共用方式為


什麼是企業使用者管理?

本文介紹 Microsoft Entra 識別碼的系統管理員,這是 Microsoft Entra 的一部分,其群組、授權、已部署的企業應用程式和系統管理員角色,使用者的主要 身分識別管理 工作之間的關聯性。 隨著組織成長,您可以使用 Microsoft Entra 群組和系統管理員角色來:

  • 將授權指派給群組,而不是將授權指派給個別使用者。
  • 授與許可權,將 Microsoft Entra 管理工作委派給具有較低許可權角色的人員。
  • 將企業應用程式存取權指派給群組。

將使用者指派給群組

您可以使用 Microsoft Entra 識別碼中的群組,將授權或已部署的企業應用程式指派給大量使用者。 您也可以使用群組來指派 Microsoft Entra Global 管理員istrator 以外的所有系統管理員角色,或者您可以授與 SaaS 應用程式或 SharePoint 網站等外部資源的存取權。

您可以使用 Microsoft Entra ID 中的動態群組 ,自動展開和合約群組成員資格。 動態群組可提供更大的彈性,並降低群組成員資格管理工作。

注意

您需要 Microsoft Entra ID P1 授權給屬於一或多個動態群組成員的每個唯一使用者。

將授權指派給群組

個別管理使用者授權指派相當耗時且容易出錯。 如果您 改為將授權指派給群組 ,您就會體驗到更輕鬆的大規模授權管理。

加入授權群組的 Microsoft Entra 使用者會自動指派適當的授權。 當使用者離開群組時,Microsoft Entra ID 會移除其授權指派。 如果沒有 Microsoft Entra 群組,您必須撰寫 PowerShell 腳本或使用 Graph API 大量新增或移除加入或離開組織的使用者授權。

如果沒有足夠的授權可用,或發生問題,例如無法同時指派的服務方案,您可以在Azure 入口網站中看到群組的任何授權問題狀態。

委派系統管理員角色

許多大型組織想要讓使用者獲得足夠的工作許可權,而不需要將強大的全域管理員istrator 角色指派給,例如,必須註冊應用程式的使用者。 以下是新的 Microsoft Entra 系統管理員角色範例,可協助您以更具體的方式散發應用程式管理工作:

角色名稱 許可權摘要
應用程式系統管理員 可以新增和管理企業應用程式和應用程式註冊,以及設定 Proxy 應用程式設定。 應用程式管理員istrators 可以檢視條件式存取原則和裝置,但無法加以管理。
雲端應用程式管理員istrator 可以新增和管理企業應用程式和企業應用程式註冊。 此角色具有 Application 管理員istrator 的擁有權限,但無法管理應用程式 Proxy 設定。
應用程式開發人員 可以新增和更新應用程式註冊,但無法管理企業應用程式或設定應用程式 Proxy。

正在新增新的 Microsoft Entra 系統管理員角色。 檢查Azure 入口網站或 系統管理員角色許可權參考 ,以取得目前可用的角色。

指派應用程式存取權

您可以使用 Microsoft Entra 識別碼,將群組存取權指派給 部署在 Microsoft Entra 組織中的 企業應用程式。 如果您將動態群組與群組指派結合至應用程式,您可以在組織成長時自動執行使用者應用程式存取指派。 您需要 Microsoft Entra ID P1 或 進階版 P2 授權,才能將存取權指派給企業應用程式。

Microsoft Entra ID 也可讓您特定控制應用程式與指派存取權的群組之間流動的資料。 在 [企業應用程式 ] 中,開啟應用程式,然後選取 [ 布建 ] 以:

  • 為支援它的應用程式設定自動布建
  • 提供認證以連線到應用程式的使用者管理 API
  • 設定對應,以控制在布建或更新使用者帳戶時,Microsoft Entra ID 與應用程式之間的使用者屬性流動
  • 啟動和停止應用程式的 Microsoft Entra 布建服務、清除布建快取,或重新開機服務
  • 視布建活動報告 ,其中提供 Microsoft Entra ID 與應用程式之間建立、更新和移除之所有使用者和群組的記錄,以及 提供更詳細錯誤訊息的布建錯誤報表

下一步

如果您是 Microsoft Entra 系統管理員的開頭,請在 Microsoft Entra 基本概念中 取得基本概念

或者,您可以開始 建立群組 指派授權 指派應用程式存取 權或 指派系統管理員角色