什麼是企業使用者管理?

本文在重要的使用者身分識別管理工作關聯性之間 (就使用者的群組、授權、已部署企業應用程式及系統管理員角色而言),引入 Azure Active Directory (Azure AD) (Microsoft Entra 的一部分) 系統管理員。 隨著貴組織的成長,您可以使用 Azure AD 群組和系統管理員角色來:

  • 將授權指派給群組而非個人
  • 委派權限以將 Azure AD 管理工作分配給較低權限的角色
  • 將企業應用程式存取權指派給群組

將使用者指派給群組

您可以在 Azure AD 中使用群組,將授權指派給大量使用者,或者將使用者存取權指派給已部署的企業應用程式。 您可以在 Azure AD 中使用群組來指派所有管理員角色 (全域管理員除外),或者您可以將存取權授與外部資源,例如 SaaS 應用程式或 SharePoint 網站。

如需額外彈性及減少管理群組成員資格的工作,您可以使用 Azure AD 中的動態群組來自動擴充及縮減群組成員資格。 屬於一或多個動態群組成員的每個唯一使用者都需要 Azure AD Premium P1 授權。

將授權指派給群組

個別指派或移除使用者的授權需要時間和心力。 相反地,如果您將授權指派給群組,可以讓大規模授權管理更容易。

在 Azure AD 中,當使用者加入授權的群組時,他們會自動獲派適當的授權。 當使用者離開群組時,Azure AD 會移除其授權指派。 如果沒有 Azure AD 群組,您就必須撰寫 PowerShell 指令碼或使用圖形 API,針對加入或離開組織的使用者大量新增或移除使用者授權。

如果沒有足夠的可用授權,或發生像是無法同時指派服務方案的問題,您可以在 Azure 入口網站中看到任何群組授權問題的狀態。

委派系統管理員角色

許多大型組織希望可以選擇讓其使用者取得適用於工作的足夠權限,而不是指派強大的全域管理員角色給他們,例如,必須註冊應用程式的使用者。 以下是新 Azure AD 系統管理員角色的範例,可協助您更細微地分配應用程式管理工作:

角色名稱 權限摘要
應用程式系統管理員 可以新增和管理企業應用程式和應用程式註冊,並設定 Proxy 應用程式設定。 應用程式系統管理員可以檢視條件式存取原則和裝置,但是不能管理它們。
雲端應用程式系統管理員 可以新增和管理企業應用程式和企業應用程式註冊。 除了無法管理應用程式 Proxy 設定以外,這個角色具有應用程式系統管理員的所有權限。
應用程式開發人員 可以新增和更新應用程式註冊,但是無法管理企業應用程式或設定應用程式 Proxy。

我們已新增新的 Azure AD 系統管理員角色。 請查看 Azure 入口網站或系統管理員角色權限參考以了解目前可用的角色。

指派應用程式存取權

您可以使用 Azure AD 將群組存取權指派給部署在 Azure AD 組織中的企業應用程式。 如果您將具有群組指派的動態群組合併至應用程式,您就可以在組織成長時,自動化使用者應用程式的存取權指派。 您需要 Azure Active Directory Premium P1 或 Premium P2 授權,才能將存取權指派給企業應用程式。

Azure AD 也可讓您更精細地控制在應用程式與群組 (您對其指派存取權) 之間流動的資料。 在企業應用程式中,開啟應用程式,然後選取 [佈建] 來:

  • 為應用程式設定自動佈建 (若有支援)
  • 提供認證以連線至應用程式的使用者管理 API
  • 設定對應,控制在使用者帳戶佈建或更新時,Azure AD 與應用程式之間有哪些使用者屬性流動
  • 針對應用程式啟動和停止 Azure AD 佈建服務、清除佈建快取,或重新啟動服務
  • 檢視佈建活動報告,該報告提供 Azure AD 與應用程式之間已建立、更新及移除的所有使用者和群組記錄,以及檢視佈建錯誤報告,該報告提供更詳細的錯誤訊息

後續步驟

如果您剛開始成為 Azure AD 系統管理員,請在 Azure Active Directory 基礎中取得基本概念。

或者您可以開始建立群組指派授權指派應用程式存取權指派系統管理員角色