Поделиться через

Управление учетными записями администратора в Azure Active Directory B2C

  • Статья

В Azure Active Directory B2C (Azure AD B2C) клиент представляет каталог потребительских, рабочих и гостевых учетных записей. С помощью роли администратора рабочие и гостевые учетные записи могут управлять клиентом.

Вы узнаете, как выполнять следующие задачи:

  • Добавление администратора (рабочая учетная запись)
  • Приглашение администратора (учетная запись гостя)
  • Добавление назначения ролей в учетную запись пользователя
  • Удаление назначения ролей из учетной записи пользователя
  • Удаление учетной записи администратора
  • Защита учетных записей администраторов

Необходимые компоненты

Добавление администратора (рабочая учетная запись)

Чтобы создать учетную запись администратора, выполните описанные ниже действия.

  1. Войдите на портал Azure с разрешениями "Глобальный администратор" или "Администратор привилегированных ролей".

  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

  3. В разделе Службы Azure выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управлять выберите Пользователи.

  5. Выберите Новый пользователь.

  6. Выберите Создать пользователя (можно создать нескольких пользователей одновременно, если выбрать Я хочу создать несколько пользователей).

  7. На странице Пользователь введите сведения для этого пользователя.

    • Имя пользователя. Обязательно. Имя нового пользователя. Например, mary@contoso.com. В доменной части имени пользователя должно использоваться либо стандартное доменное имя по умолчанию (<имя клиента>.onmicrosoft.com), либо имя личного домена, например contoso.com.
    • Имя. Обязательно. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • Группы. Необязательно. Пользователя можно добавить к одной или нескольким существующим группам. Вы также можете добавить пользователя в группы позже.
    • Роль каталога. Если для пользователя требуются административные разрешения Microsoft Entra, их можно добавить в роль Microsoft Entra. Вы можете назначить пользователя глобальным администратором или одной или несколькими ограниченными ролями администратора в идентификаторе Microsoft Entra. Дополнительные сведения о назначении ролей см. в статье Использование ролей для управления доступом к ресурсам.
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.

  8. Скопируйте автоматически созданный пароль в поле Пароль. Передайте этот пароль пользователю для первого входа в систему.

  9. Выберите Создать.

Пользователь создан и добавлен к вашему клиенту Azure AD B2C. Желательно иметь по крайней мере одну рабочую учетную запись, которая является собственной для клиента Azure AD B2C, которому назначена роль глобального администратора. Эту учетную запись можно считать учетной записью аварийного доступа или учетными записями аварийного доступа.

Приглашение администратора (учетная запись гостя)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Гостевая учетная запись является предпочтительным вариантом, если у вашей организации также есть идентификатор Microsoft Entra, так как жизненный цикл этого удостоверения можно управлять внешним образом.

Чтобы удалить пользователя, выполните указанные ниже действия.

  1. Войдите на портал Azure с разрешениями "Глобальный администратор" или "Администратор привилегированных ролей".

  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

  3. В разделе Службы Azure выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управлять выберите Пользователи.

  5. Выберите Новый гостевой пользователь.

  6. На странице Пользователь введите сведения для этого пользователя.

    • Имя. Обязательно. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • Адрес электронной почты. Обязательно. Адрес электронной почты пользователя, которого вы хотите пригласить (это должна быть учетная запись Майкрософт). Например, mary@contoso.com.
    • Личное сообщение. Добавьте личное сообщение, которое будет включаться в приглашение.
    • Группы. Необязательно. Пользователя можно добавить к одной или нескольким существующим группам. Вы также можете добавить пользователя в группы позже.
    • Роль каталога. Если для пользователя требуются административные разрешения Microsoft Entra, их можно добавить в роль Microsoft Entra. Вы можете назначить пользователя глобальным администратором или одной или несколькими ограниченными ролями администратора в идентификаторе Microsoft Entra. Дополнительные сведения о назначении ролей см. в статье Использование ролей для управления доступом к ресурсам.
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.

  7. Выберите Создать.

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Повторная отправка приглашения по электронной почте

Если гостевой пользователь не получил приглашение по электронной почте или срок действия приглашения истек, вы можете отправить его повторно. В качестве альтернативы сообщению электронной почты с приглашением вы можете предоставить гостю прямую ссылку для принятия приглашения. Чтобы повторно отправить приглашение и получить прямую ссылку, выполните указанные ниже действия.

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

  3. В разделе Службы Azure выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управлять выберите Пользователи.

  5. Найдите и выберите пользователя, которому вы хотите повторно отправить приглашение.

  6. На странице Пользователь | Профиль в разделе Удостоверение выберите (Управление). Screenshot shows how to resend guest account invitation email.

  7. На запрос Отправить приглашение повторно? ответьте Да. Когда появится запрос Действительно отправить приглашение повторно?, выберите Да.

  8. Azure AD B2C отправит приглашение. Вы также можете скопировать URL-адрес приглашения и предоставить его гостю напрямую.

    Screenshot shows how get the invitation URL.

Добавление назначения роли.

Роль можно назначить при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите на портал Azure с разрешениями "Глобальный администратор" или "Администратор привилегированных ролей".
  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
  3. В разделе Службы Azure выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
  4. В разделе Управлять выберите Пользователи.
  5. Выберите пользователя, для которого необходимо изменить роли. Выберите Назначенные роли.
  6. Выберите Добавить назначения, выберите роль, которую нужно назначить (например, Администратор приложений), а затем нажмите Добавить.

Удаление назначения ролей

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Выберите Azure AD B2C, Пользователи, а затем найдите и выберите пользователя.
  2. Щелкните Назначенные роли. Выберите роль, которую необходимо удалить, например Администратор приложений, а затем выберите Удалить назначение.

Проверка назначений ролей учетной записи администратора

В рамках процесса аудита обычно проверяется, какие пользователи назначены определенным ролям в каталоге Azure AD B2C. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите на портал Azure с разрешениями "Глобальный администратор" или "Администратор привилегированных ролей".
  2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
  3. В разделе Службы Azure выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
  4. В разделе Управление выберите Роли и администраторы.
  5. Выберите роль, например Глобальный администратор. На странице Роль | Назначения перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо иметь назначение роли Глобальный администратор. Глобальные администраторы могут удалять всех пользователей, включая других администраторов. Администраторы пользователей могут удалять всех пользователей, не являющихся администраторами.

  1. В каталоге Azure AD B2C выберите Пользователи, а затем выберите пользователя, которого нужно удалить.
  2. Выберите Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление.

Пользователь удален и больше не отображается на странице Пользователи — Все пользователи. Пользователь может отображаться на странице Удаленные пользователи в течение 30 дней. В этот период его можно восстановить. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Защита учетных записей администраторов

Для повышения безопасности рекомендуется защищать все учетные записи администраторов многофакторной проверкой подлинности (MFA). MFA — это процесс проверки личности во время входа, при котором пользователю предлагается дополнительный способ идентификации, например, код проверки на мобильном устройстве или запрос в приложении Microsoft Authenticator.

Authentication methods in use at the sign in screenshot

Если вы не используете условный доступ, вы можете включить безопасность Microsoft Entra по умолчанию , чтобы принудительно использовать MFA для всех административных учетных записей.

Следующие шаги