Vytváření a správa uživatelů

  • 8 min

Každý uživatel, který chce mít přístup k prostředkům Azure, potřebuje uživatelský účet Azure. Váš uživatelský účet obsahuje všechny informace potřebné k ověření během procesu přihlášení. Po ověření Microsoft Entra ID vytvoří přístupový token, který vám umožní autorizovat, určit, k jakým prostředkům máte přístup, a určit, co s těmito prostředky můžete dělat.

K práci s uživatelskými objekty můžete použít řídicí panel Microsoft Entra ID na webu Azure Portal. Mějte na paměti, že můžete současně pracovat pouze s jedním adresářem, ale k přepnutí adresářů můžete použít podokno Adresář a předplatné . Řídicí panel má na panelu nástrojů také tlačítko Spravovat tenanty, které usnadňuje zobrazení všech adresářů a přepnutí do jiného dostupného adresáře.

Zobrazení uživatelů

Pokud chcete zobrazit uživatele Microsoft Entra, v levém podokně nabídek v části Spravovat vyberte Uživatelé. Zobrazí se podokno Všichni uživatelé . Všimněte si sloupců Typ uživatele a Identity, jak je znázorněno na následujícím snímku obrazovky:

Screenshot that depicts the All users pane, with the User type and Identities columns noted.

Id Microsoft Entra obvykle definuje uživatele třemi způsoby:

  • Cloudové identity: Tito uživatelé existují pouze v Microsoft Entra ID. Jako příklady můžeme uvést účty správců a uživatele, které spravujete sami. Zdrojem je Microsoft Entra ID nebo externí ID Microsoft Entra, pokud je uživatel definován v jiné instanci Microsoft Entra, ale potřebuje přístup k prostředkům předplatného řízené tímto adresářem. Pokud jsou tyto účty odebrány z primárního adresáře, odstraní se.

  • Identity synchronizované s adresářem: Tito uživatelé existují v místní Active Directory. Synchronizační aktivita, ke které dochází prostřednictvím Microsoft Entra Připojení přináší tyto uživatele do Azure. Jejich zdroj je Windows Server AD.

  • Uživatelé typu host: Tito uživatelé existují mimo Azure. Jako příklady můžeme uvést účty od jiných poskytovatelů cloudu a účty Microsoft, jako je například účet Xbox LIVE. Jejich zdroj je Pozvaný uživatel. Tento typ účtu je užitečný, když přístup k vašim prostředkům Azure potřebují mít externí dodavatelé. Až jejich podporu nebudete potřebovat, můžete účet odebrat a s ním i jejich kompletní přístup.

Přidat uživatele

Ke službě Microsoft Entra ID můžete přidat cloudové identity několika způsoby:

  • Synchronizace místního adresáře Windows Server Active Directory
  • Pomocí webu Azure Portal
  • Použití příkazového řádku
  • Další možnosti

Synchronizace místní služby Windows Server Active Directory

Microsoft Entra Připojení je samostatná služba, která umožňuje synchronizovat tradiční službu Active Directory s vaší instancí Microsoft Entra. Tímto způsobem přidává uživatele do adresáře většina podnikových zákazníků. Výhodou tohoto přístupu je, že uživatelé můžou při přístupu k místním i cloudovým prostředkům používat jednotné přihlašování.

Použití portálu Azure Portal

Nové uživatele můžete přidávat ručně prostřednictvím webu Azure Portal. Je to nejjednodušší způsob, jak přidat malý počet uživatelů. K provádění této funkce musíte být v roli Správce uživatelů.

  1. Pokud chcete přidat nového uživatele pomocí webu Azure Portal, v horním řádku nabídek vyberte Nový uživatel a pak vyberte Vytvořit nového uživatele.

    Screenshot showing the New User button highlighted in the Microsoft Entra admin center.

  2. Kromě jména a uživatelského jména můžete na kartě Vlastnosti přidat informace o profilu, jako je pracovní pozice a oddělení.

    Screenshot showing the New user dialog.

    Výchozím chováním je vytvořit nového uživatele v organizaci. Uživatel bude mít uživatelské jméno s výchozím názvem domény přiřazeným adresáři, například alice@staracoustics.onmicrosoft.com.

  3. Můžete také pozvat uživatele do adresáře. V takovém případě se e-mail odešle na známou e-mailovou adresu a účet se vytvoří a přidružuje k této e-mailové adrese, pokud uživatel pozvánku přijme.

    Screenshot showing the invite screen.

    Pozvaný uživatel bude muset vytvořit přidružený účet Microsoft (MSA), pokud tato konkrétní e-mailová adresa není přidružená k jednomu účtu a účet se přidá do ID Microsoft Entra jako uživatel typu host.

Použití příkazového řádku

Pokud potřebujete přidat mnoho uživatelů, je lepší použít nástroj příkazového řádku. Spuštěním příkazu New-MgUser PowerShell můžete přidat cloudové uživatele.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Příkaz vrátí nový uživatelský objekt, který jste vytvořili.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Pokud dáváte přednost standardnějšímu rozhraní příkazového řádku, můžete použít Azure CLI:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Nástroje příkazového řádku umožňují přidávat uživatele hromadně prostřednictvím skriptování. Nejběžnějším přístupem je použití textového souboru s oddělovači (CSV). Tento soubor můžete vytvořit ručně nebo exportem z existujícího zdroje dat.

Pokud plánujete použít soubor CSV, myslete na následující věci:

  • Zásady vytváření názvů: Vytvořte nebo implementujte konvenci vytváření názvů pro uživatelská jména, zobrazované názvy a aliasy. Například uživatelské jméno se může skládat z příjmení a tečky (.), za kterou následuje křestní jméno; například Smith.John@contoso.com.

  • Hesla: Implementujte konvenci pro počáteční heslo nově vytvořeného uživatele. Určete, jak s rozšířeným zabezpečením budou noví uživatelé dostávat hesla. Běžně se to dělá tak, že vygenerujete náhodné heslo a pošlete ho e-mailem novému uživateli nebo jeho nadřízenému.

Postup použití souboru CSV pomocí Azure PowerShellu:

  1. Spuštěním příkazu Připojení-MgGraph vytvořte připojení PowerShellu k vašemu adresáři. Připojte se pomocí účtu správce, který má oprávnění k vašemu adresáři.

  2. Vytvořte nové profily hesel pro nové uživatele. Hesla pro nové uživatele musí odpovídat pravidlům složitosti hesel, která jste pro adresář nastavili.

  3. Pomocí příkazu Import-CSV importujte soubor CSV. Musíte zadat cestu a název souboru CSV.

  4. Projděte jednotlivé uživatele v souboru a pro každého vytvořte potřebné uživatelské parametry. Jako příklady parametrů můžeme uvést Hlavní název uživatele (UPN), Zobrazované jméno, Křestní jméno, Oddělení a Pozice.

  5. Spuštěním New-MgUser příkazu vytvořte každého uživatele. Nezapomeňte každý účet povolit.

Další možnosti

Uživatele můžete do Microsoft Entra ID přidat také programově pomocí rozhraní Microsoft Graph API nebo prostřednictvím centra Správa Microsoftu 365 a konzoly Microsoft Intune Správa, pokud sdílíte stejný adresář.