Přidání a správa účtů správců
Platí pro: Tenanti pracovních sil – externí tenanti (další informace)
V Microsoft Entra Externí ID externí tenant představuje váš adresář uživatelských účtů a účtů hostů. S rolí správce můžou tenanta spravovat pracovní účty a účty hostů.
Požadavky
- Pokud jste ještě nevytvořili vlastního externího tenanta Microsoft Entra, vytvořte ho teď.
- Seznamte se s uživatelskými účty v Microsoft Entra Externí ID.
- Seznamte se s rolemi uživatelů pro řízení přístupu k prostředkům.
Přidání účtu správce
Pokud chcete vytvořit nový účet správce, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyberte Nový uživatel>Vytvořit nového uživatele.
Na stránce Nový uživatel v části Vybrat šablonu vyberte Vytvořit uživatele.
V části Identita zadejte informace pro tohoto správce:
- Uživatelské jméno. Povinný: Uživatelské jméno nového uživatele. Například
mary@contoso.com
. - Name (Název): Povinný: Jméno a příjmení nového uživatele Například Mary Parkerová.
- Jméno. Jméno nového uživatele. Například Mary.
- Příjmení. Příjmení nového uživatele. Například Parker.
- Skupiny Volitelné. Uživatele můžete přidat do jedné nebo více existujících skupin. Uživatele můžete také přidat do skupin později.
- Role: Chcete-li přidat oprávnění správce pro uživatele, přidejte je do role Microsoft Entra. Uživatele můžete přiřadit k jedné nebo více rolím správce v Microsoft Entra ID.
- Nastavení: Pomocí přepínače Ano nebo ne nastavte možnost Blokovat přihlášení a vyberte primární umístění správce v seznamu umístění použití.
- Informace o úloze: Tady můžete přidat další informace o uživateli nebo to udělat později.
- Uživatelské jméno. Povinný: Uživatelské jméno nového uživatele. Například
Zkopírujte automaticky vygenerované heslo v poli Heslo. Toto heslo budete muset dát správci, aby se poprvé přihlásil.
Vyberte Vytvořit.
Správce se vytvoří a přidá do vašeho externího tenanta.
Pozvání správce (účet hosta)
Ke správě tenanta můžete také pozvat nového uživatele typu host. Pokud chcete pozvat správce, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyberte Možnost Pozvat>nového externího uživatele.
Na stránce Nový uživatel v části Vybrat šablonu vyberte Pozvat uživatele.
V části Identita zadejte informace pro správce:
- Name (Název): Povinný: Jméno a příjmení nového uživatele Například Mary Parkerová.
- E-mailová adresa Povinný: E-mailová adresa uživatele, který chcete pozvat.
- Jméno. Jméno nového uživatele. Například Mary.
- Příjmení. Příjmení nového uživatele. Například Parker.
- Osobní zpráva: Přidáte osobní zprávu, která bude součástí e-mailu s pozvánkou.
- Skupiny Volitelné. Uživatele můžete přidat do jedné nebo více existujících skupin. Uživatele můžete také přidat do skupin později.
- Role: Chcete-li přidat oprávnění správce pro uživatele, přidejte je do role Microsoft Entra. Uživatele můžete přiřadit k jedné nebo více rolím správce v Microsoft Entra ID.
- Nastavení: Pomocí přepínače Ano nebo ne nastavte možnost Blokovat přihlášení a vyberte primární umístění správce v seznamu umístění použití.
- Informace o úloze: Tady můžete přidat další informace o uživateli nebo to udělat později.
Vyberte Pozvat.
Uživateli se odešle e-mail s pozvánkou. Aby se uživatel mohl přihlásit, musí přijmout pozvánku.
Přidat přiřazení role
Roli můžete přiřadit při vytváření uživatele nebo pozvání uživatele typu host. Roli můžete přidat, změnit nebo odebrat roli pro uživatele:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- Vyberte uživatele, pro kterého chcete změnit role. Pak vyberte Přiřazené role.
- Vyberte Přidat přiřazení, vyberte roli, která se má přiřadit (například Správce aplikace) a pak zvolte Přidat.
Odebrání přiřazení role
Pokud potřebujete uživateli odebrat přiřazení role, postupujte takto:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- Vyberte uživatele, pro kterého chcete změnit role. Pak vyberte Přiřazené role.
- Vyberte roli, kterou chcete odebrat, například Správce aplikace, a pak vyberte Odebrat přiřazení.
Kontrola přiřazení rolí účtu správce
V rámci procesu auditování obvykle zkontrolujete, kteří uživatelé jsou přiřazení ke konkrétním rolím v adresáři zákazníka. Pomocí následujícího postupu můžete auditovat, kteří uživatelé mají aktuálně přiřazené privilegované role.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
- Přejděte k rolím identit>a správcům>a správcům.
- Vyberte roli, například správce uživatelů. Na stránce Přiřazení jsou uvedeni uživatelé s danou rolí.
Odstranění účtu správce
Pokud chcete odstranit existujícího uživatele, musíte mít alespoň přiřazení role Správce uživatelů. Správci privilegovaného ověřování můžou odstranit libovolného uživatele, včetně jiných správců. Správci uživatelů můžou odstranit libovolného uživatele, který není správcem.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správci privilegovaného ověřování.
- Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- Vyberte uživatele, kterého chcete odstranit.
- Vyberte Odstranit a potom potvrďte odstranění tlačítkem Ano .
Uživatel se odstraní a už se nezobrazí na stránce Všichni uživatelé . Uživatel se bude dalších 30 dnů zobrazovat na stránce Odstranění uživatelé a během této doby je možné ho obnovit. Další informace o obnovení uživatele naleznete v tématu Obnovení nebo odebrání nedávno odstraněného uživatele pomocí Microsoft Entra ID.
Ochrana účtů pro správu
Doporučuje se chránit všechny účty správců pomocí vícefaktorového ověřování (MFA) pro zajištění vyššího zabezpečení. Vícefaktorové ověřování je proces ověření identity během přihlašování, který uživatele vyzve k jednorázovému hesla.
Microsoft doporučuje, aby organizace měly dva účty pro nouzový přístup jen pro cloud trvale přiřazené roli globálního správce . Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.