Поделиться через

Добавление учетных записей администратора и управление ими

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки.клиенты (дополнительные сведения)

В Внешняя идентификация Microsoft Entra внешний клиент представляет каталог учетных записей потребителей и гостевых учетных записей. С помощью роли администратора рабочие и гостевые учетные записи могут управлять клиентом.

Необходимые компоненты

  • Если вы еще не создали собственный внешний клиент Microsoft Entra, создайте его прямо сейчас.
  • Общие сведения об учетных записях пользователей в Внешняя идентификация Microsoft Entra.
  • Общие сведения о ролях пользователей для управления доступом к ресурсам.

Добавление учетной записи администратора

Чтобы создать новую учетную запись пользователя и предоставить ей права администратора, добавьте роль Microsoft Entra к учетной записи. (Здесь описаны только необходимые шаги. Полное описание всех свойств см. в статье Microsoft Entra ID Как создать пользователей.)

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  4. Выберите "Создать пользователя>".

  5. На вкладке Основные под разделом Идентичностьвведите информацию для этого администратора:

    • имя участника-пользователя: введите уникальное имя пользователя и выберите домен в меню после символа @.
    • отображаемое имя: введите имя пользователя, например Крис Грин или Крис А. Грин.
    • пароль: скопируйте автоматически сгенерированный пароль или снимите галочку с опции Автогенерация пароля и введите другой пароль. Этот пароль необходимо предоставить администратору для входа в первый раз.

  6. Выберите вкладку Задачи и выполните следующие действия, чтобы назначить пользователю роль. (Добавление группы является необязательным).

    • Выберите + Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Пользователь может назначить одному или нескольким ролям администратора в идентификаторе Microsoft Entra.
    • Нажмите кнопку Select.

  7. Нажмите кнопку Просмотр и создание.

Администратор создается и добавляется во внешний клиент.

Приглашение администратора (гостевая учетная запись)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Чтобы пригласить нового гостевого пользователя с разрешениями администратора, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  4. Выберите Новый пользователь>Пригласить внешнего пользователя (предварительная версия).

  5. На вкладке "Основные сведения" введите сведения для пользователя:

    • Электронная почта. Необходимые. Адрес электронной почты пользователя, которого вы хотите пригласить.
    • отображаемое имя. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • В разделе сообщение приглашения:
      • Установите флажок Отправить сообщение о приглашении, если вы хотите отправить приглашение пользователю. В противном случае снимите флажок.
      • В сообщениидобавьте личное сообщение для включения в приглашение по электронной почте.
      • Чтобы отправить копию приглашения на электронную почту другому человеку, добавьте его адрес электронной почты в текстовое поле Копия получателя.
      • URL-адрес перенаправления пригласить по умолчанию в MyApplications, где пользователь перенаправляется при активации приглашения. Его можно изменить на другой URL-адрес.

  6. Выберите вкладку Задания и выполните следующие действия для назначения роли пользователю. (Добавление группы является необязательным).

    • Выберите + Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Пользователь может назначить одному или нескольким ролям администратора в идентификаторе Microsoft Entra.
    • Нажмите кнопку Select.

  7. Нажмите кнопку Просмотр и приглашение.

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Изменение или добавление назначения роли

Роль можно назначить при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, для которого необходимо изменить роли. Выберите Назначенные роли.
  5. Выберите " Добавить назначения", выберите роль, назначаемую (например, администратор приложения), а затем нажмите кнопку "Добавить".

Удаление назначения ролей

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, для которого необходимо изменить роли. Выберите Назначенные роли.
  5. Выберите роль, которую вы хотите удалить, например администратор приложений, и нажмите кнопку "Удалить назначение".

Проверка назначений ролей учетной записи администратора

В рамках процесса аудита обычно проверяется, какие пользователи назначены определенным ролям в каталоге клиентов. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите к ролям удостоверений>и администраторам.>
  4. Выберите роль, например "Администратор пользователей". На странице "Назначения" перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо иметь по крайней мере назначение роли администратора пользователей. Администраторы привилегированной проверки подлинности могут удалять любого пользователя, включая других администраторов. Администраторы пользователей могут удалить любого неадминистратора.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администраторы привилегированной проверки подлинности.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
  3. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  4. Выберите пользователя, которого нужно удалить.
  5. Выберите Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление.

Пользователь удаляется и больше не отображается на странице "Все пользователи ". Пользователь может отображаться на странице Удаленные пользователи в течение 30 дней. В этот период его можно восстановить. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Защита учетных записей администраторов

Мы рекомендуем защитить все учетные записи администратора с многофакторной проверкой подлинности (MFA) для повышения безопасности. MFA — это процесс проверки подлинности во время входа, который запрашивает у пользователя одноразовый секретный код.

Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.