Udostępnij za pośrednictwem


Dodawanie kont administratorów i zarządzanie nimi

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

W Tożsamość zewnętrzna Microsoft Entra dzierżawa zewnętrzna reprezentuje katalog kont konsumentów i gości. Dzięki roli administratora konta służbowe i konta gościa mogą zarządzać dzierżawą.

Wymagania wstępne

  • Jeśli nie utworzono jeszcze własnej dzierżawy zewnętrznej firmy Microsoft Entra, utwórz ją teraz.
  • Informacje o kontach użytkowników w Tożsamość zewnętrzna Microsoft Entra.
  • Omówienie ról użytkowników w celu kontrolowania dostępu do zasobów.

Dodawanie konta administratora

Aby utworzyć nowe konto administratora, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  4. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.

  5. Na stronie Nowy użytkownik w obszarze Wybierz szablon wybierz pozycję Utwórz użytkownika.

  6. W obszarze Tożsamość wprowadź informacje dla tego administratora:

    • Nazwa użytkownika. Wymagany. Nazwa użytkownika nowego użytkownika. Na przykład mary@contoso.com.
    • Name. Wymagany. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
    • Imię. Imię nowego użytkownika. Na przykład Mary.
    • Nazwisko. Nazwisko nowego użytkownika. Na przykład Parker.
    • Grupy. Opcjonalne. Możesz dodać użytkownika do co najmniej jednej istniejącej grupy. Możesz również dodać użytkownika do grup w późniejszym czasie.
    • Role: Aby dodać uprawnienia administracyjne dla użytkownika, dodaj je do roli Microsoft Entra. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
    • Ustawienia: użyj przełącznika tak lub nie, aby ustawić ustawienie Blokuj logowanie, a następnie wybierz lokalizację główną administratora na liście Lokalizacja użycia.
    • Informacje o zadaniu: możesz dodać więcej informacji o użytkowniku tutaj lub zrobić to później.
  7. Skopiuj automatycznie wygenerowane hasło podane w polu Hasło. Musisz podać to hasło administratorowi, aby zalogować się po raz pierwszy.

  8. Wybierz pozycję Utwórz.

Administrator jest tworzony i dodawany do dzierżawy zewnętrznej.

Zaproś administratora (konto gościa)

Możesz również zaprosić nowego użytkownika-gościa do zarządzania dzierżawą. Aby zaprosić administratora, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  4. Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego.

  5. Na stronie Nowy użytkownik w obszarze Wybierz szablon wybierz pozycję Zaproś użytkownika.

  6. W obszarze Tożsamość wprowadź informacje dla administratora:

    • Name. Wymagany. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
    • Adres e-mail. Wymagany. Adres e-mail użytkownika, którego chcesz zaprosić.
    • Imię. Imię nowego użytkownika. Na przykład Mary.
    • Nazwisko. Nazwisko nowego użytkownika. Na przykład Parker.
    • Wiadomość osobista: dodajesz osobistą wiadomość, która zostanie dołączona do wiadomości e-mail z zaproszeniem.
    • Grupy. Opcjonalne. Możesz dodać użytkownika do co najmniej jednej istniejącej grupy. Możesz również dodać użytkownika do grup w późniejszym czasie.
    • Role: Aby dodać uprawnienia administracyjne dla użytkownika, dodaj je do roli Microsoft Entra. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
    • Ustawienia: użyj przełącznika tak lub nie, aby ustawić ustawienie Blokuj logowanie, a następnie wybierz lokalizację główną administratora na liście Lokalizacja użycia.
    • Informacje o zadaniu: możesz dodać więcej informacji o użytkowniku tutaj lub zrobić to później.
  7. Wybierz pozycję Zaproś.

Wiadomość e-mail z zaproszeniem jest wysyłana do użytkownika. Użytkownik musi zaakceptować zaproszenie, aby móc się zalogować.

Dodawanie przypisania roli

Rolę można przypisać podczas tworzenia użytkownika lub zapraszania użytkownika-gościa. Możesz dodać rolę, zmienić rolę lub usunąć rolę użytkownika:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
  5. Wybierz pozycję Dodaj przypisania, wybierz rolę do przypisania (na przykład Application Administracja istrator), a następnie wybierz pozycję Dodaj.

Usuwanie przypisania roli

Jeśli musisz usunąć przypisanie roli od użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
  5. Wybierz rolę, którą chcesz usunąć, na przykład Application Administracja istrator, a następnie wybierz pozycję Usuń przypisanie.

Przeglądanie przypisań ról konta administratora

W ramach procesu inspekcji zazwyczaj sprawdzasz, którzy użytkownicy są przypisani do określonych ról w katalogu klienta. Wykonaj poniższe kroki, aby przeprowadzić inspekcję, którzy użytkownicy mają obecnie przypisane role uprzywilejowane.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
  4. Wybierz rolę, na przykład User Administracja istrator. Strona Przypisania zawiera listę użytkowników z tej roli.

Usuwanie konta administratora

Aby usunąć istniejącego użytkownika, musisz mieć co najmniej przypisanie roli Użytkownik Administracja istrator. Administracja istratory uwierzytelniania uprzywilejowanego mogą usuwać dowolnego użytkownika, w tym innych administratorów. Administracja istratory użytkowników mogą usuwać wszystkich użytkowników niebędących administratorami.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istratorów uwierzytelniania uprzywilejowanego.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, który chcesz usunąć.
  5. Wybierz pozycję Usuń, a następnie pozycję Tak , aby potwierdzić usunięcie.

Użytkownik zostanie usunięty i nie będzie już wyświetlany na stronie Wszyscy użytkownicy . Użytkownik może być widoczny na stronie Usunięci użytkownicy przez następne 30 dni i może zostać przywrócony w tym czasie. Aby uzyskać więcej informacji na temat przywracania użytkownika, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.

Ochrona kont administracyjnych

Zaleca się ochronę wszystkich kont administratorów przy użyciu uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa. Uwierzytelnianie wieloskładnikowe to proces weryfikacji tożsamości podczas logowania, który monituje użytkownika o jednorazowy kod dostępu.

Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli globalnego Administracja istratora. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.