Co to są konta użytkowników w identyfikatorze Microsoft Entra?
W usłudze Microsoft Entra ID wszystkie konta użytkowników otrzymują zestaw uprawnień domyślnych. Dostęp konta użytkownika składa się z typu użytkownika, jego przypisań ról i prawo własności do poszczególnych obiektów.
Istnieją różne typy kont użytkowników w identyfikatorze Microsoft Entra. Każdy typ ma poziom dostępu specyficzny dla zakresu prac, które powinny być wykonane w ramach każdego typu konta użytkownika. Administracja istratory mają najwyższy poziom dostępu, a następnie konta użytkowników członkowskich w organizacji Microsoft Entra. Użytkownicy-goście mają najbardziej ograniczony poziom dostępu.
Uprawnienia i role
Identyfikator Entra firmy Microsoft używa uprawnień, które ułatwiają kontrolowanie praw dostępu udzielanych przez użytkownika lub grupę. Odbywa się to za pomocą ról. Identyfikator Entra firmy Microsoft ma wiele ról z dołączonymi do nich różnymi uprawnieniami. Gdy użytkownik ma przypisaną określoną rolę, dziedziczy uprawnienia po tej roli. Na przykład użytkownik przypisany do roli Administrator użytkowników może tworzyć i usuwać konta użytkowników.
Zrozumienie, kiedy przypisać właściwy typ roli właściwemu użytkownikowi, jest podstawowym i kluczowym krokiem w utrzymaniu prywatności, bezpieczeństwa i zgodności. Jeśli niewłaściwa rola zostanie przypisana niewłaściwemu użytkownikowi, uprawnienia związane z tą rolą mogą umożliwić temu użytkownikowi wyrządzenie organizacji poważnej szkody.
Role administratorów
Administracja istrator role w usłudze Microsoft Entra ID umożliwiają użytkownikom podwyższony poziom dostępu do kontrolowania, kto może robić to, co. Te role są przypisywane do ograniczonej grupy użytkowników w celu zarządzania zadaniami tożsamości w organizacji firmy Microsoft Entra. Możesz przypisać role administratora, które pozwalają użytkownikowi na tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym użytkownikom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i nie tylko.
Jeśli twoje konto użytkownika ma rolę Administracja istratora użytkownika lub globalnego Administracja istratora, możesz utworzyć nowego użytkownika w witrynie Microsoft Entra ID przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell. W programie PowerShell uruchom polecenie cmdlet New-MgUser. W interfejsie wiersza polecenia platformy Azure użyj polecenia az ad user create.
Użytkownicy będący członkami
Konto użytkownika członkowskiego jest natywnym członkiem organizacji Microsoft Entra, która ma zestaw domyślnych uprawnień, takich jak możliwość zarządzania informacjami o profilu. Gdy ktoś nowy dołącza do Twojej organizacji, zazwyczaj jest dla niego tworzone konto tego typu.
Każdy użytkownik, który nie jest użytkownikiem-gościem lub nie ma przypisanej roli administratora, należy do tego typu. Rola użytkownika członka jest przeznaczona dla użytkowników, którzy są traktowani jako wewnętrzni w organizacji i są członkami organizacji Microsoft Entra. Jednak użytkownicy ci nie powinni móc zarządzać innymi użytkownikami, na przykład tworzyć i usuwać użytkowników. Użytkownicy będący członkami nie mają takich samych ograniczeń, jakie zwykle nakładane są na użytkowników-gości.
Użytkownicy-goście
Użytkownicy-goście mają ograniczone uprawnienia organizacji Firmy Microsoft Entra. Gdy zaprosisz kogoś do współpracy z twoją organizacją, dodasz je do organizacji Microsoft Entra jako użytkownika-gościa. Następnie możesz wysłać wiadomość e-mail z zaproszeniem zawierającą link do realizacji lub wysłać bezpośredni link do aplikacji, którą chcesz udostępnić. Użytkownicy-goście logują się za pomocą własnych tożsamości służbowych lub społecznościowych. Domyślnie użytkownicy będący członkami firmy Microsoft Entra mogą zapraszać użytkowników-gości. Osoba mająca rolę Administracja istratora użytkownika może wyłączyć tę wartość domyślną.
Twoja organizacja może wymagać współpracy z partnerami zewnętrznymi. Aby współpracować z organizacją, partnerzy ci często muszą mieć określony poziom dostępu do określonych zasobów. W takiej sytuacji warto używać kont użytkowników-gości. Następnie należy się upewnić, że partnerzy mają odpowiedni poziom dostępu potrzebny do wykonywania swoich zadań i nie mają wyższego poziomu dostępu, niż potrzebują.
Dodawanie kont użytkowników
Indywidualne konta użytkowników można dodać za pośrednictwem witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Jeśli chcesz użyć interfejsu wiersza polecenia platformy Azure, uruchom następujące polecenie cmdlet:
# create a new user
az ad user create
To polecenie umożliwia utworzenie nowego użytkownika za pomocą interfejsu wiersza polecenia platformy Azure.
W przypadku programu Azure PowerShell uruchom następujące polecenie cmdlet:
# create a new user
New-MgUser
Możesz tworzyć zbiorczo konta użytkowników będącymi członkami i konta użytkowników-gości. Poniższy przykład pokazuje, jak zbiorczo zapraszać użytkowników-gości.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Tworzysz plik wartości rozdzielanych przecinkami (CSV) z listą wszystkich użytkowników, których chcesz dodać. Zaproszenie jest wysyłane do każdego użytkownika w tym pliku CSV.
Usuwanie kont użytkowników
Możesz także usunąć konta użytkowników za pośrednictwem witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. W programie PowerShell uruchom polecenie cmdlet Remove-MgUser. W interfejsie wiersza polecenia platformy Azure uruchom polecenie cmdlet az ad user delete.
Po usunięciu konta użytkownika pozostaje ono w stanie zawieszenia przez 30 dni. W ciągu tych 30 dni konto użytkownika można przywrócić.