Esercizio - Configurare Microsoft Entra ID
Questo esercizio illustra il processo di creazione e gestione delle entità correlate a Microsoft Entra ID, inclusi tenant, utenti e gruppi di Microsoft Entra. Si inizierà creando un account utente e due gruppi nel tenant di Microsoft Entra associato alla sottoscrizione e aggiungendo l'utente al primo gruppo. Verranno quindi creati un altro tenant di Microsoft Entra e un account utente in tale tenant. Per concludere questo esercizio, si aggiungerà l'account utente dal secondo tenant come account guest nel primo tenant. Negli esercizi successivi di questo modulo verrà implementata l'integrazione tra un'istanza con server singolo di Database di Azure per PostgreSQL e il primo tenant di Microsoft Entra, quindi verrà concesso l'accesso al contenuto ai due gruppi creati in precedenza.
In questo esercizio si vedrà come:
- Creare oggetti utente e gruppo di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure.
- Creare un ulteriore tenant di Microsoft Entra e un oggetto utente.
- Creare e configurare un utente guest di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure.
Prerequisiti
Per eseguire questo esercizio, è necessario avere:
Una sottoscrizione di Azure.
Un account Microsoft o un account Microsoft Entra con il ruolo Amministratore globale nel tenant di Microsoft Entra associato alla sottoscrizione di Azure e con il ruolo Proprietario o Collaboratore nella sottoscrizione di Azure.
Nota
Gli esercizi in questo modulo eseguono operazioni sensibili e richiedono privilegi molto elevati, pertanto, devono essere eseguiti all'interno di un ambiente lab isolato. Se non si ha accesso a un ambiente di questo tipo, è consigliabile usare a questo scopo una sottoscrizione di valutazione di Azure.
Creare oggetti utente e gruppo di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure
Si inizierà creando oggetti utente e gruppo di Microsoft Entra. Dopo aver creato gli oggetti, verranno configurate le rispettive appartenenze ai gruppi. Per velocizzare le attività di configurazione, si userà l'interfaccia della riga di comando di Azure. Ci si baserà sugli oggetti di Microsoft Entra per l'autenticazione nell'istanza con server singolo di Database di Azure per PostgreSQL nell'esercizio successivo di questo modulo.
In un Web browser passare al portale di Azure ed eseguire l'accesso alla sottoscrizione di Azure che verrà usata in questo modulo.
Nel portale di Azure aprire Cloud Shell selezionando la relativa icona sulla barra degli strumenti accanto alla casella di testo della ricerca.
Se necessario, selezionare Bash.
Nota
Se è la prima volta che si avvia Azure Cloud Shell e viene visualizzato il messaggio Non sono state montate risorse di archiviazione, selezionare la sottoscrizione in uso in questo esercizio e quindi selezionare Crea archivio.
All'interno della sessione Bash nel riquadro Azure Cloud Shell eseguire il comando seguente per identificare il nome di dominio DNS predefinito del tenant di Microsoft Entra associato alla sottoscrizione di Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Eseguire il comando seguente per creare un utente di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password Pa55w.rd1234 \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota
Questo account utente verrà configurato come amministratore di Microsoft Entra dell'istanza con server singolo di Database di Azure per PostgreSQL nel prossimo esercizio.
Eseguire il comando seguente per identificare il valore dell'attributo userPrincipalName dell'utente di Microsoft Entra creato nel passaggio precedente:
echo $ADMIN | jq -r '.userPrincipalName'Nota
Prendere nota di questo valore. Sarà necessario nell'esercizio successivo di questo modulo.
Eseguire i comandi seguenti per assegnare all'utente appena creato il ruolo Collaboratore nella sottoscrizione di Azure usata per gli esercizi in questo modulo:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota
Il secondo comando restituirà l'ID della sottoscrizione predefinita. Se si intende usare una sottoscrizione diversa, è necessario impostare di conseguenza il valore della variabile $SUBSCRIPTION_ID.
Eseguire il comando seguente per creare un utente di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password Pa55w.rd1234 \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota
Questo account utente verrà configurato come utente di Microsoft Entra senza privilegi con accesso a un database nell'istanza con server singolo di Database di Azure per PostgreSQL nel prossimo esercizio.
Eseguire il comando seguente per creare un gruppo di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Nota
Questo gruppo verrà usato per assegnare le autorizzazioni al database nell'istanza con server singolo di Database di Azure per PostgreSQL nel prossimo esercizio.
Eseguire il comando seguente per aggiungere l'utente al gruppo:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDEseguire il comando seguente per assegnare all'utente appena creato il ruolo Collaboratore nella sottoscrizione di Azure usata per gli esercizi in questo modulo:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota
Ci si baserà su questa assegnazione di ruolo nel prossimo esercizio in questo modulo.
Chiudere il riquadro Cloud Shell.
Per verificare il risultato di questo esercizio, nel portale di Azure usare la casella di testo Cerca risorse, servizi e documentazione all'inizio della pagina del portale di Azure per cercare Microsoft Entra ID.
Nell'elenco dei risultati selezionare Microsoft Entra ID.
Nel riquadro che visualizza le proprietà del tenant di Microsoft Entra selezionare Utenti nella sezione Gestione del menu verticale.
Nel pannello Utenti | Tutti gli utenti verificare che l'elenco di utenti contenga l'account utente creato in precedenza in questa attività.
Tornare al riquadro che visualizza le proprietà del tenant di Microsoft Entra e selezionare Gruppi nella sezione Gestione del menu verticale.
Nel pannello Gruppi | Tutti i gruppi (anteprima) verificare che l'elenco di utenti contenga l'account di gruppo creato in precedenza in questa attività.
Creare un ulteriore tenant di Microsoft Entra e un oggetto utente
In questa attività verranno creati un tenant di Microsoft Entra e un account utente nel nuovo tenant usando il portale di Azure. Nell'attività successiva questo account utente verrà configurato come account utente guest nel primo tenant.
Nel Web browser, nel riquadro del portale di Azure che visualizza le proprietà del tenant di Microsoft Entra, selezionare Gestisci i tenant e quindi selezionare + Crea.
Nella scheda Informazioni di base del riquadro Crea un tenant verificare che l'opzione Microsoft Entra ID sia selezionata e selezionare Avanti: Configurazione >.
Nella scheda Configurazione del pannello Crea un tenant specificare le impostazioni seguenti:
Impostazione Valore Nome organizzazione Contoso Nome di dominio iniziale Qualsiasi nome DNS valido costituito da lettere minuscole e cifre e che inizia con una lettera Paese/area geografica Nome del paese o dell'area geografica Selezionare Rivedi e crea e nella scheda Rivedi e crea del pannello Crea un tenant selezionare Crea.
Se richiesto, nella pagina Dimostra che non sei un robot immettere il codice fornito e quindi selezionare Invia.
Attendere il completamento del provisioning e quindi selezionare il collegamento Contoso per passare al riquadro che visualizza le proprietà del tenant di Microsoft Entra Contoso.
Nel Web browser, nel riquadro del portale di Azure in cui è visualizzato il riquadro Contoso | Panoramica del tenant di Microsoft Entra Contoso selezionare Utenti nella sezione Gestione del menu verticale.
Nel riquadro Utenti | Tutti gli utenti del tenant Contoso - Microsoft Entra ID selezionare + Nuovo utente e quindi Crea nuovo utente.
Nel pannello Crea nuovo utente specificare le impostazioni seguenti, lasciando le altre con i valori predefiniti:
Impostazione valore Nome utente contosouser1 Nome contosouser1 Consenti la creazione manuale della password Attivato Password iniziale Pa55w.rd1234 Usare l'icona Copia negli Appunti accanto all'elenco a discesa Nome utente per registrare il valore dell'attributo User Principal Name di contosouser1. Sarà necessario più avanti in questo esercizio e in quelli successivi.
Nel pannello Nuovo utente selezionare Crea.
Nel riquadro Utenti | Tutti gli utenti del tenant Contoso - Microsoft Entra ID scorrere l'elenco di account utente e verificare che il nuovo account utente sia stato creato correttamente.
Nota
Questo account utente verrà configurato come utente di Microsoft Entra senza privilegi con accesso a un database nell'istanza con server singolo di Database di Azure per PostgreSQL nel prossimo esercizio.
Creare e configurare un utente guest di Microsoft Entra nel tenant di Microsoft Entra associato alla sottoscrizione di Azure
Per concludere questo esercizio, si userà il portale di Azure per configurare l'account utente nel tenant di Microsoft Entra Contoso come utente guest nel tenant di Microsoft Entra Adatum, creare un nuovo gruppo in tale tenant e aggiungere l'utente guest a tale gruppo.
Nel Web browser, nel riquadro del portale di Azure che visualizza il riquadro Contoso | Panoramica del tenant di Microsoft Entra Contoso, sulla barra degli strumenti nell'angolo superiore destro, selezionare l'icona Sottoscrizioni accanto all'icona Cloud Shell e quindi selezionare il collegamento Cambia directory.
Nel riquadro Directory e sottoscrizioni selezionare la voce che rappresenta il tenant di Microsoft Entra associato alla sottoscrizione di Azure usata negli esercizi di questo modulo e quindi selezionare Cambia.
Nota
La sessione passerà automaticamente al tenant di Microsoft Entra associato alla sottoscrizione di Azure usata negli esercizi di questo modulo.
Nel portale di Azure usare la casella di testo Cerca risorse, servizi e documenti all'inizio della pagina del portale di Azure per cercare Microsoft Entra ID e, nell'elenco dei risultati, selezionare Microsoft Entra ID.
Nel riquadro che visualizza le proprietà del tenant di Microsoft Entra selezionare Utenti nella sezione Gestione del menu verticale.
Nel pannello Utenti | Tutti gli utenti selezionare + Nuovo utente, quindi selezionare Invita utente esterno.
Nel pannello Invita utente esterno verificare che l'opzione Invita utente sia selezionata e specificare le impostazioni seguenti, lasciando i valori predefiniti per le altre impostazioni, selezionare Rivedi e invita e quindi Invita:
Impostazione Valore Indirizzo di posta elettronica Valore dell'attributo User Principal Name di contosouser1 registrato in precedenza in questa attività Nome visualizzato contosouser1 Messaggio di invito Benvenuti in Adatum Tornare al riquadro che visualizza le proprietà del tenant di Microsoft Entra e quindi selezionare Gruppi nella sezione Gestione del menu verticale.
Nel pannello Gruppi | Tutti i gruppi selezionare adatumgroup1.
Nel pannello adatumgroup1 selezionare Membri.
Nel pannello adatumgroup1 | Membri selezionare + Aggiungi membri.
Nel pannello Aggiungi membri immettere contosouser1 nella casella di testo Cerca.
Nell'elenco dei risultati selezionare la voce contosouser1 e quindi selezionare Seleziona.
Risultati
Congratulazioni. Il primo esercizio del modulo è stato completato. Questo esercizio è iniziato con la creazione di un utente e un gruppo nel tenant di Microsoft Entra associato alla sottoscrizione di Azure e quindi l'utente è stato aggiunto al gruppo. Successivamente, è stato creato un altro tenant di Microsoft Entra e un utente in tale tenant di Microsoft Entra. Infine, l'utente è stato configurato come utente guest nel tenant di Microsoft Entra associato alla sottoscrizione di Azure, è stato creato un altro gruppo nel tenant e quindi vi è stato aggiunto l'utente guest.