Mik azok a felhasználói fiókok a Microsoft Entra-azonosítóban?
A Microsoft Entra-azonosítóban minden felhasználói fiók alapértelmezett engedélyeket kap. A felhasználói fiók hozzáférése magában foglalja a felhasználó típusát, a szerepkör-hozzárendeléseiket, és az egyes objektumok tulajdonjogát.
A Microsoft Entra ID-ban különböző típusú felhasználói fiókok találhatók. Minden típushoz tartozik egy hozzáférési szint, amelyet a felhasználói fiók adott típusánál elvégzendő tennivalók határoznak meg. Rendszergazda istratorok rendelkeznek a legmagasabb szintű hozzáféréssel, amelyet a Microsoft Entra szervezet tag felhasználói fiókjai követnek. A vendégfelhasználók rendelkeznek a legkorlátozottabb hozzáférési szinttel.
Engedélyek és szerepkörök
A Microsoft Entra ID engedélyeket használ a felhasználó vagy csoport hozzáférési jogosultságainak szabályozásához. Ez a szerepkörök segítségével történik. A Microsoft Entra ID számos szerepkörrel rendelkezik, amelyhez különböző engedélyek vannak csatolva. Ha egy felhasználóhoz egy adott szerepkör van hozzárendelve, akkor örökli a szerepkörrel járó engedélyeket. Például a felhasználói rendszergazdai szerepkört betöltő felhasználók felhasználói fiókokat hozhatnak létre és törölhetnek.
Az adatvédelmi és biztonsági megfelelőség szempontjából alapvető és elengedhetetlen, hogy tudja, mikor kell a megfelelő szerepkörtípust hozzárendelni egy adott felhasználóhoz. Ha nem megfelelő szerepkör van hozzárendelve egy nem megfelelő felhasználóhoz, a szerepkörhöz tartozó engedélyek lehetővé tehetik a felhasználó számára, hogy súlyos károkat okozzon a szervezetnek.
Rendszergazdai szerepkörök
Rendszergazda Istrator szerepkörök a Microsoft Entra-azonosítóban lehetővé teszik, hogy a felhasználók emelt szintű hozzáféréssel szabályozhatják, hogy ki mit tehet. Ezeket a szerepköröket a felhasználók egy korlátozott csoportjához rendelheti, hogy egy Microsoft Entra-szervezet identitáskezelési feladatait kezelje. Hozzárendelhet egy felhasználóhoz olyan rendszergazdai szerepköröket, amelyekkel többek között felhasználókat hozhat létre vagy szerkeszthet, másokhoz rendszergazdai szerepköröket rendelhet hozzá, felhasználói jelszavakat állíthat vissza és felhasználói licenceket kezelhet.
Ha a felhasználói fiók felhasználói Rendszergazda istrator vagy globális Rendszergazda istrator szerepkörrel rendelkezik, létrehozhat egy új felhasználót a Microsoft Entra ID-ban az Azure Portal, az Azure CLI vagy a PowerShell használatával. A PowerShellben futtassa a parancsmagot New-MgUser. Az Azure parancssori felületén használja a következőt: az ad user create.
Tagfelhasználók
A tag felhasználói fiók a Microsoft Entra szervezet natív tagja, amely olyan alapértelmezett engedélyekkel rendelkezik, mint például a profiladatok kezelése. Ha egy új személy csatlakozik a szervezethez, általában ilyen fiókot hoznak létre a számára.
Bárki, aki nem vendégfelhasználó, vagy nincs hozzárendelve rendszergazdai szerepkör, ebbe a kategóriába esik. A tagfelhasználói szerepkörök olyan felhasználók számára szólnak, akik szervezeten belülinek minősülnek, és a Microsoft Entra szervezet tagjai. Azonban ezek a felhasználók nem kezelhetnek más felhasználókat, például a felhasználói fiókok létrehozásával és törlésével. A tagfelhasználók nem rendelkeznek ugyanazokkal a korlátozásokkal, mint általában a vendégfelhasználók.
Vendégfelhasználók
A vendégfelhasználók korlátozták a Microsoft Entra szervezeti engedélyeit. Amikor meghív valakit, hogy működjön együtt a szervezetével, vendégfelhasználóként hozzáadja őket a Microsoft Entra-szervezethez. Ezután elküldhet egy meghívó e-mailt, amely beváltható hivatkozást tartalmaz, vagy elküldhet egy közvetlen hivatkozást egy megosztani kívánt alkalmazásra. A vendégfelhasználók saját munkahelyi, iskolai vagy közösségi identitásukkal jelentkezhetnek be. Alapértelmezés szerint a Microsoft Entra tagfelhasználói meghívhatnak vendégfelhasználókat. A felhasználói Rendszergazda istrator szerepkörrel rendelkező személy letilthatja ezt az alapértelmezett beállítást.
Előfordulhat, hogy a szervezetnek külső partnerekkel kell dolgoznia. A szervezettel való együttműködéshez ezeknek a partnereknek egy bizonyos szintű hozzáférésre van szükségük adott erőforrásokhoz. Ilyen helyzetben érdemes a vendégfelhasználói fiókokat használni. Ezután győződjön meg arról, hogy a partnerek rendelkeznek a munkájuk elvégzéséhez megfelelő, a szükségesnél azonban nem magasabb szintű hozzáféréssel.
Felhasználói fiókok hozzáadása
Az Azure Portalon, az Azure PowerShellen vagy az Azure CLI-n keresztül egyéni felhasználói fiókokat adhat hozzá.
Ha az Azure CLI-t szeretné használni, futtassa a következő parancsmagot:
# create a new user
az ad user create
Ez a parancs egy új felhasználót hoz létre az Azure CLI használatával.
Az Azure PowerShell esetében futtassa a következő parancsmagot:
# create a new user
New-MgUser
Tömegesen is létrehozhat tagfelhasználói és vendégfelhasználói fiókokat. Az alábbi példa bemutatja, hogyan lehet vendégfelhasználókat tömegesen meghívni.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Létrehoz egy vesszővel tagolt értékeket (CSV) tartalmazó fájlt az összes hozzáadni kívánt felhasználó listájával. A rendszer meghívót küld az adott CSV-fájlban lévő összes felhasználónak.
Felhasználói fiókok törlése
Az Azure Portalon, az Azure PowerShellen vagy az Azure CLI-n keresztül törölheti is az egyéni felhasználói fiókokat. A PowerShellben futtassa a parancsmagot Remove-MgUser. Az Azure CLI-ben futtassa a parancsmagot az ad user delete.
Miután töröl egy felhasználót, a fiók 30 napig felfüggesztett állapotban marad. A 30 napos időszak alatt a felhasználói fiók visszaállítható.