Поделиться через


Управление корпоративными пользователями

В этой статье описывается администратор идентификатора Microsoft Entra, часть Microsoft Entra, связь между главными задачами управления удостоверениями для пользователей с точки зрения их групп, лицензий, развернутых корпоративных приложений и ролей администратора. По мере роста организации вы можете использовать группы Microsoft Entra и роли администратора для следующих задач:

  • Назначение лицензий группам вместо назначения лицензий отдельным пользователям.
  • Предоставьте разрешения на делегирование управления Microsoft Entra персоналу в менее привилегированных ролях.
  • назначать группам доступ к корпоративному приложению.

Назначение пользователей группам

Группы в идентификаторе Microsoft Entra можно использовать для назначения лицензий или развернутых корпоративных приложений большому количеству пользователей. Вы также можете использовать группы для назначения всех ролей администратора, кроме глобального администратора Microsoft Entra, или предоставить доступ к внешним ресурсам, таким как приложения SaaS или сайты SharePoint.

Вы можете использовать динамические группы членства в идентификаторе Microsoft Entra для автоматического расширения и контракта динамических групп членства. Динамические группы обеспечивают большую гибкость и снижают динамическую работу управления группами членства.

Примечание.

Вам нужна лицензия Microsoft Entra ID P1 для каждого уникального пользователя, являющегося членом одной или нескольких динамических групп членства.

Назначение лицензий группам

Управление назначениями лицензий пользователей по отдельности занимает много времени и подвержено ошибкам. Если вместо этого вы назначаете лицензии группам , вы можете упростить крупномасштабное управление лицензиями.

Пользователи Microsoft Entra, которые присоединяются к лицензированной группе, автоматически назначаются соответствующим лицензиям. Когда пользователи покидают группу, идентификатор Microsoft Entra удаляет свои назначения лицензий. Без групп Записей Майкрософт вам потребуется написать сценарий PowerShell или использовать API Graph для массового добавления или удаления лицензий пользователей для присоединения или выхода из организации. Дополнительные сведения о групповых массовых операциях см. в статье "Массовая отправка" для добавления или создания участников группы.

Если нет доступных лицензий или возникает проблема, например планы обслуживания, которые не могут быть назначены одновременно, можно просмотреть состояние любой проблемы лицензирования для группы в портал Azure.

Делегирование ролей администратора

Многие крупные организации хотят предоставить своим пользователям необходимые разрешения для рабочих задач, не назначая роль глобального администратора со множеством возможностей, к примеру, пользователям, которым необходимо регистрировать приложения. Ниже приведен пример новых ролей администратора Microsoft Entra, которые помогут вам распределить работу управления приложениями с более конкретной целью:

Имя роли Сводка разрешений
Администратор приложений Может добавлять корпоративные приложения и регистрации приложений, а также управлять ими и настраивать параметры приложения прокси-сервера. Администраторы приложений могут просматривать политики условного доступа и устройства, но не управлять ими.
Администратор облачных приложений Может добавлять корпоративные приложения и регистрации корпоративных приложений, а также управлять ими. У этой роли есть все разрешения администратора приложений за исключением разрешений на управление параметрами прокси-сервера приложения.
Разработчик приложений Может добавлять и обновлять регистрации приложений, но не может управлять корпоративными приложениями или настраивать прокси приложения.

Добавляются новые роли администратора Microsoft Entra. Чтобы узнать, какие роли сейчас доступны, просмотрите портал Azure или справочник разрешений для роли администратора.

Назначение доступа к приложению

Идентификатор Microsoft Entra можно использовать для назначения доступа к группам корпоративным приложениям, развернутыми в организации Microsoft Entra. Если вы объединяете динамические группы членства с назначением групп для приложений, вы можете автоматизировать назначения доступа пользователей по мере роста организации. Для назначения доступа к корпоративным приложениям потребуется лицензия Microsoft Entra ID P1 или Premium P2.

Идентификатор Microsoft Entra также предоставляет конкретный контроль над данными, которые передаются между приложением и группами, которым вы назначаете доступ. В корпоративных приложениях откройте приложение и выберите Подготовка, чтобы:

  • настроить автоматическую подготовку для приложений, которые ее поддерживают;
  • предоставить учетные данные для подключения к API управления пользователями приложения;
  • Настройте сопоставления, которые управляют потоком атрибутов пользователя между идентификатором Microsoft Entra и приложением при подготовке или обновлении учетных записей пользователей.
  • Запуск и остановка службы подготовки Microsoft Entra для приложения, очистка кэша подготовки или перезапуск службы
  • Просмотрите отчет о действиях подготовки, предоставляющий журнал всех пользователей и групп, созданных, обновленных и удаленных между идентификатором Microsoft Entra и приложением, а также отчет об ошибке подготовки, предоставляющий более подробные сообщения об ошибках

Следующие шаги

Если вы являетесь начальным администратором Microsoft Entra, получите основные сведения в основах Microsoft Entra.

Или вы можете начать создавать группы, назначать лицензии, назначать доступ к приложению или назначать роли администратора.