Udostępnij za pośrednictwem

Dodawanie kont administratorów i zarządzanie nimi

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy zewnętrzni (dowiedz się więcej)

Konta administratora to użytkownicy w zewnętrznej dzierżawie firmy Microsoft Entra, którym przypisano role administratora. Konto administratora można dodać do dzierżawy, tworząc lub zapraszając użytkownika za pośrednictwem centrum administracyjnego firmy Microsoft lub programu Microsoft Graph i przypisując mu rolę administratora. Jeśli nie przypiszesz roli administratora, użytkownik ma domyślne uprawnienia użytkownika.

Ten artykuł koncentruje się na zarządzaniu kontami administratora przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby dodawać lub usuwać użytkowników, musisz mieć co najmniej uprawnienia administratora użytkowników.

Zobacz również Zarządzanie kontami użytkowników dla użytkowników i klientów biznesowych, aby uzyskać informacje o użytkownikach końcowych aplikacji. Ci użytkownicy zazwyczaj nie mają przypisanych ról administratora, dlatego zachowują domyślne uprawnienia użytkownika .

Wymagania wstępne

  • Jeśli jeszcze nie utworzyłeś swojej zewnętrznej dzierżawy Microsoft Entra, utwórz ją teraz.
  • Zrozumieć konta użytkowników w Microsoft Entra External ID.
  • Omówienie ról użytkowników w celu kontrolowania dostępu do zasobów.

Dodawanie konta administratora

Wykonaj poniższe kroki, aby utworzyć nowe konto użytkownika i przyznać uprawnienia administratora do konta, dodając rolę Microsoft Entra. (W tym miejscu opisano tylko wymagane kroki. Aby uzyskać pełny opis wszystkich właściwości, zobacz artykuł Microsoft Entra ID How to create users.)

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator Ról Uprzywilejowanych.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do swojej zewnętrznej dzierżawy z menu Katalogi i subskrypcje.

  3. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  4. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.

  5. Na karcie Podstawowe w obszarze Identitywprowadź informacje dla administratora:

    • Główna nazwa użytkownika: wprowadź unikatową nazwę użytkownika i wybierz domenę z menu po symbolu @.
    • nazwa wyświetlana: wprowadź nazwę użytkownika, taką jak Chris Green lub Chris A. Green.
    • hasło: skopiuj automatycznie wygenerowane hasło lub usuń zaznaczenie opcji automatycznie generuj hasło i wprowadź inne hasło. Musisz podać to hasło administratorowi, aby zalogować się po raz pierwszy.

  6. Wybierz zakładkę Przypisania i wykonaj następujące kroki, aby użytkownikowi przypisać rolę. (Dodawanie grupy jest opcjonalne).

    • Wybierz pozycję + Dodaj rolę.
    • Z wyświetlonego menu wybierz maksymalnie 20 ról z listy. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
    • Wybierz przycisk Wybierz.

  7. Wybierz przycisk Przejrzyj i utwórz.

Administrator jest tworzony i dodawany do zewnętrznego najemcy.

Zaproś administratora (konto gościa)

Możesz również zaprosić nowego użytkownika-gościa do zarządzania dzierżawą. Aby zaprosić nowego użytkownika-gościa z uprawnieniami administratora, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator ról o podniesionych uprawnieniach.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do swojej dzierżawy zewnętrznej z menu Katalogi + subskrypcje.

  3. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  4. Wybierz pozycję Nowy użytkownik>Zaproś użytkownika zewnętrznego (wersja zapoznawcza).

  5. Na karcie Podstawy wprowadź informacje dla użytkownika:

    • Email. Wymagany. Adres e-mail użytkownika, którego chcesz zaprosić.
    • nazwa wyświetlana. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
    • W obszarze wiadomość z zaproszeniem:
      • Zaznacz pole wyboru Wyślij wiadomość z zaproszeniem, jeśli chcesz wysłać wiadomość e-mail z zaproszeniem do użytkownika. W przeciwnym razie wyczyść pole wyboru.
      • W wiadomościdodaj osobistą wiadomość do uwzględnienia w e-mailu zapraszającym.
      • Aby wysłać kopię wiadomości e-mail z zaproszeniem do kogoś, dodaj ich adres e-mail w polu tekstowym adresata DW .
      • Domyślnym adresem URL przekierowania zaproszenia jest MyApplications, co oznacza, że tam użytkownik zostaje przekierowany po odebraniu zaproszenia. Możesz zmienić go na inny adres URL.

  6. Wybierz zakładkę Przypisania i wykonaj następujące kroki, aby użytkownikowi przypisać rolę. (Dodawanie grupy jest opcjonalne).

    • Wybierz pozycję + Dodaj rolę.
    • Z wyświetlonego menu wybierz maksymalnie 20 ról z listy. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
    • Wybierz przycisk Wybierz.

  7. Wybierz przycisk Przejrzyj + zaproś.

Wiadomość e-mail z zaproszeniem jest wysyłana do użytkownika. Użytkownik musi zaakceptować zaproszenie, aby móc się zalogować.

Zmienianie lub dodawanie przypisania roli

Rolę można przypisać podczas tworzenia użytkownika lub zapraszania użytkownika-gościa. Możesz dodać rolę, zmienić rolę lub usunąć rolę użytkownika:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do swojej zewnętrznej dzierżawy z menu Katalogi i subskrypcje.
  3. Przejdź do sekcji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
  5. Wybierz pozycję Dodaj przypisania, wybierz rolę, która ma zostać przypisana (na przykład Administrator aplikacji), a następnie wybierz pozycję Dodaj.

Usuwanie przypisania roli

Jeśli musisz usunąć przypisanie roli od użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do swojej dzierżawy zewnętrznej z menu Katalogi + subskrypcje.
  3. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
  5. Wybierz rolę, którą chcesz usunąć, na przykład Administrator aplikacji, a następnie wybierz pozycję Usuń przypisanie.

Przeanalizuj przypisania ról na koncie administratora

W ramach procesu inspekcji zazwyczaj sprawdzasz, którzy użytkownicy są przypisani do określonych ról w katalogu klienta. Wykonaj poniższe kroki, aby przeprowadzić inspekcję, którzy użytkownicy mają obecnie przypisane role uprzywilejowane.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się na swoją dzierżawę zewnętrzną z menu Katalogi + subskrypcje.
  3. Przejdź do Identity>Role i administratorzy>Role i administratorzy.
  4. Wybierz rolę, taką jak Administrator użytkowników. Strona Przypisania zawiera listę użytkowników z tą rolą.

Usuwanie konta administratora

Aby usunąć istniejącego użytkownika, musisz mieć przypisaną rolę Administratora użytkowników. Administratorzy uwierzytelniania uprzywilejowanego mogą usuwać dowolnego użytkownika, w tym innych administratorów. Administratorzy użytkowników mogą usunąć dowolnego użytkownika niebędącego administratorem.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator uwierzytelniania uprzywilejowanego.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  4. Wybierz użytkownika, który chcesz usunąć.
  5. Wybierz pozycję Usuń, a następnie pozycję Tak , aby potwierdzić usunięcie.

Użytkownik zostanie usunięty i nie będzie już wyświetlany na stronie Wszyscy użytkownicy . Użytkownik może być widoczny na stronie Usunięci użytkownicy przez następne 30 dni i może zostać przywrócony w tym czasie. Aby uzyskać więcej informacji na temat przywracania użytkownika, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.

Ochrona kont administracyjnych

Zalecamy ochronę wszystkich kont administratorów przy użyciu uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa. Uwierzytelnianie wieloskładnikowe to proces weryfikacji tożsamości podczas logowania, który monituje użytkownika o jednorazowy kod dostępu.

Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do awaryjnych przypadków lub sytuacji kryzysowych, w których nie można używać zwykłych kont, albo wszyscy pozostali administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi kont dostępu awaryjnego.