Что такое учетные записи пользователей в идентификаторе Microsoft Entra?
В идентификаторе Microsoft Entra все учетные записи пользователей предоставляют набор разрешений по умолчанию. Доступ учетной записи пользователя зависит от типа пользователя, назначений ролей и владения отдельными объектами.
Существуют различные типы учетных записей пользователей в идентификаторе Microsoft Entra. Каждый тип имеет уровень доступа, относящийся к области работы, которая должна выполняться под каждым типом учетной записи пользователя. Администратор istrator имеют самый высокий уровень доступа, а затем учетные записи пользователей-участников в организации Microsoft Entra. Гостевые пользователи имеют самый ограниченный уровень доступа.
Разрешения и роли
Идентификатор Microsoft Entra использует разрешения для управления правами доступа пользователя или группы. Это делается с помощью ролей. Идентификатор Microsoft Entra имеет множество ролей с различными разрешениями, подключенными к ним. Когда пользователю назначается определенная роль, он наследует разрешения от этой роли. Например, пользователь, которому назначена роль администратора пользователей, может создавать и удалять учетные записи пользователей.
Понимание правил назначения ролей пользователям — это основа гарантии конфиденциальности и безопасности. Если пользователю назначить не ту роль, он получит лишние разрешения и может нанести серьезный вред организации.
Роли администратора
роли Администратор istrator в идентификаторе Microsoft Entra позволяют пользователям получать повышенный доступ к управлению тем, кто может делать то. Эти роли назначаются ограниченной группе пользователей для управления задачами идентификации в организации Microsoft Entra. Вы можете назначать роли администраторов, которые позволяют пользователям создавать или изменять других пользователей, назначать административные роли, сбрасывать пароли, управлять лицензиями пользователей и так далее.
Если у учетной записи пользователя есть роль Администратор istrator или Global Администратор istrator, вы можете создать нового пользователя в идентификаторе Microsoft Entra с помощью портал Azure, Azure CLI или PowerShell. В PowerShell используйте командлет New-MgUser. В Azure CLI используйте az ad user create.
Пользователи-участники
Учетная запись пользователя-члена является собственным членом организации Microsoft Entra, которая имеет набор разрешений по умолчанию, например возможность управлять сведениями профиля. Когда кто-то впервые присоединяется к организации, для него обычно создается этот тип учетной записи.
Все, кто не является гостевым пользователем или администратором, попадают в эту категорию. Роль пользователя-члена предназначена для пользователей, которые считаются внутренними для организации и являются членами организации Microsoft Entra. Однако эти пользователи не должны иметь возможности управлять другими пользователями, например создавать и удалять пользователей. Пользователи-участники не имеют тех же ограничений, что и гостевые пользователи.
Гостевые пользователи
Гостевые пользователи ограничены разрешениями организации Microsoft Entra. При приглашении кого-либо для совместной работы с вашей организацией вы добавляете их в организацию Microsoft Entra в качестве гостевого пользователя. Затем вы можете отправить письмо с приглашением, содержащее ссылку на активацию, или отправить прямую ссылку на приложение, к которому вы хотите предоставить общий доступ. Гостевые пользователи могут выполнять вход с использованием собственных рабочих, учебных учетных данных либо учетных данных из социальных сетей. По умолчанию пользователи участников Microsoft Entra могут приглашать гостевых пользователей. Пользователь с ролью Администратор istrator может отключить этот параметр по умолчанию.
Вашей организации может потребоваться работать с внешними партнерами. Для совместной работы с вашей организацией этим партнерам часто требуется определенный уровень доступа к некоторым ресурсам. Для таких ситуаций рекомендуется использовать учетные записи гостевых пользователей. Затем необходимо убедиться, что партнеры имеют достаточный уровень доступа для выполнения своей работы, но не больше, чем требуется.
Добавление учетных записей пользователей
Вы можете добавлять отдельные учетные записи пользователя с помощью портала Azure, Azure PowerShell или Azure CLI.
Если выбран Azure CLI, используйте следующий командлет.
# create a new user
az ad user create
Эта команда создает нового пользователя с помощью Azure CLI.
В Azure PowerShell выполните следующий командлет.
# create a new user
New-MgUser
Можно создать сразу несколько пользователей-участников и гостевых учетных записей. В следующем примере показано, как пригласить несколько гостевых пользователей.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Создайте файл данных с разделителями-запятыми (CSV) со списком всех пользователей, которых нужно добавить. Приглашение будет отправлено каждому пользователю в этом CSV-файле.
Удаление учетных записей пользователей
Вы также можете удалять отдельные учетные записи пользователя с помощью портала Azure, Azure PowerShell или Azure CLI. В PowerShell используйте командлет Remove-MgUser. В Azure CLI используйте командлет az ad user delete.
После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя можно восстановить.