Dodawanie kont administratorów i zarządzanie nimi
Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
W Tożsamość zewnętrzna Microsoft Entra dzierżawa zewnętrzna reprezentuje katalog kont konsumentów i gości. Dzięki roli administratora konta służbowe i konta gościa mogą zarządzać dzierżawą.
Wymagania wstępne
- Jeśli nie utworzono jeszcze własnej dzierżawy zewnętrznej firmy Microsoft Entra, utwórz ją teraz.
- Informacje o kontach użytkowników w Tożsamość zewnętrzna Microsoft Entra.
- Omówienie ról użytkowników w celu kontrolowania dostępu do zasobów.
Dodawanie konta administratora
Aby utworzyć nowe konto administratora, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
Na stronie Nowy użytkownik w obszarze Wybierz szablon wybierz pozycję Utwórz użytkownika.
W obszarze Tożsamość wprowadź informacje dla tego administratora:
- Nazwa użytkownika. Wymagany. Nazwa użytkownika nowego użytkownika. Na przykład
mary@contoso.com
. - Name. Wymagany. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
- Imię. Imię nowego użytkownika. Na przykład Mary.
- Nazwisko. Nazwisko nowego użytkownika. Na przykład Parker.
- Grupy. Opcjonalne. Możesz dodać użytkownika do co najmniej jednej istniejącej grupy. Możesz również dodać użytkownika do grup w późniejszym czasie.
- Role: Aby dodać uprawnienia administracyjne dla użytkownika, dodaj je do roli Microsoft Entra. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
- Ustawienia: użyj przełącznika tak lub nie, aby ustawić ustawienie Blokuj logowanie, a następnie wybierz podstawową lokalizację administratora na liście Lokalizacja użycia.
- Informacje o zadaniu: możesz dodać więcej informacji o użytkowniku tutaj lub zrobić to później.
- Nazwa użytkownika. Wymagany. Nazwa użytkownika nowego użytkownika. Na przykład
Skopiuj automatycznie wygenerowane hasło podane w polu Hasło. Musisz podać to hasło administratorowi, aby zalogować się po raz pierwszy.
Wybierz pozycję Utwórz.
Administrator jest tworzony i dodawany do dzierżawy zewnętrznej.
Zaproś administratora (konto gościa)
Możesz również zaprosić nowego użytkownika-gościa do zarządzania dzierżawą. Aby zaprosić administratora, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego.
Na stronie Nowy użytkownik w obszarze Wybierz szablon wybierz pozycję Zaproś użytkownika.
W obszarze Tożsamość wprowadź informacje dla administratora:
- Name. Wymagany. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
- Adres e-mail. Wymagany. Adres e-mail użytkownika, którego chcesz zaprosić.
- Imię. Imię nowego użytkownika. Na przykład Mary.
- Nazwisko. Nazwisko nowego użytkownika. Na przykład Parker.
- Wiadomość osobista: dodajesz osobistą wiadomość, która zostanie dołączona do wiadomości e-mail z zaproszeniem.
- Grupy. Opcjonalne. Możesz dodać użytkownika do co najmniej jednej istniejącej grupy. Możesz również dodać użytkownika do grup w późniejszym czasie.
- Role: Aby dodać uprawnienia administracyjne dla użytkownika, dodaj je do roli Microsoft Entra. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
- Ustawienia: użyj przełącznika tak lub nie, aby ustawić ustawienie Blokuj logowanie, a następnie wybierz podstawową lokalizację administratora na liście Lokalizacja użycia.
- Informacje o zadaniu: możesz dodać więcej informacji o użytkowniku tutaj lub zrobić to później.
Wybierz pozycję Zaproś.
Wiadomość e-mail z zaproszeniem jest wysyłana do użytkownika. Użytkownik musi zaakceptować zaproszenie, aby móc się zalogować.
Dodawanie przypisania roli
Rolę można przypisać podczas tworzenia użytkownika lub zapraszania użytkownika-gościa. Możesz dodać rolę, zmienić rolę lub usunąć rolę użytkownika:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
- Wybierz pozycję Dodaj przypisania, wybierz rolę, która ma zostać przypisana (na przykład Administrator aplikacji), a następnie wybierz pozycję Dodaj.
Usuwanie przypisania roli
Jeśli musisz usunąć przypisanie roli od użytkownika, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
- Wybierz rolę, którą chcesz usunąć, na przykład Administrator aplikacji, a następnie wybierz pozycję Usuń przypisanie.
Przeglądanie przypisań ról konta administratora
W ramach procesu inspekcji zazwyczaj sprawdzasz, którzy użytkownicy są przypisani do określonych ról w katalogu klienta. Wykonaj poniższe kroki, aby przeprowadzić inspekcję, którzy użytkownicy mają obecnie przypisane role uprzywilejowane.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
- Wybierz rolę, taką jak Administrator użytkowników. Strona Przypisania zawiera listę użytkowników z tej roli.
Usuwanie konta administratora
Aby usunąć istniejącego użytkownika, musisz mieć co najmniej przypisanie roli Administrator użytkowników. Administratorzy uwierzytelniania uprzywilejowanego mogą usuwać dowolnego użytkownika, w tym innych administratorów. Administratorzy użytkowników mogą usunąć dowolnego użytkownika niebędącego administratorem.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administratorzy uwierzytelniania uprzywilejowanego.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, który chcesz usunąć.
- Wybierz pozycję Usuń, a następnie pozycję Tak , aby potwierdzić usunięcie.
Użytkownik zostanie usunięty i nie będzie już wyświetlany na stronie Wszyscy użytkownicy . Użytkownik może być widoczny na stronie Usunięci użytkownicy przez następne 30 dni i może zostać przywrócony w tym czasie. Aby uzyskać więcej informacji na temat przywracania użytkownika, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.
Ochrona kont administracyjnych
Zaleca się ochronę wszystkich kont administratorów przy użyciu uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa. Uwierzytelnianie wieloskładnikowe to proces weryfikacji tożsamości podczas logowania, który monituje użytkownika o jednorazowy kod dostępu.
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.