使用 Microsoft Entra 组管理应用和资源访问
需要为组织中的所有开发人员提供相同的访问权限。 还需要管控哪些人员属于开发人员组,哪些不属于。
Microsoft Entra ID 可以帮助你使用组织的组来管理基于云的应用、本地应用和资源。 资源可以是 Microsoft Entra 组织的一部分,例如通过角色来管理对象时所需的权限。 资源也可以在组织外部,如服务型软件 (SaaS) 应用、Azure 服务、SharePoint 站点和本地资源。
Microsoft Entra ID 中的访问管理
- Microsoft Entra 角色:使用 Microsoft Entra 角色管理 Microsoft Entra ID 相关的资源,例如用户、组、账单、许可、应用程序注册等。
- Azure 资源的基于角色的访问控制 (RBAC):使用 RBAC 角色来管理对 Azure 资源(例如虚拟机、SQL 数据库或存储)的访问。 例如,可以向用户分配 RBAC 角色,用于管理和删除特定资源组或订阅中的 SQL 数据库。
通过单个用户或组分配提供访问权限
可借助 Microsoft Entra ID 向单个用户或整个用户组提供访问权限。 可以向组的所有成员分配一组访问权限。 访问权限包括完全访问权限和仅能创建或删除资源的权限。
可以通过不同的方法分配访问权限:
- 直接分配:可通过直接分配具有这些访问权限的角色,来为用户分配所需的访问权限。
- 组分配:可为某个组分配所需的访问权限,组的成员将继承这些权限。
- 基于规则的分配:使用规则来根据用户或设备属性确定组成员身份。 要使某个用户帐户或设备的组成员身份有效,该用户或设备必须满足这些规则。 如果不满足规则,则用户帐户或设备的组成员身份不再有效。 这些规则可以很简单。 可以选择预编写的规则或编写你自己的高级规则。
下一单元中,我们将用户分配到 Microsoft Entra 组,并使用基于规则的分配来自动管理其组成员身份。