Управление каталогом Azure AD
Обновлено: 15 сентября 2015 г.
Область применения: Azure, Office 365, Windows Intune
Примечание
В этом разделе представлено содержимое справки по сети для облачных служб, таких как Microsoft Intune и Office 365, которые используют Microsoft Azure Active Directory для служб удостоверений и каталогов.
Azure Active Directory (AD) предоставляет основные возможности службы каталогов и управления идентификаторами для большей части облачных служб Майкрософт. Среди этих служб можно выделить, в частности, следующие:
Azure
Microsoft Office 365
Microsoft Dynamics CRM Online
Windows Intune
Управление данными каталогов
Как администратор одной или нескольких подписок на облачные службы Майкрософт вы можете использовать портал управления Azure, портал учетной записи Microsoft Intune или Центр администрирования Office 365 для управления данными каталога организаций. Вы также можете использовать загружаемый модуль Microsoft Azure Active Directory для командлетов Windows PowerShell для управления данными, хранящимися в Azure AD. Дополнительные сведения о каталоге см. в статье "Что такое каталог Azure AD?".
С помощью любого из этих порталов (или командлетов) можно:
создавать учетные записи пользователей и групп и управлять ими;
управлять связанными облачными службами, на которые подписана ваша организация;
настроить локальную интеграцию со службой каталогов.
Портал управления Azure, центр Администратор Office 365, Microsoft Intune портал учетной записи и командлеты, все считываются и записываются в один общий экземпляр Azure AD, связанный с каталогом организации, как показано на следующем рисунке. Таким образом порталы (или командлеты) работают в качестве внешнего интерфейса, который запрашивает или изменяет данные каталога.
Приведенные выше порталы учетных записей и связанные Azure AD командлеты PowerShell, используемые для управления пользователями и группами, создаются на основе платформы Azure AD.
Предупреждение
Если изменить данные организации с помощью любого из порталов (или командлетов), когда вы вошли в одну из этих служб, изменения будут также отображаться на других порталах при очередном входе в контексте этой службы, поскольку эти данные являются общими для всех облачных служб Майкрософт, на которые вы подписаны.
Например, если вы с помощью Центра администрирования Office 365 заблокировали вход пользователя, вы также заблокируете пользователю вход в любую другую службу, на которую подписана ваша организация. Если вы попробуете ту же учетную запись в контексте портала учетной записи Microsoft Intune, вы увидите, что пользователь заблокирован.Использование портала управления Azure
Портал управления Azure обычно используется для управления службами, связанными с подпиской Azure. Одна из новых служб Azure, которая предоставляет возможности управления удостоверениями и клиент службы каталогов, называется Active Directory. Если вы являетесь администратором, то можете управлять этими возможностями, щелкнув расширение Active Directory на портале управления.
Если у вас есть действующая подписка Azure, то с помощью учетной записи Майкрософт вы сможете также использовать портал управления для управления новой службой каталогов. Чтобы создать новый каталог на портале управления, щелкните Active Directory, выберите Добавить и укажите Доменное имя, Страну и Имя организации.
Если у вас нет подписки Azure, вы можете зарегистрироваться в Azure в качестве организации, чтобы начать использовать портал управления Azure для создания, распространения учетных записей пользователей и других возможностей управления удостоверениями для вашей организации. При регистрации в Azure в качестве организации автоматически создается каталог на основе значения поля "Имя организации", введенного во время регистрации.
Использование порталов учетных записей Office 365 или Microsoft Intune
Вы можете использовать портал учетной записи для управления подпиской Office 365 или Microsoft Intune и указать пользователей, которые могут получить доступ к различным службам. На портале учетных записей вы можете выполнять такие задачи, как добавление учетных записей пользователей и групп безопасности, настройка и управление параметрами служб, проверка состояния служб и доступ к интернет-справке.
Azure AD в настоящее время поддерживает внешний доступ к данным подписки организации с помощью одного или нескольких следующих порталов учетных записей в зависимости от того, подписаны ли вы на соответствующую службу:
портал учетной записи Office 365
портал учетных записей Microsoft Intune
Пользователи могут также получить доступ к этим порталам учетных записей, но только для изменения своего пароля или доступа к разным службам, для которых им были назначены лицензии.
Что нужно знать о лицензировании для использования Windows Intune и Office 365
В настоящее время при регистрации для Microsoft Intune или Office 365 служб у вас есть возможность назначать лицензии для конкретной службы пользователям на портале учетной записи этой службы. Это означает, что если вы в конечном итоге добавите обе службы в один каталог в какой-то момент, вам потребуется перейти на портал учетной записи Microsoft Intune для управления лицензиями Microsoft Intune и Office 365 лицензии должны управляться отдельно на портале учетной записи Office 365.
В некоторых ситуациях вы не сможете удалить учетную запись пользователя, если ей ранее была назначена лицензия из контекста другой службы. В этом случае для удаления учетных записей потребуется выйти из портала учетных записей, который вы использовали при попытке удаления, войти в соответствующий портал учетных записей, из которого была первоначально назначена лицензия, удалить связанные лицензии и повторить попытку удаления пользователя.
Использование командлетов PowerShell Azure AD
Вы можете использовать командлеты модуля Azure AD для Windows PowerShell для выполнения многих задач по администрированию клиента Azure AD. Дополнительные сведения см. в разделе "Управление Azure Active Directory с помощью Windows PowerShell".
Каковы обязанности администратора каталога?
Вне зависимости от используемого метода управления каталогом, вы можете назначать разные типы администраторов для выполнения разных задач, таких как создание и изменение пользователей, управление операциями по выставлению счетов и сбросу паролей. Глобальные администраторы назначают разрешения разным администраторам внутри организации в зависимости от роли администратора. Дополнительные сведения см. в разделе "Назначение ролей администратора".
Помимо знаний, необходимых для решения конкретных задач, связанных с выполняемой ролью, администраторам следует:
разбираться в особенностях ИТ-среды организации, сети и подключений к Интернету;
иметь опыт в поддержке и администрировании операционных систем и приложений на персональных компьютерах;
иметь опыт в оказании помощи пользователям и их обучении;
уметь решать проблемы, возникающие у пользователей.
Примеры возможных сфер ответственности администраторов:
создание, изменение или удаление учетных записей пользователей;
отслеживание лицензий и работоспособности служб;
Управление паролями
решение проблем пользователей, связанных с электронной почты и другими службами;
управление сайтами и семействами веб-сайтов;
оплата подписок;
Выполнять переход с существующей среды организации в облако.
Обучать и поддерживать сотрудников в том, как использовать облачные службы.
передача инцидентов в службу поддержки корпорации Майкрософт.
Ресурсы сообщества
См. также:
Основные понятия
Сходство Active Directory и Azure AD