Поделиться через

Добавление учетных записей администратора и управление ими

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

В Внешняя идентификация Microsoft Entra внешний клиент представляет каталог учетных записей потребителей и гостевых учетных записей. С помощью роли администратора рабочие и гостевые учетные записи могут управлять клиентом.

Необходимые компоненты

  • Если вы еще не создали собственный внешний клиент Microsoft Entra, создайте его сейчас.
  • Общие сведения об учетных записях пользователей в Внешняя идентификация Microsoft Entra.
  • Общие сведения о ролях пользователей для управления доступом к ресурсам.

Добавление учетной записи администратора

Чтобы создать новую учетную запись администратора, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  4. Выберите "Создать пользователя>".

  5. На странице "Создать пользователя" в разделе "Выбор шаблона" выберите "Создать пользователя".

  6. В разделе "Удостоверение" введите сведения для этого администратора:

    • Имя пользователя. Необходимые. Имя нового пользователя. Например, mary@contoso.com.
    • Имя. Необходимые. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • Имя. Имя нового пользователя. Например, Мэри.
    • Фамилия. Фамилия нового пользователя. Например, Паркер.
    • Группы. Необязательно. Пользователя можно добавить к одной или нескольким существующим группам. Вы также можете добавить пользователя в группы позже.
    • Роли. Чтобы добавить административные разрешения для пользователя, добавьте их в роль Microsoft Entra. Пользователь может назначить одному или нескольким ролям администратора в идентификаторе Microsoft Entra.
    • Параметры. Используйте переключатель "Да" или "Нет", чтобы задать вход в блок, а затем выберите основное расположение администратора в списке расположений использования.
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.

  7. Скопируйте автоматически созданный пароль в поле Пароль. Этот пароль необходимо предоставить администратору для входа в первый раз.

  8. Нажмите кнопку создания.

Администратор создается и добавляется во внешний клиент.

Приглашение администратора (гостевая учетная запись)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Чтобы пригласить администратора, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  4. Выберите Новый пользователь>Пригласить внешнего пользователя.

  5. На странице "Создать пользователя" в разделе "Выбор шаблона" выберите "Пригласить пользователя".

  6. В разделе "Удостоверение" введите сведения для администратора:

    • Имя. Необходимые. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • Адрес электронной почты. Необходимые. Адрес электронной почты пользователя, которого вы хотите пригласить.
    • Имя. Имя нового пользователя. Например, Мэри.
    • Фамилия. Фамилия нового пользователя. Например, Паркер.
    • Личное сообщение. Добавьте личное сообщение, которое будет включаться в приглашение.
    • Группы. Необязательно. Пользователя можно добавить к одной или нескольким существующим группам. Вы также можете добавить пользователя в группы позже.
    • Роли. Чтобы добавить административные разрешения для пользователя, добавьте их в роль Microsoft Entra. Пользователь может назначить одному или нескольким ролям администратора в идентификаторе Microsoft Entra.
    • Параметры. Используйте переключатель "Да" или "Нет", чтобы задать вход в блок, а затем выберите основное расположение администратора в списке расположений использования.
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.

  7. Выберите Пригласить.

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Добавление назначения роли.

Роль можно назначить при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, для которого необходимо изменить роли. Выберите Назначенные роли.
  5. Выберите " Добавить назначения", выберите роль, назначаемую (например, администратор приложения), а затем нажмите кнопку "Добавить".

Удаление назначения ролей

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, для которого необходимо изменить роли. Выберите Назначенные роли.
  5. Выберите роль, которую вы хотите удалить, например администратор приложений, и нажмите кнопку "Удалить назначение".

Проверка назначений ролей учетной записи администратора

В рамках процесса аудита обычно проверяется, какие пользователи назначены определенным ролям в каталоге клиентов. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к ролям удостоверений>и администраторам.>
  4. Выберите роль, например "Администратор пользователей". На странице "Назначения" перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо иметь по крайней мере назначение роли администратора пользователей. Администраторы привилегированной проверки подлинности могут удалять любого пользователя, включая других администраторов. Администраторы пользователей могут удалить любого неадминистратора.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администраторы привилегированной проверки подлинности.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, которого нужно удалить.
  5. Выберите Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление.

Пользователь удаляется и больше не отображается на странице "Все пользователи ". Пользователь может отображаться на странице Удаленные пользователи в течение 30 дней. В этот период его можно восстановить. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Защита учетных записей администраторов

Для повышения безопасности рекомендуется защищать все учетные записи администраторов многофакторной проверкой подлинности (MFA). MFA — это процесс проверки подлинности во время входа, который запрашивает у пользователя одноразовый секретный код.

Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.