé.

  4. Vyberte Nový uživatel>Vytvořit nového uživatele.

  5. Na kartě Základy zadejte v části Identita informace pro tohoto správce:

    • Hlavní název uživatele: Zadejte jedinečné uživatelské jméno a vyberte doménu z nabídky za symbolem @.
    • Zobrazované jméno: Zadejte jméno uživatele, například Chris Green nebo Chris A. Green.
    • Heslo: Zkopírujte automaticky vygenerované heslo nebo zrušte zaškrtnutí políčka Automaticky vygenerovat heslo a zadejte jiné heslo. Toto heslo musíte správci dát, aby se přihlásil poprvé.

  6. Vyberte kartu Zadání a pomocí následujícího postupu přiřaďte uživateli roli. (Přidání skupiny je volitelné).

    • Vyberte + Přidat roli.
    • V zobrazeném menu vyberte v seznamu až 20 rolí. Uživatele můžete přiřadit k jedné nebo více rolím správce v Microsoft Entra ID.
    • Vyberte tlačítko Vybrat .

  7. Vyberte tlačítko Zkontrolovat a vytvořit .

Správce byl vytvořen a přidán do vašeho externího účtu tenant.

Pozvěte správce (účet hosta)

Ke správě tenanta můžete také pozvat nového uživatele typu host. Pokud chcete pozvat nového uživatele typu host s oprávněními správce, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

  3. Přejděte na Entra ID>Uživatelé.

  4. Vyberte Možnost Pozvat externího uživatele (>.

  5. Na kartě Základy zadejte informace pro uživatele:

    • E-mail. Povinné. E-mailová adresa uživatele, který chcete pozvat.
    • Zobrazovaný název. Jméno a příjmení nového uživatele Například Mary Parkerová.
    • V části Zpráva pozvánky:
      • Pokud chcete poslat e-mail s pozvánkou uživateli, zaškrtněte políčko Odeslat zprávu pozvánky. V opačném případě zrušte zaškrtnutí políčka.
      • V okně Zpráva přidejte osobní zprávu, která se má zahrnout do e-mailu s pozvánkou.
      • Pokud chcete někomu poslat kopii e-mailu s pozvánkou, přidejte jeho e-mailovou adresu do textového pole Kopie příjemce .
      • Adresa URL pro přesměrování pozvánky je ve výchozím nastavení nastaveno na MyApplications, kam je uživatel přesměrován při uplatnění pozvánky. Můžete ho změnit na jinou adresu URL.

  6. Vyberte kartu Zadání a pomocí následujícího postupu přiřaďte uživateli roli. (Přidání skupiny je volitelné).

    • Vyberte + Přidat roli.
    • V zobrazeném menu vyberte v seznamu až 20 rolí. Uživatele můžete přiřadit k jedné nebo více rolím správce v Microsoft Entra ID.
    • Vyberte tlačítko Vybrat .

  7. Vyberte tlačítko Zkontrolovat a pozvat .

Uživateli se odešle e-mail s pozvánkou. Aby se uživatel mohl přihlásit, musí přijmout pozvánku.

Změna nebo přidání přiřazení role

Roli můžete přiřadit při vytváření uživatele nebo pozvání uživatele typu host. Roli můžete přidat, změnit nebo odebrat roli pro uživatele:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte na Entra ID>Uživatelé.
  4. Vyberte uživatele, pro kterého chcete změnit role. Pak vyberte Přiřazené role.
  5. Vyberte Přidat přiřazení, vyberte roli, která se má přiřadit (například Správce aplikace) a pak zvolte Přidat.

Odebrání přiřazení role

Pokud potřebujete uživateli odebrat přiřazení role, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte na Entra ID>Uživatelé.
  4. Vyberte uživatele, pro kterého chcete změnit role. Pak vyberte Přiřazené role.
  5. Vyberte roli, kterou chcete odebrat, například Správce aplikace, a pak vyberte Odebrat přiřazení.

Kontrola přiřazení rolí účtu správce

V rámci procesu auditování obvykle zkontrolujete, kteří uživatelé jsou přiřazení ke konkrétním rolím v adresáři zákazníka. Pomocí následujícího postupu můžete auditovat, kteří uživatelé mají aktuálně přiřazené privilegované role.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte k Entra ID>Rolím a správcům.
  4. Vyberte roli, například správce uživatelů. Na stránce Přiřazení jsou uvedeni uživatelé s danou rolí.

Odstranění účtu správce

Pokud chcete odstranit existujícího uživatele, musíte mít alespoň přiřazení role Správce uživatelů . Správci privilegovaného ověřování můžou odstranit libovolného uživatele, včetně jiných správců. Správci uživatelů můžou odstranit libovolného uživatele, který není správcem.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaný správce ověřování.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte na Entra ID>Uživatelé.
  4. Vyberte uživatele, kterého chcete odstranit.
  5. Vyberte Odstranit a potom potvrďte odstranění tlačítkem Ano.

Uživatel se odstraní a už se nezobrazí na stránce Všichni uživatelé . Uživatele můžete zobrazit na stránce Odstranění uživatelé po dobu následujících 30 dnů a během této doby ho můžete obnovit. Další informace o obnovení uživatele naleznete v tématu Obnovení nebo odebrání nedávno odstraněného uživatele pomocí Microsoft Entra ID.

Ochrana účtů pro správu

Doporučujeme chránit všechny účty správců s vícefaktorovým ověřováním (MFA), abyste měli větší zabezpečení. Vícefaktorové ověřování je proces ověření identity během přihlašování, který uživatele vyzve k jednorázovému hesla.

Microsoft doporučuje, aby organizace měly dva účty pro výhradně cloudový nouzový přístup trvale přiřazené roli globálního správce. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.