Dodawanie kont administratorów i zarządzanie nimi
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni
(dowiedz się więcej)
W Tożsamość zewnętrzna Microsoft Entra dzierżawa zewnętrzna reprezentuje katalog kont konsumentów i gości. Dzięki roli administratora konta służbowe i konta gościa mogą zarządzać dzierżawą.
Wymagania wstępne
- Jeśli jeszcze nie utworzyłeś swojej zewnętrznej dzierżawy Microsoft Entra, utwórz ją teraz.
- Informacje o kontach użytkowników w Tożsamość zewnętrzna Microsoft Entra.
- Omówienie ról użytkowników w celu kontrolowania dostępu do zasobów.
Dodawanie konta administratora
Wykonaj poniższe kroki, aby utworzyć nowe konto użytkownika i przyznać uprawnienia administratora do konta, dodając rolę Microsoft Entra. (W tym miejscu opisano tylko wymagane kroki. Aby uzyskać pełny opis wszystkich właściwości, zobacz artykuł Microsoft Entra ID How to create users.)
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
Na karcie Podstawowe w obszarze Identitywprowadź informacje dla administratora:
- Główna nazwa użytkownika: wprowadź unikatową nazwę użytkownika i wybierz domenę z menu po symbolu @.
- nazwa wyświetlana: wprowadź nazwę użytkownika, taką jak Chris Green lub Chris A. Green.
- hasło: skopiuj automatycznie wygenerowane hasło lub usuń zaznaczenie opcji automatycznie generuj hasło i wprowadź inne hasło. Musisz podać to hasło administratorowi, aby zalogować się po raz pierwszy.
Wybierz zakładkę Przypisania i wykonaj następujące kroki, aby użytkownikowi przypisać rolę. (Dodawanie grupy jest opcjonalne).
- Wybierz pozycję + Dodaj rolę.
- Z wyświetlonego menu wybierz maksymalnie 20 ról z listy. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
- Wybierz przycisk Wybierz.
Wybierz przycisk Przejrzyj i utwórz.
Administrator jest tworzony i dodawany do dzierżawy zewnętrznej.
Zaproś administratora (konto gościa)
Możesz również zaprosić nowego użytkownika-gościa do zarządzania dzierżawą. Aby zaprosić nowego użytkownika-gościa z uprawnieniami administratora, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz pozycję Nowy użytkownik>Zaproś użytkownika zewnętrznego (wersja zapoznawcza).
Na karcie Podstawy wprowadź informacje dla użytkownika:
- e-mail. Wymagany. Adres e-mail użytkownika, którego chcesz zaprosić.
- nazwa wyświetlana. Imię i nazwisko nowego użytkownika. Na przykład Mary Parker.
- W obszarze wiadomość z zaproszeniem:
- Zaznacz pole wyboru Wyślij wiadomość z zaproszeniem, jeśli chcesz wysłać wiadomość e-mail z zaproszeniem do użytkownika. W przeciwnym razie wyczyść pole wyboru.
- W wiadomościdodaj osobistą wiadomość do uwzględnienia w e-mailu zapraszającym.
- Aby wysłać kopię wiadomości e-mail z zaproszeniem do kogoś, dodaj ich adres e-mail w polu tekstowym adresata DW .
- Adres URL przekierowania zaproś domyślnie do usługi MyApplications, gdzie użytkownik jest przekierowywany podczas realizacji zaproszenia. Możesz zmienić go na inny adres URL.
Wybierz zakładkę Przypisania i wykonaj następujące kroki, aby przypisać rolę użytkownikowi. (Dodawanie grupy jest opcjonalne).
- Wybierz pozycję + Dodaj rolę.
- Z wyświetlonego menu wybierz maksymalnie 20 ról z listy. Możesz przypisać użytkownika do co najmniej jednej roli administratora w identyfikatorze Entra firmy Microsoft.
- Wybierz przycisk Wybierz.
Wybierz przycisk Przejrzyj + zaproś.
Wiadomość e-mail z zaproszeniem jest wysyłana do użytkownika. Użytkownik musi zaakceptować zaproszenie, aby móc się zalogować.
Zmienianie lub dodawanie przypisania roli
Rolę można przypisać podczas tworzenia użytkownika lub zapraszania użytkownika-gościa. Możesz dodać rolę, zmienić rolę lub usunąć rolę użytkownika:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
- Wybierz pozycję Dodaj przypisania, wybierz rolę, która ma zostać przypisana (na przykład Administrator aplikacji), a następnie wybierz pozycję Dodaj.
Usuwanie przypisania roli
Jeśli musisz usunąć przypisanie roli od użytkownika, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, dla którego chcesz zmienić role. Następnie wybierz pozycję Przypisane role.
- Wybierz rolę, którą chcesz usunąć, na przykład Administrator aplikacji, a następnie wybierz pozycję Usuń przypisanie.
Przeglądanie przypisań ról konta administratora
W ramach procesu inspekcji zazwyczaj sprawdzasz, którzy użytkownicy są przypisani do określonych ról w katalogu klienta. Wykonaj poniższe kroki, aby przeprowadzić inspekcję, którzy użytkownicy mają obecnie przypisane role uprzywilejowane.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do >i administratorzy Role i administratorzy.>
- Wybierz rolę, taką jak Administrator użytkowników. Strona Przypisania zawiera listę użytkowników z tej roli.
Usuwanie konta administratora
Aby usunąć istniejącego użytkownika, musisz mieć co najmniej przypisanie roli Administrator użytkowników. Administratorzy uwierzytelniania uprzywilejowanego mogą usuwać dowolnego użytkownika, w tym innych administratorów. Administratorzy użytkowników mogą usunąć dowolnego użytkownika niebędącego administratorem.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administratorzy uwierzytelniania uprzywilejowanego.
- Jeśli masz dostęp do wielu dzierżaw, użyj
ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika, który chcesz usunąć.
- Wybierz pozycję Usuń, a następnie pozycję Tak , aby potwierdzić usunięcie.
Użytkownik zostanie usunięty i nie będzie już wyświetlany na stronie Wszyscy użytkownicy . Użytkownik może być widoczny na stronie Usunięci użytkownicy przez następne 30 dni i może zostać przywrócony w tym czasie. Aby uzyskać więcej informacji na temat przywracania użytkownika, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.
Ochrona kont administracyjnych
Zalecamy ochronę wszystkich kont administratorów przy użyciu uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa. Uwierzytelnianie wieloskładnikowe to proces weryfikacji tożsamości podczas logowania, który monituje użytkownika o jednorazowy kod dostępu.
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.