Oefening: Microsoft Entra-id instellen

Voltooid

In deze oefening wordt u begeleid bij het maken en beheren van entiteiten met betrekking tot Microsoft Entra-id's, waaronder Microsoft Entra-tenants, gebruikers en groepen. U begint met het maken van een gebruikersaccount en twee groepen in de Microsoft Entra-tenant die is gekoppeld aan uw abonnement en het toevoegen van de gebruiker aan de eerste groep. Vervolgens maakt u een andere Microsoft Entra-tenant en een gebruikersaccount in die tenant. Als u deze oefening wilt afsluiten, voegt u het gebruikersaccount van de tweede tenant toe als gastaccount in de eerste tenant. In de volgende oefeningen van deze module implementeert u integratie tussen een exemplaar van één server van Azure Database for PostgreSQL en de eerste Microsoft Entra-tenant en verleent u toegang tot de inhoud ervan aan de twee eerder gemaakte groepen.

In deze oefening gaat u het volgende doen:

• Maak Microsoft Entra-gebruikers- en groepsobjecten in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement.
• Maak een extra Microsoft Entra-tenant en een gebruikersobject.
• Maak en configureer een Microsoft Entra-gastgebruiker in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement.

Vereisten

Als u deze oefening wilt uitvoeren, hebt u het volgende nodig:

• Een Azure-account met een actief abonnement. Als u geen Azure-account hebt, maak dan een gratis account aan voordat u begint. Het is raadzaam om voor deze module een testomgeving te gebruiken, zoals een gratis account.
• Het Azure-account moet machtigingen hebben voor het beheren van toepassingen. Zie de aanbevolen procedures voor Microsoft Entra-rollen en ingebouwde Microsoft Entra-rollen voor meer informatie over Entra-rollen en het gebruik van het principe van minimale bevoegdheden.
• Een Microsoft-account of een Microsoft Entra-account met de rol Globale beheerder in de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement en met de rol Eigenaar of Inzender in het Azure-abonnement.

Waarschuwing

Gebruik een testomgeving omdat in de oefeningen in deze module gevoelige bewerkingen worden uitgevoerd waarvoor verhoogde beheerdersbevoegdheden zijn vereist.

Microsoft Entra-gebruikers- en groepsobjecten maken in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement

U begint met het maken van Microsoft Entra-gebruikers- en groepsobjecten. Nadat de objecten zijn gemaakt, configureert u hun respectieve groepslidmaatschappen. Als u de configuratietaken wilt versnellen, gebruikt u Azure CLI. In de volgende oefening van deze module vertrouwt u op de Microsoft Entra-objecten om te verifiëren bij het exemplaar van één server in Azure Database for PostgreSQL.

1. Start een webbrowser, navigeer naar Azure Portal en meld u aan voor toegang tot het Azure-abonnement dat u in deze module gaat gebruiken.

2. Open de Cloud Shell in Azure Portal door het bijbehorende pictogram in de werkbalk naast het zoekvak te selecteren.

3. Selecteer indien nodig Bash.

   Notitie

   Als dit de eerste keer is dat u Azure Cloud Shell start en het bericht U geen gekoppelde opslag ziet, selecteert u het abonnement dat u in deze oefening gebruikt en selecteert u Vervolgens Opslag maken.

4. Voer in de Bash-sessie in het deelvenster Azure Cloud Shell de volgende opdracht uit om de standaard-DNS-domeinnaam te identificeren van de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement:

   DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)
   

5. Voer de volgende opdracht uit om een Microsoft Entra-gebruiker te maken in de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement:

   ADMIN_NAME=adatumadmin1
   ADMIN=$(az ad user create --display-name $ADMIN_NAME \
                     --password <enter your password> \
                     --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \
                     --force-change-password-next-sign-in false)
   

   Notitie

   In de volgende oefening configureert u dit gebruikersaccount als Microsoft Entra-beheerder van het exemplaar van azure Database for PostgreSQL met één server.

6. Voer de volgende opdracht uit om de waarde te identificeren van het kenmerk userPrincipalName van de Microsoft Entra-gebruiker die u in de vorige stap hebt gemaakt:

   echo $ADMIN | jq -r '.userPrincipalName'
   

   Notitie

   Noteer deze waarde. U hebt deze nodig in de volgende oefening van deze module.

7. Voer de volgende opdrachten uit om toe te wijzen aan de zojuist gemaakte gebruiker de rol Inzender in het Azure-abonnement dat u gebruikt voor de oefeningen in deze module:

   ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id')
   SUBSCRIPTION_ID=$(az account show --query id --output tsv)
   az role assignment create --assignee "$ADMIN_OBJECT_ID" \
                             --role "Contributor" \
                             --scope "/subscriptions/$SUBSCRIPTION_ID"
   
   

   Notitie

   Met de tweede opdracht wordt de id van uw standaardabonnement geretourneerd. Als u een ander abonnement wilt gebruiken, moet u de waarde van de variabele $SUBSCRIPTION_ID dienovereenkomstig instellen.

8. Voer de volgende opdracht uit om een Microsoft Entra-gebruiker te maken in de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement:

   USER_NAME=adatumuser1
   USER=$(az ad user create --display-name $USER_NAME \
                     --password <enter your password> \
                     --user-principal-name $USER_NAME@$DOMAIN_NAME \
                     --force-change-password-next-sign-in false)
   

   Notitie

   In de volgende oefening configureert u dit gebruikersaccount als een niet-bevoegde Microsoft Entra-gebruiker met toegang tot een database op het exemplaar van één server in Azure Database for PostgreSQL.

9. Voer de volgende opdracht uit om een Microsoft Entra-groep te maken in de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement:

   GROUP_NAME=adatumgroup1
   GROUP=$(az ad group create --display-name $GROUP_NAME \
                            --mail-nickname $GROUP_NAME \
                            --description $GROUP_NAME)
   

   Notitie

   In de volgende oefening gebruikt u deze groep om machtigingen toe te wijzen aan de database op het exemplaar van één server in Azure Database for PostgreSQL.

10. Voer de volgende opdracht uit om de gebruiker toe te voegen aan de groep:

    USER_OBJECT_ID=$(echo $USER | jq -r '.id')
    az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_ID
    

11. Voer de volgende opdracht uit om de zojuist gemaakte gebruiker de rol Inzender toe te wijzen in het Azure-abonnement dat u gebruikt voor de oefeningen in deze module:

    SUBSCRIPTION_ID=$(az account show --query id --output tsv)
    az role assignment create --assignee "$USER_OBJECT_ID" \
                              --role "Contributor" \
                              --scope "/subscriptions/$SUBSCRIPTION_ID"
    
    

    Notitie

    In de volgende oefening van deze module vertrouwt u op deze roltoewijzing.

12. Sluit het deelvenster Cloud Shell .

13. Als u het resultaat van deze oefening wilt controleren, gebruikt u in Azure Portal het tekstvak Zoekbronnen, services en documenten aan het begin van de Azure Portal-pagina om te zoeken naar Microsoft Entra-id.

14. Selecteer Microsoft Entra ID in de lijst met resultaten.

15. Selecteer op de blade met eigenschappen van uw Microsoft Entra-tenant in het verticale menu in de secties Beheren de optie Gebruikers.

16. Op de gebruikers | Alle gebruikersblade controleert u of de lijst met gebruikers het gebruikersaccount bevat dat u eerder in deze taak hebt gemaakt.

17. Ga terug naar de blade met eigenschappen van uw Microsoft Entra-tenant en selecteer groepen in het verticale menu in de secties Beheren.

18. Op de groepen | De blade Alle groepen controleert u of de lijst met groepen het groepsaccount bevat dat u eerder in deze taak hebt gemaakt.

Een extra Microsoft Entra-tenant en een gebruikersobject maken

In deze taak maakt u een Microsoft Entra-tenant en een gebruikersaccount in de nieuwe tenant met behulp van Azure Portal. In de volgende taak configureert u dit gebruikersaccount als gastgebruikersaccount in de eerste tenant.

1. Selecteer in de webbrowser op de blade Azure Portal met eigenschappen van uw Microsoft Entra-tenant de optie Tenants beheren en selecteer vervolgens + Maken.

2. Controleer op het tabblad Basisbeginselen van de blade Een tenant maken of de optie Microsoft Entra-id is geselecteerd en selecteer >.

3. Geef op het tabblad Configuratie van de blade Een tenant maken de volgende instellingen op:

   Instelling	Weergegeven als
   Organisatienaam	Contoso
   Initiële domeinnaam	Elke geldige DNS-naam die bestaat uit kleine letters en cijfers en begint met een letter
   Land/regio	De naam van uw land of regio

4. Selecteer Beoordelen en maken en selecteer op het tabblad Controleren en maken van de blade Een tenant maken de optie Maken.

5. Als u hierom wordt gevraagd, voert u op de Help ons te bewijzen dat u geen robot bent, voert u de opgegeven code in en selecteert u Verzenden.

6. Wacht tot het inrichten is voltooid en selecteer vervolgens de Contoso-koppeling om naar de blade te gaan met eigenschappen van de Contoso Microsoft Entra-tenant.

7. In de webbrowser, op de blade Azure Portal met de Contoso | Overzichtsblade van de Contoso Microsoft Entra-tenant, in het verticale menu, in de secties Beheren , selecteer Gebruikers.

8. Op de gebruikers | Alle gebruikersblade van de Tenant Contoso - Microsoft Entra ID , selecteer + Nieuwe gebruiker en selecteer vervolgens Nieuwe gebruiker maken.

9. Geef op de blade Nieuwe gebruiker maken de volgende instellingen op, terwijl u de andere instellingen met de standaardwaarden laat staan:

   Instelling	Weergegeven als
   User name	contosouser1
   Naam	contosouser1
   Ik wil het wachtwoord maken	Ingeschakeld
   Eerste wachtwoord	Voer een <password>

10. Gebruik het pictogram Kopiëren naar klembord naast de vervolgkeuzelijst Gebruikersnaam om de waarde van het kenmerk User Principal Name van contosouser1 vast te leggen. U hebt deze later in deze en volgende oefeningen nodig.

11. Selecteer Maken op de blade Nieuwe gebruiker.

12. Op de gebruikers | Alle gebruikersblade van de Tenant Contoso - Microsoft Entra ID , bekijk de lijst met gebruikersaccounts en controleer of het nieuwe gebruikersaccount is gemaakt.

    Notitie

    In de volgende oefening configureert u dit gebruikersaccount als een niet-bevoegde Microsoft Entra-gebruiker met toegang tot een database op het exemplaar van één server in Azure Database for PostgreSQL.

Een Microsoft Entra-gastgebruiker maken en configureren in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement

Als u deze oefening wilt afsluiten, gebruikt u Azure Portal om het gebruikersaccount in de Contoso Microsoft Entra-tenant te configureren als gastgebruiker in de Adatum Microsoft Entra-tenant, een nieuwe groep in die tenant te maken en de gastgebruiker toe te voegen aan die groep.

1. In de webbrowser, op de blade Azure Portal met de Contoso | Overzichtsblade van de Contoso Microsoft Entra-tenant, in de werkbalk, selecteer in de rechterbovenhoek het pictogram Abonnementen naast het Cloud Shell-pictogram en selecteer vervolgens de koppeling Schakelen tussen mappen .

2. Selecteer op de blade Directory's en abonnementen de vermelding die de Microsoft Entra-tenant vertegenwoordigt die is gekoppeld aan het Azure-abonnement dat u gebruikt in de oefeningen van deze module en selecteer vervolgens Switch.

   Notitie

   Hiermee wordt uw sessie automatisch overgezet naar de Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement dat u gebruikt in de oefeningen van deze module.

3. Gebruik in Azure Portal het tekstvak Zoekbronnen, services en documenten aan het begin van de Azure-portalpagina om te zoeken naar Microsoft Entra-id en selecteer in de lijst met resultaten Microsoft Entra-id.

4. Selecteer op de blade met eigenschappen van uw Microsoft Entra-tenant in het verticale menu in de secties Beheren de optie Gebruikers.

5. Op de gebruikers | Alle gebruikersblade , selecteer + Nieuwe gebruiker en selecteer vervolgens Externe gebruiker uitnodigen.

6. Controleer op de blade Externe gebruiker uitnodigen of de optie Gebruiker uitnodigen is geselecteerd, geef de volgende instellingen op terwijl u de andere instellingen met de standaardwaarden laat staan, selecteer Controleren en uitnodigen en selecteer Uitnodigen:

   Instelling	Weergegeven als
   E-mailadres	De waarde van het kenmerk User Principal Name van contosouser1 dat u eerder in deze taak hebt vastgelegd
   Weergavenaam	contosouser1
   Uitnodigingsbericht	Welkom bij Adatum

7. Ga terug naar de blade met de eigenschappen van uw Microsoft Entra-tenant en selecteer vervolgens groepen in het verticale menu in de secties Beheren.

8. Op de groepen | De blade Alle groepen , selecteer adatumgroup1.

9. Selecteer Leden op de blade adatumgroup1.

10. Op de adatumgroup1 | De blade Leden, selecteer + Leden toevoegen.

11. Voer op de blade Leden toevoegen in het tekstvak Zoeken contosouser1 in.

12. Selecteer in de lijst met resultaten de vermelding contosouser1 en selecteer vervolgens Selecteren.

Resultaten

Gefeliciteerd U hebt de eerste oefening van deze module voltooid. U hebt deze oefening gestart door een gebruiker en een groep te maken in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement en vervolgens de gebruiker toe te voegen aan de groep. Vervolgens hebt u een andere Microsoft Entra-tenant en een gebruiker in die Microsoft Entra-tenant gemaakt. Ten slotte hebt u die gebruiker geconfigureerd als gastgebruiker in de Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement, een andere groep in die tenant gemaakt en de gastgebruiker eraan toegevoegd.