Övning – Konfigurera Microsoft Entra-ID
Den här övningen tar dig igenom processen att skapa och hantera Microsoft Entra ID-relaterade entiteter, inklusive Microsoft Entra-klienter, användare och grupper. Du börjar med att skapa ett användarkonto och två grupper i Microsoft Entra-klientorganisationen som är associerad med din prenumeration och lägga till användaren i den första gruppen. Sedan skapar du en annan Microsoft Entra-klientorganisation och ett användarkonto i den klientorganisationen. För att slutföra den här övningen lägger du till användarkontot från den andra klientorganisationen som ett gästkonto i den första klientorganisationen. I de efterföljande övningarna i den här modulen implementerar du integrering mellan en Azure Database for PostgreSQL-enskild serverinstans och den första Microsoft Entra-klientorganisationen och beviljar åtkomst till dess innehåll till de två tidigare skapade grupperna.
I den här övningen kommer du att:
- Skapa Microsoft Entra-användar- och gruppobjekt i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration.
- Skapa ytterligare en Microsoft Entra-klientorganisation och ett användarobjekt.
- Skapa och konfigurera en Microsoft Entra-gästanvändare i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration.
Förutsättningar
För att utföra den här övningen behöver du:
- Ett Azure-konto med en aktiv prenumeration. Om du inte har något Azure-konto skapar du ett kostnadsfritt konto innan du börjar. Vi rekommenderar att du använder en testmiljö, till exempel ett kostnadsfritt konto, för den här modulen.
- Azure-kontot måste ha behörighet att hantera program. Mer information om Entra-roller och användning av principen om lägsta behörighet finns i metodtipsen för Microsoft Entra-roller och inbyggda Microsoft Entra-roller.
- Ett Microsoft-konto eller ett Microsoft Entra-konto med rollen Global administratör i Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen och med rollen Ägare eller Deltagare i Azure-prenumerationen.
Varning
Använd en testmiljö eftersom övningarna i den här modulen utför känsliga åtgärder som kräver utökade administrativa privilegier.
Skapa Microsoft Entra-användar- och gruppobjekt i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration
Du börjar med att skapa Microsoft Entra-användar- och gruppobjekt. När objekten har skapats konfigurerar du deras respektive gruppmedlemskap. För att påskynda konfigurationsuppgifterna använder du Azure CLI. Du förlitar dig på att Microsoft Entra-objekten autentiserar till en enskild Azure Database for PostgreSQL-instans i nästa övning i den här modulen.
Starta en webbläsare, navigera till Azure Portal och logga in för att komma åt den Azure-prenumeration som du använder i den här modulen.
I Azure Portal öppnar du Cloud Shell genom att välja dess ikon i verktygsfältet bredvid söktextrutan.
Om det behövs väljer du Bash.
Kommentar
Om det här är första gången du startar Azure Cloud Shell och du får meddelandet Du har ingen lagringsmonterad väljer du den prenumeration som du använder i den här övningen och väljer sedan Skapa lagring.
I Bash-sessionen i Azure Cloud Shell-fönstret kör du följande kommando för att identifiera standard-DNS-domännamnet för Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Kör följande kommando för att skapa en Microsoft Entra-användare i Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Kommentar
Du konfigurerar det här användarkontot som Microsoft Entra-administratör för azure database for PostgreSQL-instansen för enskild server i nästa övning.
Kör följande kommando för att identifiera värdet för attributet userPrincipalName för den Microsoft Entra-användare som du skapade i föregående steg:
echo $ADMIN | jq -r '.userPrincipalName'Kommentar
Registrera det här värdet. Du behöver det i nästa övning i den här modulen.
Kör följande kommandon för att tilldela den nyligen skapade användaren rollen Deltagare i den Azure-prenumeration som du använder för övningarna i den här modulen:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Kommentar
Det andra kommandot returnerar ID:t för din standardprenumeration. Om du tänker använda en annan prenumeration måste du ange värdet för variabeln $SUBSCRIPTION_ID i enlighet med detta.
Kör följande kommando för att skapa en Microsoft Entra-användare i Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Kommentar
Du konfigurerar det här användarkontot som en icke-privilegierad Microsoft Entra-användare med åtkomst till en databas på Azure Database for PostgreSQL-instansen för enskild server i nästa övning.
Kör följande kommando för att skapa en Microsoft Entra-grupp i Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Kommentar
Du använder den här gruppen för att tilldela behörigheter till databasen på azure database for PostgreSQL-instansen för enskild server i nästa övning.
Kör följande kommando för att lägga till användaren i gruppen:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDKör följande kommando för att tilldela den nyligen skapade användaren rollen Deltagare i den Azure-prenumeration som du använder för övningarna i den här modulen:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Kommentar
Du förlitar dig på den här rolltilldelningen i nästa övning i den här modulen.
Stäng Cloud Shell-fönstret.
Om du vill verifiera resultatet av den här övningen använder du textrutan Sök efter resurser, tjänster och dokument i Azure Portal i början av Azure Portal för att söka efter Microsoft Entra-ID.
I listan med resultat väljer du Microsoft Entra-ID.
På bladet som visar egenskaper för din Microsoft Entra-klientorganisation går du till den lodräta menyn och i avsnitten Hantera väljer du Användare.
På användare | Bladet Alla användare kontrollerar att listan över användare innehåller det användarkonto som du skapade tidigare i den här uppgiften.
Gå tillbaka till bladet med egenskaper för din Microsoft Entra-klientorganisation och välj Grupper i den lodräta menyn i avsnitten Hantera.
På grupper | Bladet Alla grupper kontrollerar att listan över grupper innehåller det gruppkonto som du skapade tidigare i den här aktiviteten.
Skapa ytterligare en Microsoft Entra-klientorganisation och ett användarobjekt
I den här uppgiften skapar du en Microsoft Entra-klientorganisation och ett användarkonto i den nya klientorganisationen med hjälp av Azure Portal. I nästa uppgift konfigurerar du det här användarkontot som ett gästanvändarkonto i den första klientorganisationen.
I webbläsaren går du till bladet Azure Portal som visar egenskaper för din Microsoft Entra-klientorganisation, väljer Hantera klienter och väljer sedan + Skapa.
På fliken Grundinställningar på bladet Skapa en klientorganisation kontrollerar du att alternativet Microsoft Entra-ID är markerat och väljer Nästa: Konfiguration >.
Ange följande inställningar på fliken Konfiguration på bladet Skapa en klientorganisation :
Inställning Värde Organisationsnamn Contoso Ursprungligt domännamn Ett giltigt DNS-namn som består av gemener och siffror och börjar med en bokstav Land/region Namnet på ditt land eller din region Välj Granska + skapa och välj Skapa på fliken Granska + skapa på bladet Skapa en klientorganisation.
Om du uppmanas till det går du till Hjälp oss att bevisa att du inte är en robot, anger den angivna koden och väljer sedan Skicka.
Vänta tills etableringen har slutförts och välj sedan länken Contoso för att navigera till bladet som visar egenskaperna för Contoso Microsoft Entra-klientorganisationen.
På bladet Azure Portal i webbläsaren visas Contoso | Översiktsbladet för Contoso Microsoft Entra-klientorganisationen. Välj Användare i den lodräta menyn i avsnitten Hantera.
På användare | Bladet Alla användare i Contoso – Microsoft Entra ID-klientorganisationen, välj + Ny användare och välj sedan Skapa ny användare.
På bladet Skapa ny användare anger du följande inställningar och lämnar de andra inställningarna med sina standardvärden:
Inställning Värde Användarnamn contosouser1 Name contosouser1 Låt mig skapa lösenordet Aktiverat Initialt lösenord Ange en <password>Använd ikonen Kopiera till Urklipp bredvid listrutan Användarnamn för att registrera värdet för attributet Användarens huvudnamn för contosouser1. Du behöver det senare i de här och efterföljande övningarna.
På bladet Ny användare väljer du Skapa.
På användare | Bladet Alla användare i Contoso – Microsoft Entra ID-klientorganisationen, granska listan över användarkonton och kontrollera att det nya användarkontot har skapats.
Kommentar
Du konfigurerar det här användarkontot som en icke-privilegierad Microsoft Entra-användare med åtkomst till en databas på Azure Database for PostgreSQL-instansen för enskild server i nästa övning.
Skapa och konfigurera en Microsoft Entra-gästanvändare i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration
För att slutföra den här övningen använder du Azure Portal för att konfigurera användarkontot i Contoso Microsoft Entra-klientorganisationen som gästanvändare i Adatum Microsoft Entra-klientorganisationen, skapa en ny grupp i klientorganisationen och lägga till gästanvändaren i den gruppen.
På bladet Azure Portal i webbläsaren visas Contoso | Översiktsbladet för Contoso Microsoft Entra-klientorganisationen i verktygsfältet i det övre högra hörnet väljer du ikonen Prenumerationer bredvid Cloud Shell-ikonen och väljer sedan länken Växla katalog.
På bladet Kataloger + prenumerationer väljer du posten som representerar den Microsoft Entra-klientorganisation som är associerad med den Azure-prenumeration som du använder i övningarna i den här modulen och väljer sedan Växla.
Kommentar
Detta växlar automatiskt din session till Den Microsoft Entra-klientorganisation som är associerad med den Azure-prenumeration som du använder i övningarna i den här modulen.
I Azure Portal använder du textrutan Sök efter resurser, tjänster och dokument i början av Azure Portal-sidan för att söka efter Microsoft Entra-ID och i resultatlistan väljer du Microsoft Entra-ID.
På bladet som visar egenskaper för din Microsoft Entra-klientorganisation går du till den lodräta menyn och i avsnitten Hantera väljer du Användare.
På användare | Bladet Alla användare, välj + Ny användare och välj sedan Bjud in extern användare.
På bladet Bjud in extern användare kontrollerar du att alternativet Bjud in användare är markerat, anger följande inställningar medan du lämnar de andra inställningarna med deras standardvärden, väljer Granska + bjud in och väljer sedan Bjud in:
Inställning Värde E-postadress Värdet för attributet User principal name för contosouser1 som du registrerade tidigare i den här aktiviteten Visningsnamn contosouser1 Inbjudningsmeddelande Välkommen till Adatum Gå tillbaka till bladet med egenskaperna för din Microsoft Entra-klientorganisation och välj sedan Grupper i den lodräta menyn i avsnitten Hantera.
På grupper | Bladet Alla grupper väljer adatumgroup1.
På bladet adatumgroup1 väljer du Medlemmar.
På adatumgroup1 | Bladet Medlemmar väljer du + Lägg till medlemmar.
På bladet Lägg till medlemmar går du till textrutan Sök och anger contosouser1.
I listan med resultat väljer du posten contosouser1 och väljer sedan Välj.
Resultat
Grattis! Du har slutfört den första övningen i den här modulen. Du startade den här övningen genom att skapa en användare och en grupp i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration och sedan lägga till användaren i gruppen. Sedan skapade du en annan Microsoft Entra-klientorganisation och en användare i den Microsoft Entra-klientorganisationen. Slutligen konfigurerade du användaren som gästanvändare i Microsoft Entra-klientorganisationen som är associerad med din Azure-prenumeration, skapade en annan grupp i klientorganisationen och lade till gästanvändaren i den.