Co je adresář Azure AD?
Aktualizováno: 6. července 2015
Platí pro: Azure, Office 365, Windows Intune
Poznámka
Toto téma obsahuje online obsah nápovědy pro cloudové služby, jako jsou Microsoft Intune a Office 365, které spoléhají na Microsoft Azure Active Directory pro identity a adresářové služby.
Toto téma vysvětluje důležité koncepty a úkoly související se správou adresářů Azure AD a obsahuje následující části:
Co je klient služby Azure AD?
Jak získat adresář Azure AD
Přidružení adresáře služby Azure AD k novému předplatnému služby Azure
Vytvoření adresáře Azure AD registrací služby jako organizace
Správa výchozího adresáře poskytnutého službou Azure
Přidání a správa více adresářů Azure AD
Odstranění adresáře Azure AD
- Podmínky, které musí být splněny, aby bylo možné odstranit adresář služby Azure AD
Co je klient služby Azure AD?
Na fyzickém pracovišti by se dal pojem klient definovat jako skupina nebo firma, která sídlí v budově. Vaše organizace může například vlastnit kancelářské prostory v budově. Tato budova může stát v ulici, kde sídlí několik dalších organizací. Vaše organizace může být považovaná za klienta této budovy. Budova je majetkem vaší organizace, dodává jí bezpečí a zajišťuje, abyste mohli bezpečně řídit své podnikání. Navíc je oddělená od ostatních firem v ulici. To zajistí, aby byla vaše organizace a její prostředky izolované od jiných organizací.
V prostředí cloudu se dá klient služby Azure AD definovat jako klient nebo organizace, která vlastní a spravuje konkrétní instanci dané cloudové služby. Microsoft Azure poskytuje identitu platformy, což znamená, že klient je jednoduše vyhrazenou instancí služby Azure Active Directory (Azure AD), kterou vaše organizace obdrží a vlastní od chvíle, kdy se přihlásí ke cloudové službě Microsoftu, například ke službě Azure nebo Office 365.
Každý adresář služby Azure AD je oddělený od ostatních adresářů služby Azure AD. Adresář služby Azure AD byl navržen tak, aby se jednalo o zabezpečený prostředek k použití pouze pro vaši organizaci – stejně jako je podniková kancelářská budova zabezpečeným prostředkem výhradně vaší organizace. Architektura služby Azure AD znemožňuje míchání dat zákazníků a informací o identitě. To znamená, že se uživatelé a správci jednoho adresáře služby Azure AD nemohou dostat – ať už omylem nebo záměrně – k datům v jiném adresáři.
.png "Azure AD Tenant")
Jak získat adresář Azure AD
Po registraci ke cloudové službě Microsoftu získáte adresář Azure AD. Podle potřeby můžete vytvářet další adresáře. Například můžete první adresář používat jako produkční a vytvořit další adresář pro testování nebo přípravu.
Poznámka
Doporučujeme, abyste pro registraci k dalším cloudovým službám Microsoftu používali účet správce přidružený k vaší organizaci, který jste použili při registraci k první službě. Další informace o ID uživatelů najdete v tématu Co je ID uživatele a proč ho potřebuji?.
Při první registraci ke cloudové službě Microsoftu, jako je Azure, Microsoft Office 365 nebo Microsoft Intune, se zobrazí výzva k zadání podrobností o vaší organizaci a registraci názvu internetové domény vaší organizace. Tyto informace se použijí k vytvoření nové instance adresáře služby Azure AD pro vaši organizaci. Stejný adresář se použije k ověřování pokusů o přihlášení, pokud se zaregistrujete k více cloudovým službám Microsoftu.
Další služby plně využívají všechny stávající uživatelské účty, zásady, nastavení nebo místní integraci adresářů, které konfigurujete, aby pomohly zlepšit efektivitu mezi místní infrastrukturou identit vaší organizace a Azure AD.
Pokud jste se například původně registrovali k předplatnému služby Microsoft Intune a provedli jste kroky nezbytné k další integraci místní služby Active Directory s adresářem služby Azure AD (nasazení synchronizace adresářů a/nebo serverů pro jednotné přihlašování), můžete se registrovat k jiné cloudové službě Microsoftu, například Office 365, která vám umožní využít stejných výhod integrace adresáře, které nyní využíváte ve službě Microsoft Intune.
Další informace o integraci místního adresáře se službou Azure AD najdete v článku o integraci adresáře.
Přidružení adresáře služby Azure AD k novému předplatnému služby Azure
Nové předplatné služby Azure můžete přidružit ke stejnému adresáři, který používáte k ověřování přihlášení k existujícímu předplatnému služby Office 365 nebo Microsoft Intune. Přihlaste se k portálu pro správu Azure pomocí svého pracovního nebo školního účtu. Portál pro správu Azure vrátí zprávu, že pro tento účet nemohl najít žádná předplatná. Vyberte Zaregistrovat se do Azure a adresář bude dostupný pro správu na portálu pro správu Azure. Další informace naleznete v tématu Správa adresáře pro předplatné služeb Office 365 ve službě Azure.
.png "Associate Account 2")
Video, které odpovídá na běžné otázky ohledně používání služby Azure AD, najdete v tématu Azure Active Directory – běžné otázky ohledně registrace, přihlašování a používání.
Vytvoření adresáře Azure AD registrací služby jako organizace
Pokud ještě nemáte předplatné cloudové služby Microsoftu, registrujte se prostřednictvím jednoho z odkazů níže. V rámci registrace k první službě se vám automaticky vytvoří adresář služby Azure AD.
Azure - Zaregistrujte se.
Office 365 – zaregistrujte se.
- Microsoft Intune Přiřaďte nyní.
Správa výchozího adresáře poskytnutého službou Azure
Když se nyní zaregistrujete ke službě Azure, vytvoří se automaticky adresář a přidruží se k němu vaše předplatné. Pokud jste se ale ke službě Azure registrovali před říjnem roku 2013, adresář se automaticky nevytvořil. V takovém případě pro váš účet služba Azure pravděpodobně vytvořila výchozí adresář. Vaše předplatné bylo následně k tomuto výchozímu adresáři přidruženo.
Adresáře byly poskytnuty v říjnu roku 2013 v rámci celkového zlepšení bezpečnostního modelu služby Azure. Díky tomu mohou všichni zákazníci služby Azure využívat funkce organizační identity a je zajištěno, aby přístup k veškerým prostředkům služby Azure probíhal v kontextu uživatele v adresáři. Bez adresáře nemůžete službu Azure používat. Aby toho bylo možné dosáhnout, musel si každý uživatel, který se registroval před 7. červencem 2013 a neměl adresář, jeden adresář vytvořit. Pokud jste již měli adresář vytvořený, vaše předplatné se k němu přidružilo.
Za používání služby Azure AD se neplatí. Adresář je volným prostředkem. Existuje další Azure Active Directory Premium úroveň, která je licencovaná samostatně a poskytuje další funkce, jako je branding společnosti a samoobslužné resetování hesla.
Pokud chcete změnit zobrazovaný název adresáře, klikněte na adresář na portálu pro správu a klikněte na Konfigurovat. Můžete přidat nový adresář nebo odstranit adresář, který už nepotřebujete. Blíže se tomu budeme věnovat později v tomto tématu. Pokud chcete předplatné přidružit k jinému adresáři, klikněte na Nastavení>Podpisy>Upravit adresář. Můžete také vytvořit vlastní doménu pomocí názvu DNS, který jste si zaregistrovali, namísto výchozí domény *. onmicrosoft.com, která může být vhodnější při použití ve službě typu SharePoint Online.
Další informace o správě adresáře získáte při správě Azure AD adresáře.
Přidání a správa více adresářů Azure AD
Adresář služby Azure AD můžete přidat v Portálu pro správu Azure. Vyberte Active Directory na levé straně a klikněte na Přidat.
Každý adresář můžete spravovat jako plně nezávislý prostředek: každý adresář je rovnocenný, plně vybavený a logicky nezávislý na ostatních adresářích, které spravujete. Mezi adresáři neexistují žádné vztahy typu nadřazenost/podřazenost. Tato nezávislost mezi adresáři zahrnuje nezávislost prostředků, nezávislost správy a nezávislost synchronizace.
Nezávislost prostředků. Vytvoření nebo odstranění prostředku v jednom adresáři nemá žádný vliv na prostředky v jiných adresářích. Částečnou výjimku, která platí pro externí uživatele, popisujeme níže. Pokud používáte vlastní doménu „contoso.com“ u jednoho adresáře, nemůžete ji použít u jiných adresářů.
Nezávislost správy. Pokud uživatel adresáře „Contoso“, který nemá oprávnění správce, vytvoří adresář „Test“, pak:
Ve výchozím nastavení se uživatel, který vytvoří adresář, přidá jako externí uživatel v daném novém adresáři a přiřadí roli globálního správce v daném adresáři.
Správci adresáře Contoso nemají žádná přímá oprávnění pro správu adresáře Test, pokud jim správce adresáře Test oprávnění explicitně neudělí. Správci adresáře „Contoso“ můžou řídit přístup k adresáři „Test“ na základě ovládání uživatelského účtu, který vytvořil adresář „Test“.
A pokud změníte (přidáte nebo odeberete) roli správce u uživatele v jednom adresáři, neovlivní tato změna žádnou roli správce, kterou tento uživatel může mít v jiném adresáři.
Nezávislost synchronizace. Každý adresář služby Azure AD můžete nakonfigurovat nezávisle tak, aby se data synchronizovala z jediné instance jednoho z následujících:
Používá se nástroj pro synchronizaci adresáře k synchronizaci dat s jednou doménovou strukturou služby AD.
Konektor služby Azure Active Directory pro nástroj Forefront Identity Manager k synchronizaci dat s jednou nebo více místními doménovými strukturami a/nebo zdroji dat mimo službu AD.
Všimněte si také, že na rozdíl od jiných prostředků služby Azure nejsou vaše adresáře podřízenými prostředky předplatného služby Azure. Pokud tedy zrušíte nebo povolíte vypršení platnosti předplatného Azure, budete mít stále přístup k datům adresáře pomocí Azure PowerShell, azure Graph API nebo jiných rozhraní, jako je Office 365 Admin Center. K adresáři můžete také přidružit jiné předplatné.
Odstranění adresáře Azure AD
Globální správce může odstranit adresář Azure AD z portálu pro správu Azure. Při odstranění adresáře se odstraní také všechny prostředky, které adresář obsahoval. Před odstraněním adresáře se proto ujistěte, že ho opravdu nepotřebujete.
Poznámka
Pokud je uživatel přihlášený prostřednictvím pracovního nebo školního účtu, nemůže se pokusit o odstranění vlastního domovského adresáře. Pokud je uživatel například přihlášený jako joe@contoso.onmicrosoft.com, nemůže odstranit adresář, který má jako výchozí doménu contoso.onmicrosoft.com.
Podmínky, které musí být splněny, aby bylo možné odstranit adresář služby Azure AD
Služba Azure AD vyžaduje, aby byly před odstraněním adresáře splněny určité podmínky. Tím se snižuje riziko, že odstranění adresáře negativně ovlivní uživatele nebo aplikace, například možnost uživatelů přihlásit se ke službě Office 365 nebo jejich přístup k prostředkům ve službě Azure. Pokud by například někdo neúmyslně odstranil adresář pro předplatné, ztratili by uživatelé přístup k prostředkům služby Azure daného předplatného.
Kontrolují se následující podmínky:
Globální správce, který adresář odstraní, je jediným uživatelem v daném adresáři. Všichni ostatní uživatelé musí být před odstraněním adresáře odstraněni. Pokud uživatelé používají synchronizaci z místních adresářů, musí být tato synchronizace vypnuta a uživatelé musí být z adresáře cloudu odstraněni prostřednictvím Portálu pro správu nebo modulu Azure pro Windows PowerShell. Skupiny nebo kontakty, například kontakty přidané pomocí Centra pro správu Office 365, odstraňovat nemusíte.
V adresáři nesmí být žádné aplikace. Všechny aplikace musí být před odstraněním adresáře odstraněny.
K adresáři nesmí být přidruženo žádné předplatné online služby Microsoft, jako jsou Microsoft Azure, Office 365 nebo Azure AD Premium. Například pokud byl váš výchozí adresář vytvořený v Azure, nemůžete ho odstranit, pokud stále slouží k ověřování přihlášení k předplatnému služby Azure. Podobně nelze odstranit adresář, pokud k němu má přidružené předplatné jiný uživatel. Pokud chcete předplatné přidružit k jinému adresáři, přihlaste se k portálu pro správu Azure a v levém navigačním panelu klikněte na Nastavení. Potom klikněte na Předplatná a Upravit adresář. Další informace o předplatných služby Azure najdete v článku o tom, jakým způsobem se předplatné služby Azure přidruží ke službě Azure AD.
Poznámka
Pokud je vaše předplatné zrušeno a chcete odstranit adresář, přihlaste se pomocí jiného předplatného a přidejte globálního správce adresáře jako spolusprávce předplatného. Pak se odhlaste a znovu se přihlaste pomocí účtu spolusprávce předplatného. Adresář byste pak měli odstranit, pokud jsou splněné všechny ostatní podmínky.
S adresářem nesmí být propojení žádní poskytovatelé služby Multi-Factor Authentication.