Přidání účtu správce
Cvičení – přidání účtu správce
V Microsoft Entra Externí ID externí tenant představuje váš adresář uživatelských účtů a účtů hostů. S rolí správce můžou tenanta spravovat pracovní účty a účty hostů.
Poznámka:
K vytvoření účtu správce budete potřebovat alespoň roli adresáře Správce uživatelů.
Tato role je privilegovaná role. Přečtěte si o osvědčených postupech pro práci s privilegovanými rolemi.
Máte zpětnou vazbu? Dejte nám prosím vědět, jak váš projekt testování konceptu probíhá. Rádi se dozvíme váš názor!
Upozorňující
Při vytváření účtů správců doporučujeme uživatelům přiřadit nejnižší potřebnou privilegovanou roli a zajistit, aby měli jenom oprávnění potřebná k dokončení svých úkolů.
Pokud chcete přidat účet správce, přihlaste se do Centra pro správu Microsoft Entra s alespoň oprávněními správce privilegovaných rolí a přejděte na Uživatele>identity>Všichni uživatelé. Pak vyberte Nový uživatel>Vytvořit nového uživatele.
Na stránce Vytvořit nového uživatele zadejte následující informace:
- V části Základy zadejte informace pro tohoto správce:
- Hlavní název uživatele (povinné) – uživatelské jméno nového uživatele. Například emily@woodgrovelive.com.
- Zobrazované jméno – jméno nového uživatele. Například Emily Doe.
- V části Heslo zkopírujte automaticky vygenerované heslo zadané v poli heslo. Toto heslo budete muset dát správci, aby se poprvé přihlásil.
- V části Základy zadejte informace pro tohoto správce:
V části Vlastnosti můžete také zadat jméno a příjmení spolu s některými dalšími vlastnostmi.
Pokud chcete přidat oprávnění správce pro uživatele, přidejte je do jedné nebo více rolí správce v Microsoft Entra ID. V části Přiřazení vyberte Přidat roli. Pak vyhledejte roli, kterou chcete přiřadit tomuto uživateli, a zvolte Vybrat.
Upozorňující
Při vytváření účtů správců doporučujeme uživatelům přiřadit nejnižší potřebnou privilegovanou roli a zajistit, aby měli jenom oprávnění potřebná k dokončení svých úkolů.
Účet vytvoříte tak, že vyberete Vytvořit.
Skvělá práce! Správce se vytvoří a přidá do vašeho externího tenanta.
1. Vytvoření uživatele
Pokud chcete vytvořit uživatele, nahraďte následující hodnoty v požadavku Microsoft Graphu:
- displayName se zobrazovaným uživatelským jménem.
- mailNickname s poštovním aliasem pro uživatele. Tato vlastnost musí být zadána při vytvoření uživatele.
- userPrincipalName s hlavním názvem uživatele (UPN). Obecný formát je alias@domain, kde musí být doména přítomná v kolekci ověřených domén tenanta.
- heslo s dočasným heslem, které budete sdílet s uživatelem. Během prvního přihlášení se uživateli zobrazí výzva ke změně hesla.
Příklad
Následující příklad ukazuje, jak vytvořit nový uživatelský účet pro Adele Vance.
POST https://graph.microsoft.com/v1.0/applications
{
"accountEnabled": true,
"displayName": "Adele Vance",
"mailNickname": "AdeleV",
"userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
"passwordProfile": {
"forceChangePasswordNextSignIn": true,
"password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
}
}
1.1 Zkopírujte ID uživatele.
Z odpovědi zkopírujte hodnotu ID. Například:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
...
}
2. Přiřazení role správce
Po vytvoření nového uživatele vytvořte (sjednocené) přiřazení role. V následujícím požadavku Microsoft Graphu nahraďte:
- {user-id} s ID uživatele z předchozího kroku.
- {id role} s jednou z předdefinovaných rolí Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"principalId": "{user-id}",
"roleDefinitionId": "{role-id}",
"directoryScopeId": "/"
}
Příklad
Následující příklad přiřadí roli Správce zabezpečení službě Adele Vance.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
"directoryScopeId": "/"
}