Co je podniková správa uživatelů?
Tento článek představuje správce pro Microsoft Entra ID, součást Microsoft Entra, vztah mezi hlavními úlohami správy identit pro uživatele z hlediska jejich skupin, licencí, nasazených podnikových aplikací a rolí správce. S tím, jak vaše organizace roste, můžete použít skupiny Microsoft Entra a role správce k:
- Přiřaďte licence ke skupinám místo přiřazování licencí jednotlivým uživatelům.
- Udělte oprávnění delegování práce správy Microsoft Entra pracovníkům v méně privilegovaných rolích.
- přiřazení přístupu k podnikovým aplikacím pro skupiny.
Přiřazení uživatelů ke skupinám
Skupiny v Microsoft Entra ID můžete použít k přiřazení licencí nebo nasazených podnikových aplikací velkému počtu uživatelů. Skupiny můžete také použít k přiřazení všech rolí správce s výjimkou globálního správce Microsoft Entra nebo můžete udělit přístup k externím prostředkům, jako jsou aplikace SaaS nebo weby SharePointu.
Dynamické skupiny členství v Microsoft Entra ID můžete použít k automatickému rozšíření a kontraktování dynamických skupin členství. Dynamické skupiny poskytují větší flexibilitu a snižují práci správy skupin dynamického členství.
Poznámka:
Potřebujete licenci Microsoft Entra ID P1 pro každého jedinečného uživatele, který je členem jedné nebo více dynamických skupin členství.
Přiřazení licencí ke skupinám
Správa přiřazení uživatelských licencí jednotlivě je časově náročná a náchylná k chybám. Pokud místo toho přiřadíte licence ke skupinám , můžete snadněji spravovat rozsáhlé licence.
Uživatelům Microsoft Entra, kteří se připojí k licencované skupině, se automaticky přiřadí příslušné licence. Když uživatelé opustí skupinu, odebere ID Microsoft Entra přiřazení licencí. Bez skupin Microsoft Entra byste museli napsat skript PowerShellu nebo pomocí rozhraní Graph API hromadně přidávat nebo odebírat uživatelské licence pro uživatele, kteří se připojují nebo opouštějí organizaci. Další informace o hromadných operacích skupiny najdete v tématu Hromadné nahrávání pro přidání nebo vytvoření členů skupiny.
Pokud není k dispozici dostatek licencí nebo dojde k problému, jako jsou plány služeb, které se nedají přiřadit současně, zobrazí se stav jakéhokoli problému s licencováním skupiny na webu Azure Portal.
Delegování rolí správců
Mnoho velkých organizací chce takové možnosti pro své uživatele, aby mohli získávat dostatečná oprávnění pro své pracovní úkoly bez přiřazení výkonné role globálního správce, například uživatelé, kteří se musejí registrovat aplikace. Tady je příklad nových rolí správce Microsoft Entra, které vám pomůžou distribuovat práci správy aplikací s větší specificitou:
Název role | Souhrn oprávnění |
---|---|
Správce aplikace | Může přidávat a spravovat podnikové aplikace a registrace aplikací a může konfigurovat nastavení aplikačního proxy serveru. Správci aplikací můžou zobrazit zásady podmíněného přístupu a zařízení, ale nemůžou je spravovat. |
Správce cloudové aplikace | Může přidávat, spravovat a registrovat podnikové aplikace. Tato role má všechna oprávnění správce aplikace, nemůže však spravovat nastavení aplikačního proxy serveru. |
Vývojář aplikace | Může přidávat a aktualizovat registrace aplikací, ale nemůže spravovat podnikové aplikace ani konfigurovat nastavení aplikačního proxy serveru. |
Přidává se nové role správce Microsoft Entra. Aktuální dostupné role naleznete na webu Azure Portal nebo na odkazu s oprávněními role správce.
Přiřazení přístup k aplikacím
Pomocí ID Microsoft Entra můžete přiřadit přístup ke skupinám podnikovým aplikacím nasazenými ve vaší organizaci Microsoft Entra. Pokud zkombinujete dynamické skupiny členství s přiřazením skupin k aplikacím, můžete automatizovat přiřazení přístupu k aplikacím uživatelů, jak vaše organizace roste. K přiřazení přístupu k podnikovým aplikacím budete potřebovat licenci Microsoft Entra ID P1 nebo Premium P2.
Microsoft Entra ID také poskytuje konkrétní kontrolu nad daty, která proudí mezi aplikací a skupinami, kterým přiřadíte přístup. V možnosti Podnikové aplikace otevřete aplikaci a vyberte Zřizování, poté můžete provést následující:
- nastavit automatické zřizování pro aplikace, které ho podporují,
- zadat přihlašovací údaje pro připojení k rozhraní API pro správu uživatelů aplikace,
- Nastavte mapování, která určují, které atributy uživatelů se dají přetékat mezi ID Microsoft Entra a aplikací při zřizování nebo aktualizaci uživatelských účtů.
- Spuštění a zastavení služby Microsoft Entra provisioning pro aplikaci, vymazání mezipaměti zřizování nebo restartování služby
- Zobrazte sestavu aktivit zřizování, která poskytuje protokol všech uživatelů a skupin vytvořených, aktualizovaných a odebraných mezi ID Microsoft Entra a aplikací a zprávou o chybě zřizování, která poskytuje podrobnější chybové zprávy.
Další kroky
Pokud jste začínající správce Microsoft Entra, seznamte se se základy v Microsoft Entra Fundamentals.
Popřípadě můžete začít vytvářet skupiny, přiřazovat licence, přiřazovat přístup k aplikaci nebo přiřazovat role správce.