Vad är företagsanvändarhantering?

Den här artikeln introducerar och administratör för Azure Active Directory (Azure AD), en del av Microsoft Entra, för relationen mellan de främsta identitetshanteringsuppgifterna för användare när det gäller deras grupper, licenser, distribuerade företagsappar och administratörsroller. I takt med att organisationen växer kan du använda Azure AD-grupper och administratörsroller för att:

  • Tilldela licenser till grupper i stället för till enskilda användare.
  • Delegera behörigheter för att distribuera arbetet med Azure AD hantering till mindre privilegierade roller.
  • Tilldela åtkomst till företagsappar till grupper.

Tilldela användare grupper

Du kan använda grupper i Azure AD för att tilldela licenser till ett stort antal användare eller tilldela användaråtkomst till distribuerade företagsprogram. Du kan använda grupper för att tilldela alla administratörsroller förutom global administratör i Azure AD, eller ge åtkomst till resurser som är externa, till exempel SaaS-program eller SharePoint-webbplatser.

Om du vill ha mer flexibilitet och minska arbetet med gruppmedlemskapshantering kan du använda dynamiska grupper i Azure AD för att expandera och kontraktera gruppmedlemskap automatiskt. Du behöver en Azure AD Premium P1-licens för varje unik användare som är medlem i en eller flera dynamiska grupper.

Tilldela grupper licenser

Att lägga till eller ta bort licenser från en användare i taget kräver mycket tid och arbete. Om du tilldelar grupper licenser i stället kan du göra dina storskaliga licenshantering enklare.

Azure AD användare som ansluter till en licensierad grupp tilldelas automatiskt lämpliga licenser. När användarna lämnar gruppen tas deras licenstilldelningar i Azure AD bort. Utan Azure AD-grupper skulle du behöva skriva ett PowerShell-skript eller använda Graph API om du vill lägga till eller ta bort flera användarlicenser för användare som ansluter till eller lämnar organisationen.

Om det inte finns tillräckligt med tillgängliga licenser, eller om ett problem uppstår som tjänstplaner som inte kan tilldelas samtidigt, kan du se status för eventuella licensproblem för gruppen i Azure Portal.

Delegera administratörsroller

Många stora organisationer vill ha alternativ för att kunna ge användarna tillräckligt omfattande behörighet till arbetsuppgifter utan att tilldela den övergripande rollen Global administratör till, exempelvis, användare som behöver registrera program. Här är ett exempel på nya Azure AD-administratörsroller som hjälper dig att fördela arbetet med programhantering med större precision:

Rollnamn Sammanfattning av behörigheter
Programadministratör Kan lägga till och hantera företagsprogram och programregistreringar och konfigurera inställningar för proxyprogram. Programadministratörer kan visa principer och enheter för villkorlig åtkomst, men inte hantera dem.
Molnprogramadministratör Kan lägga till och hantera företagsprogram och registreringar av företagsprogram. Den här rollen har samtliga programadministratörsbehörigheter, förutom att den inte kan hantera proxyinställningarna för programmet.
Programutvecklare Kan lägga till och uppdatera programregistreringar, men kan inte hantera företagsprogram eller konfigurera inställningar för programproxy.

Nya Azure AD-administratörsroller läggs till. Kontrollera Azure-portalen eller behörighetsreferensen för administratörsrollen för aktuella tillgängliga roller.

Tilldela appåtkomst

Du kan använda Azure AD för att tilldela gruppåtkomst till de företagsappar som distribueras i din Azure AD organisation. Om du vill kombinera dynamiska grupper med grupptilldelning till appar kan du automatisera dina åtkomsttilldelningar för användarappar när organisationen växer. Du behöver en Azure Active Directory Premium P1- eller Premium P2-licens för att tilldela åtkomst till företagsappar.

Azure AD ger dig även större kontroll över de data som flödar mellan appen och de grupper som du tilldelat åtkomst. I företagsprogram öppnar du en app och väljer etablering för att:

  • Konfigurera automatisk etablering för appar som stöder det
  • Ange autentiseringsuppgifter för att ansluta till appens API för användarhantering
  • Konfigurera mappningarna som styr vilka användarattribut som flödar mellan Azure AD och appen när användarkonton etableras eller uppdateras
  • Starta och stoppa Azure AD-etableringstjänsten för en app, rensa cacheminnet för etablering eller starta om tjänsten
  • Visa rapporten för etableringsaktivitet som tillhandahåller en logg över alla användare och grupper som skapas, uppdateras och tas bort mellan Azure AD och appen, och rapporten för etableringsfel som ger mer detaljerade felmeddelanden

Nästa steg

Om du är ny som Azure AD-administratör får du en bra grundläggande översikt i Grunderna i Azure Active Directory.

Alternativt kan du börja att skapa grupper, tilldela licenser, tilldela appåtkomst eller tilldela administratörsroller.