設定全租用戶的設定
如其名稱所示,全租用戶設定是會套用到租用戶內所有資源的設定選項。 這些全租用戶選項會於特定位置設定,以控制您租用戶及其成員的外觀、風格及設定。 以下功能表選項是以 Microsoft Entra 系統管理中心為基礎。
全租用戶選項
租用戶屬性
- 身分識別 - 概觀頁面 - 屬性
- 您可以在此為目錄提供名稱,並設定例如主要連絡人的值
使用者設定
- 身分識別 - 使用者 - 使用者設定
- 您可以在此定義使用者所擁有的全域權限,例如註冊應用程式
外部共同作業設定
- 身分識別 - 外部 - 使用者設定 - 管理外部共同作業
- 您可以在此定義外部來賓使用者可以執行的工作,例如邀請更多來賓使用者
設定全租用戶使用者設定
![Microsoft Entra ID 中 [使用者設定] 畫面的螢幕擷取畫面。使用它來設定使用者可以執行的動作。](../../wwl-sci/implement-initial-configuration-of-azure-active-directory/media/user-settings-azure-active-directory-b7c9f3e1-4e66773f.png)
在 Microsoft Entra 識別碼中,所有使用者都會獲得一組預設權限。 使用者的存取權包括使用者類型、其角色指派,以及對個別物件的所有權。 只有在 Microsoft Entra ID 的使用者設定中才能變更預設使用者權限。
成員和來賓使用者
得到的一組預設權限取決於使用者是否為租用戶的原生成員 (成員使用者)。 或者,使用者由另一個目錄邀請成為 B2B 共同作業來賓 (來賓使用者)。
- 成員使用者可以註冊應用程式、管理自己的個人資料相片和行動電話號碼、變更自己的密碼,以及邀請 B2B 來賓。 此外,使者用還可以讀取所有目錄資訊 (有少數例外)。
- 來賓使用者的目錄權限受限。 雖然可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊,但無法讀取所有目錄資訊。 例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 來賓可以新增至管理員角色,而獲得角色包含的完整讀取和寫入權限。 來賓也可以邀請其他來賓。
您可以透過下列方式限制成員使用者的下列預設權限:
| 權限 | 設定說明 |
|---|---|
| 使用者可以註冊應用程式 | 根據預設,成員使用者可以註冊應用程式。 |
| 將此選項設定為 [否] 時,可防止使用者建立應用程式註冊。 然後,您可以將特定個人新增至「應用程式開發人員」角色,以將此權限授回給他們。 | |
| 限制對 Microsoft Entra 管理入口網站的存取 | 將此選項設定為 [否] 時,非系統管理員可以使用 Microsoft Entra 管理入口網站來讀取及管理 Microsoft Entra 資源。 設定為 [是] 時,會限制所有非系統管理員存取管理入口網站中任何 Microsoft Entra 資料的能力。 |
| 此設定不禁止使用 PowerShell 或其他用戶端 (例如 Visual Studio) 來存取 Microsoft Entra 資料。 設定為 [是] 時,若要授與特定非系統管理員使用者使用 Microsoft Entra 管理入口網站的能力,請指派任何系統管理角色,例如「目錄讀取者」角色。 | |
| 此角色允許讀取基本目錄資訊,成員使用者預設有此角色 (來賓和服務主體沒有此角色)。 |
利用 LinkedIn 登入
LinkedIn 在全球擁有 5 億多名成員,是最大且最廣受信賴的專業身分識別來源。 使用這個強大的功能來強化網站和應用程式登入體驗。
利用 LinkedIn 登入,可以:
- 藉由允許成員以 LinkedIn 登入,減少干擾並取得更多註冊量,而不需建立新的帳戶。
- 以最低成本和時間來實作您自己的登入、身分識別、設定檔管理和密碼管理。
- 使用最新的成員設定檔,將網站和應用程式個人化。
管理安全性預設值
由於常見的身分識別相關攻擊日益猖獗,例如密碼噴濺、重新執行和網路釣魚,管理安全性很困難。 安全性預設提供預先設定的安全性設定,讓您輕鬆保護組織免於遭受這些攻擊:
- 要求所有使用者註冊多重要素驗證 (MFA)。
- 要求系統管理員執行多重要素驗證。
- 封鎖舊版驗證通訊協定。
- 要求使用者在必要時執行多重要素驗證。
- 保護需要權限的活動,例如存取 Azure 入口網站。
可用性
Microsoft 提供安全性預設值給所有人。 目標是確保所有組織啟用基本程度的安全性,無須額外成本。
設定外部使用者選項
您可以在這裡設定外部使用者在使用您租用戶的雲端資源時所能採取的動作。
- 來賓使用者存取權 - 您可以為來賓使用者提供權限,使其能進行接近完整使用者的作業,但是僅限於查看自己的內容。
- 來賓邀請設定 - 決定誰可以邀請來賓加入組織,從來賓本身到僅限系統管理員。
- 來賓自助服務 - 允許來賓參與適用於使用者的自助服務選項。
設定目錄的租用戶屬性
![[Microsoft Entra ID 屬性] 對話方塊的螢幕擷取畫面。設定租用戶的定義。](../../wwl-sci/implement-initial-configuration-of-azure-active-directory/media/tenant-properties-azure-active-directory-d20161ff-8482891a.png)
設定基本值以定義租用戶在 Microsoft Entra ID 內的外觀與風格。
- 名稱 - 您租用戶的易記名稱,用於 Azure 入口網站中
- 國家或地區 - 您主要公司和所使用 Azure 資料中心的位置
- 通知語言 - 用於傳送通知和警示的語言
- 租用戶識別碼 - 租用戶的唯一識別碼,以程式設計方式使用
- 技術連絡人 - 租用戶的主要連絡人 (預設為建立租用戶的使用者)
- 全球隱私權連絡人 - 可連絡以處理隱私權事宜和問題的使用者或別名
- 隱私權聲明 URL - 連結至包含您雲端解決方案之隱私權規則的 PDF 或網頁