什麼是企業使用者管理?
本文在重要的使用者身分識別管理工作關聯性之間 (就使用者的群組、授權、已部署企業應用程式及系統管理員角色而言),引入 Microsoft Entra ID (Microsoft Entra 的一部分) 系統管理員。 隨著貴組織的成長,您可以使用 Microsoft Entra 群組和系統管理員角色來:
- 將授權指派給群組,而非指派給個別使用者。
- 授與權限,將 Microsoft Entra 管理工作委派給具有較低權限角色的人員。
- 將企業應用程式存取權指派給群組。
將使用者指派給群組
您可以使用 Microsoft Entra ID 中的群組,將授權或已部署的企業應用程式指派給大量使用者。 您也可以使用群組來指派所有系統管理員角色 (Microsoft Entra 全域系統管理員除外),或者您可以將存取權授與外部資源,例如 SaaS 應用程式或 SharePoint 網站。
您可以在 Microsoft Entra ID 中使用動態群組,自動擴充和約束群組成員資格。 動態群組提供了更大的靈活性,並減少群組成員資格管理工作。
注意
屬於一或多個動態群組成員的每個不重複使用者都需要 Microsoft Entra ID P1 授權。
將授權指派給群組
個別管理使用者授權指派相當耗時且容易出錯。 相反地,如果您將授權指派給群組,即可輕鬆地進行大規模授權管理。
加入授權群組的 Microsoft Entra 使用者會自動獲派適當的授權。 使用者離開群組後,Microsoft Entra ID 會移除其授權指派。 如果沒有 Microsoft Entra 群組,您就必須撰寫 PowerShell 指令碼或使用圖形 API,針對加入或離開組織的使用者大量新增或移除使用者授權。 如需群組大量作業的詳細資訊,請參閱 大量上傳以新增或建立群組的成員。
如果沒有足夠的授權可用,或發生像是無法同時指派服務方案的問題,您可以在 Azure 入口網站中查看任何群組授權問題的狀態。
委派系統管理員角色
許多大型組織希望可以選擇讓其使用者取得適用於工作的足夠權限,而不是指派強大的全域管理員角色給他們,例如,必須註冊應用程式的使用者。 以下是新 Microsoft Entra 系統管理員角色的範例,可協助您更明確地分配應用程式管理工作:
| 角色名稱 | 權限摘要 |
|---|---|
| 應用程式系統管理員 | 可以新增和管理企業應用程式和應用程式註冊,並設定 Proxy 應用程式設定。 應用程式系統管理員可以檢視條件式存取原則和裝置,但是不能管理它們。 |
| 雲端應用程式系統管理員 | 可以新增和管理企業應用程式和企業應用程式註冊。 除了無法管理應用程式 Proxy 設定以外,這個角色具有應用程式系統管理員的所有權限。 |
| 應用程式開發人員 | 可以新增和更新應用程式註冊,但是無法管理企業應用程式或設定應用程式 Proxy。 |
正在新增 Microsoft Entra 系統管理員角色。 請查看 Azure 入口網站或系統管理員角色權限參考以了解目前可用的角色。
指派應用程式存取權
您可以使用 Microsoft Entra ID,將群組存取權指派給部署在 Microsoft Entra 組織中的企業應用程式。 如果您將具有群組指派的動態群組合併至應用程式,就可以在組織成長時,自動化使用者應用程式的存取權指派。 您需要 Microsoft Entra ID P1 或 Premium P2 授權,才能將存取權指派給企業應用程式。
Microsoft Entra ID 也可讓您更具體地控制在應用程式與群組 (您對其指派存取權) 之間流動的資料。 在企業應用程式中,開啟應用程式,然後選取 [佈建] 來:
- 為應用程式設定自動佈建 (若有支援)
- 提供認證以連線至應用程式的使用者管理 API
- 設定對應,控制在使用者帳戶佈建或更新時,於 Microsoft Entra ID 與應用程式之間流動的使用者屬性
- 為應用程式啟動和停止 Microsoft Entra 佈建服務、清除佈建快取,或重新啟動服務
- 檢視佈建活動報告,該報告提供 Microsoft Entra ID 與應用程式之間已建立、更新及移除的所有使用者和群組記錄,以及檢視佈建錯誤報告,該報告提供更詳細的錯誤訊息
下一步
如果您剛開始成為 Microsoft Entra 系統管理員,請參閱 Microsoft Entra 基礎以了解基本概念。