Vytváření a správa uživatelů

  • 8 min

Každý uživatel, který chce mít přístup k prostředkům Azure, potřebuje uživatelský účet Azure. Váš uživatelský účet obsahuje všechny informace potřebné k ověření během procesu přihlášení. Po ověření Microsoft Entra ID vytvoří přístupový token, který vám umožní autorizovat, určit, k jakým prostředkům máte přístup, a určit, co s těmito prostředky můžete dělat.

Centrum pro správu Microsoft Entra je webový portál identit pro produkty Microsoft Entra. Poskytuje jednotné prostředí pro správu organizací a správců ke konfiguraci a správě jejich řešení Microsoft Entra v centralizované lokalitě.

V tomto cvičení použijete Centrum pro správu Microsoft Entra k práci s uživatelskými objekty. Mějte na paměti, že můžete současně pracovat pouze s jedním adresářem, ale k přepnutí adresářů můžete použít podokno Adresář a předplatné .

Zobrazení uživatelů

Pokud chcete zobrazit uživatele Microsoft Entra, vyberte v levém podokně možnost Uživatelé a pak vyberte Všichni uživatelé. Zobrazí se podokno Všichni uživatelé . Všimněte si sloupců Typ uživatele a Identity, jak je znázorněno na následujícím snímku obrazovky:

Snímek obrazovky znázorňující podokno Všichni uživatelé se sloupci Typ uživatele a Identity.

Id Microsoft Entra obvykle definuje uživatele třemi způsoby:

  • Cloudové identity: Tito uživatelé existují pouze v Microsoft Entra ID. Jako příklady můžeme uvést účty správců a uživatele, které spravujete sami. Zdrojem je Microsoft Entra ID nebo externí ID Microsoft Entra, pokud je uživatel definován v jiné instanci Microsoft Entra, ale potřebuje přístup k prostředkům předplatného řízené tímto adresářem. Když se tyto účty odeberou z primárního adresáře, odstraní se.

  • Identity synchronizované s adresářem: Tito uživatelé existují v místní Active Directory. Synchronizační aktivita, ke které dochází prostřednictvím služby Microsoft Entra Connect , přináší tyto uživatele do Azure. Jejich zdroj je Windows Server AD.

  • Uživatelé typu host: Tito uživatelé existují mimo Azure. Příkladem jsou účty od jiných poskytovatelů cloudu a účtů Microsoft (například účet Xbox LIVE). Jejich zdroj je Pozvaný uživatel. Tento typ účtu je užitečný, když přístup k vašim prostředkům Azure potřebují mít externí dodavatelé. Až jejich podporu nebudete potřebovat, můžete účet odebrat a s ním i jejich kompletní přístup.

Přidat uživatele

Ke službě Microsoft Entra ID můžete přidat cloudové identity několika způsoby:

  • Synchronizace místního adresáře Windows Server Active Directory
  • Použití Centra pro správu Microsoft Entra
  • Pomocí webu Azure Portal
  • Použití příkazového řádku
  • Další možnosti

Synchronizace místní služby Windows Server Active Directory

Microsoft Entra Connect je samostatná služba, která umožňuje synchronizovat tradiční službu Active Directory s vaší instancí Microsoft Entra. Tímto způsobem přidává uživatele do adresáře většina podnikových zákazníků. Výhodou tohoto přístupu je, že uživatelé můžou při přístupu k místním i cloudovým prostředkům používat jednotné přihlašování.

Použití Centra pro správu Microsoft Entra

Nové uživatele můžete přidat ručně prostřednictvím Centra pro správu Microsoft Entra. Je to nejjednodušší způsob, jak přidat malý počet uživatelů. K provádění této funkce musíte být v roli Správce uživatelů.

  1. Pokud chcete přidat nového uživatele, vyberte v horním řádku nabídek nový uživatel a pak vyberte Vytvořit nového uživatele.

    Snímek obrazovky se zvýrazněným tlačítkem Nový uživatel v Centru pro správu Microsoft Entra

  2. Kromě jména a uživatelského jména můžete na kartě Vlastnosti přidat informace o profilu, jako je pracovní pozice a oddělení.

    Snímek obrazovky s dialogovým oknem Nový uživatel

    Výchozím chováním je vytvořit nového uživatele v organizaci. Uživatel bude mít uživatelské jméno s výchozím názvem domény přiřazeným k adresáři, například alice@staracoustics.onmicrosoft.com.

  3. Můžete také pozvat uživatele do adresáře. V takovém případě se e-mail odešle na známou e-mailovou adresu a účet se vytvoří a přidružuje k této e-mailové adrese, pokud uživatel pozvánku přijme.

    Snímek obrazovky s pozvánkou

    Pozvaný uživatel bude muset vytvořit přidružený účet Microsoft (MSA), pokud tato konkrétní e-mailová adresa není přidružená k jednomu účtu a účet se přidá do ID Microsoft Entra jako uživatel typu host.

Použití příkazového řádku

Pokud potřebujete přidat mnoho uživatelů, je lepší použít nástroj příkazového řádku. Spuštěním příkazu New-MgUser PowerShell můžete přidat cloudové uživatele.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Příkaz vrátí nový uživatelský objekt, který jste vytvořili.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Pokud dáváte přednost standardnějšímu rozhraní příkazového řádku, můžete použít Azure CLI:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Nástroje příkazového řádku umožňují přidávat uživatele hromadně prostřednictvím skriptování. Nejběžnějším přístupem je použití textového souboru s oddělovači (CSV). Tento soubor můžete vytvořit ručně nebo exportem z existujícího zdroje dat.

Pokud plánujete použít soubor CSV, myslete na následující věci:

  • Zásady vytváření názvů: Vytvořte nebo implementujte konvenci vytváření názvů pro uživatelská jména, zobrazované názvy a aliasy. Například uživatelské jméno se může skládat z příjmení a tečky (.), za kterou následuje křestní jméno; například Smith.John@contoso.com.

  • Hesla: Implementujte konvenci pro počáteční heslo nově vytvořeného uživatele. Určete, jak s rozšířeným zabezpečením budou noví uživatelé dostávat hesla. Běžně se to dělá tak, že vygenerujete náhodné heslo a pošlete ho e-mailem novému uživateli nebo jeho nadřízenému.

Postup použití souboru CSV pomocí Azure PowerShellu:

  1. Spuštěním příkazu Connect-MgGraph vytvořte připojení PowerShellu k vašemu adresáři. Připojte se pomocí účtu správce, který má oprávnění k vašemu adresáři.

  2. Vytvořte nové profily hesel pro nové uživatele. Hesla pro nové uživatele musí odpovídat pravidlům složitosti hesel, která jste pro adresář nastavili.

  3. Pomocí příkazu Import-CSV importujte soubor CSV. Musíte zadat cestu a název souboru CSV.

  4. Projděte jednotlivé uživatele v souboru a pro každého vytvořte potřebné uživatelské parametry. Jako příklady parametrů můžeme uvést Hlavní název uživatele (UPN), Zobrazované jméno, Křestní jméno, Oddělení a Pozice.

  5. Spuštěním New-MgUser příkazu vytvořte každého uživatele. Nezapomeňte každý účet povolit.

Další možnosti

Uživatele můžete do Microsoft Entra ID přidat také programově pomocí rozhraní Microsoft Graph API nebo prostřednictvím centra Správa Microsoftu 365 a konzoly pro správu Microsoft Intune, pokud sdílíte stejný adresář.