练习 - 设置 Microsoft Entra ID
本练习将指导你完成创建和管理 Microsoft Entra ID 相关实体(包括 Microsoft Entra 租户、用户和组)的过程。 首先,在与订阅关联的 Microsoft Entra 租户中创建一个用户帐户和两个组,并将用户添加到第一个组。 然后,创建另一个 Microsoft Entra 租户,并在该租户中创建一个用户帐户。 本练习的最后一项任务是,将第二个租户中的用户帐户添加为第一个租户中的来宾帐户。 在本模块的后续练习中,你将实现 Azure Database for PostgreSQL 单一服务器实例与第一个 Microsoft Entra 租户之间的集成,并将对其内容的访问权限授予之前创建的两个组。
通过学习本练习,你将能够:
- 在与 Azure 订阅关联的 Microsoft Entra 租户中创建 Microsoft Entra 用户和组对象。
- 创建其他 Microsoft Entra 租户和用户对象。
- 在与 Azure 订阅关联的 Microsoft Entra 租户中创建和配置 Microsoft Entra 来宾用户。
先决条件
若要执行此练习,需要:
- 具有活动订阅的 Azure 帐户。 如果没有 Azure 帐户,请在开始前创建一个免费帐户。 建议在本模块中使用测试环境(如免费帐户)。
- Azure 帐户必须具有管理应用程序的权限。 有关 Entra 角色和使用最小特权原则的详细信息,请参阅 Microsoft Entra 角色的最佳实践和 Microsoft Entra 内置角色。
- Microsoft 帐户或 Microsoft Entra 帐户,该帐户在 Azure 订阅关联的 Microsoft Entra 租户中具有全局管理员角色并在 Azure 订阅中具有所有者或参与者角色。
警告
使用测试环境的原因是本模块中的练习执行敏感操作,这些操作需要提升的管理权限。
在与 Azure 订阅关联的 Microsoft Entra 租户中创建 Microsoft Entra 用户和组对象
首先创建 Microsoft Entra 用户和组对象。 创建对象后,配置其各自的组成员身份。 为了加快配置任务,你将使用 Azure CLI。 在本模块的下一个练习中,你将依赖 Microsoft Entra 对象向 Azure Database for PostgreSQL 单一服务器实例进行身份验证。
启动 Web 浏览器,导航到 Azure 门户并登录,以访问要在本模块中使用的 Azure 订阅。
在 Azure 门户中,通过选择搜索文本框旁边工具栏中的 Cloud Shell 图标来打开 Cloud Shell。
如果需要,请选择“Bash”。
备注
如果这是你第一次启动 Azure Cloud Shell,并且看到了“未装载任何存储”消息,请选择要在本练习中使用的订阅,然后选择“创建存储”。
在 Azure Cloud Shell 窗格上的 Bash 会话中,运行以下命令来标识与 Azure 订阅关联的 Microsoft Entra 租户的默认 DNS 域名:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)运行以下命令,在与 Azure 订阅关联的 Microsoft Entra 租户中创建 Microsoft Entra 用户:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)注意
在下一个练习中,你要将此用户帐户配置为 Azure Database for PostgreSQL 单一服务器实例的 Microsoft Entra 管理员。
运行以下命令,标识上一步中创建的 Microsoft Entra 用户的 userPrincipalName 属性值:
echo $ADMIN | jq -r '.userPrincipalName'注意
记下此值。 你将在本模块的下一个练习中用到它。
运行以下命令,为新创建的用户分配用于本模块练习的 Azure 订阅中的参与者角色:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"备注
第二个命令将返回默认订阅的 ID。 如果你打算使用不同的订阅,则需要相应地设置 $SUBSCRIPTION_ID 变量的值。
运行以下命令,在与 Azure 订阅关联的 Microsoft Entra 租户中创建 Microsoft Entra 用户:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)注意
在下一个练习中,你要将此用户帐户配置为非特权 Microsoft Entra 用户,该用户可以访问 Azure Database for PostgreSQL 单一服务器实例上的数据库。
运行以下命令,在与 Azure 订阅关联的 Microsoft Entra 租户中创建 Microsoft Entra 组:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)注意
在下一个练习中,你将使用此组分配对 Azure Database for PostgreSQL 单一服务器实例上数据库的权限。
运行以下命令将用户添加到组:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_ID运行以下命令,为新创建的用户分配用于本模块练习的 Azure 订阅中的参与者角色:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"备注
你将在本模块的下一个练习中依赖此角色分配。
关闭 Cloud Shell 窗格。
若要验证本练习的结果,请在 Azure 门户中,使用 Azure 门户页面开头的“搜索资源、服务和文档”文本框搜索 Microsoft Entra ID。
在结果列表中,选择“Microsoft Entra ID”。
在显示 Microsoft Entra 租户属性的窗格上,在垂直菜单的“管理”部分中选择“用户”。
在“用户|所有用户”边栏选项卡上,验证用户列表是否包含之前在此任务中创建的用户帐户。
导航回显示 Microsoft Entra 租户属性的窗格,在垂直菜单的“管理”部分中选择“组”。
在“组 | 所有组”边栏选项卡上,验证组列表是否包含之前在此任务中创建的组帐户。
创建其他 Microsoft Entra 租户和用户对象
在此任务中,你将使用 Azure 门户在新租户中创建 Microsoft Entra 租户和用户帐户。 在下一个任务中,你要将此用户帐户配置为第一个租户中的来宾用户帐户。
在 Web 浏览器中,在显示 Microsoft Entra 租户属性的 Azure 门户窗格上,选择“管理租户”,然后选择“+ 创建”。
在“创建租户”窗格的“基本信息”选项卡上,确保选中“Microsoft Entra ID”选项,然后选择“下一步:配置>”。
在“创建租户”边栏选项卡的“配置”选项卡上,指定以下设置:
设置 值 组织名称 Contoso 初始域名 任何由小写字母和数字组成并以字母开头的有效 DNS 名称 国家/地区 所在国家或地区的名称 选择“查看 + 创建”,然后在“创建租户”边栏选项卡的“查看 + 创建”选项卡上,选择“创建”。
如果出现提示,请在“帮助我们证明你不是机器人”上,输入提供的代码,然后选择“提交”。
等待预配完成,然后选择“Contoso”链接导航到显示 Contoso Microsoft Entra 租户属性的窗格。
在 Web 浏览器中,在显示 Contoso Microsoft Entra 租户的“Contoso | 概述”窗格的 Azure 门户窗格上,在垂直菜单的“管理”部分中选择“用户”。
在“Contoso - Microsoft Entra ID”租户的“用户 | 所有用户”窗格上,选择“+ 新建用户”,然后选择“创建新用户”。
在“创建新用户”边栏选项卡上,指定以下设置,同时保留其他设置的默认值:
设置 值 用户名 contosouser1 名称 contosouser1 让我创建密码 已启用 初始密码 输入 <password>使用“用户名”下拉列表旁边的“复制到剪贴板”图标来记录 contosouser1 的 User principal name 属性值。 稍后将在本练习和后续练习中用到它。
在“新建用户”边栏选项卡上,选择“创建”。
在“Contoso - Microsoft Entra ID”租户的“用户 | 所有用户”窗格上,查看用户帐户列表并验证新用户帐户是否已成功创建。
注意
在下一个练习中,你要将此用户帐户配置为非特权 Microsoft Entra 用户,该用户可以访问 Azure Database for PostgreSQL 单一服务器实例上的数据库。
在与 Azure 订阅关联的 Microsoft Entra 租户中创建和配置 Microsoft Entra 来宾用户
本练习的最后一项任务是,使用 Azure 门户将 Contoso Microsoft Entra 租户中的用户帐户配置为 Adatum Microsoft Entra 租户中的来宾用户,在该租户中创建一个新组,然后将来宾用户添加到该组。
在 Web 浏览器中,在显示 Contoso Microsoft Entra 租户的“Contoso | 概述”窗格的 Azure 门户窗格上,在工具栏右上角选择“Cloud Shell”图标旁边的“订阅”图标,然后选择“切换目录”链接。
在“目录 + 订阅”窗格上,选择代表与你在本模块练习中使用的 Azure 订阅关联的 Microsoft Entra 租户的条目,然后选择“切换”。
注意
这会自动将会话切换到与你在本模块练习中使用的 Azure 订阅关联的 Microsoft Entra 租户。
在 Azure 门户中,使用 Azure 门户页面开头的“搜索资源、服务和文档”文本框搜索“Microsoft Entra ID”,然后在结果列表中,选择“Microsoft Entra ID”。
在显示 Microsoft Entra 租户属性的窗格上,在垂直菜单的“管理”部分中选择“用户”。
在“用户|所有用户”边栏选项卡上,选择“+ 新建用户”,然后选择“邀请外部用户”。
在“邀请外部用户”边栏选项卡上,确保选中“邀请用户”选项,指定以下设置,同时将其他设置保留为默认值,选择“查看 + 邀请”然后选择“邀请”:
设置 “值” 电子邮件地址 之前在此任务中记录的 contosouser1 的 User principal name 属性值 显示名称 contosouser1 邀请消息 欢迎使用 Adatum 导航回显示 Microsoft Entra 租户属性的窗格,然后在垂直菜单的“管理”部分中选择“组”。
在“组 | 所有组”边栏选项卡上,选择“adatumgroup1”。
在“adatumgroup1”边栏选项卡上,选择“成员”。
在“adatumgroup1 | 成员”边栏选项卡上,选择“+ 添加成员”。
在“添加成员”边栏选项卡的“搜索”文本框中,输入 contosouser1。
在结果列表中,选择“contosouser1”条目,然后选择“选择”。
结果
祝贺你! 你完成了本模块的第一个练习。 本练习刚开始时,你在与 Azure 订阅关联的 Microsoft Entra 租户中创建了用户和组,然后将用户添加到组。 接下来,你创建了另一个 Microsoft Entra 租户和该 Microsoft Entra 租户中的用户。 最后,你将该用户配置为与 Azure 订阅关联的 Microsoft Entra 租户中的来宾用户,在该租户中创建另一个组,并将来宾用户添加到其中。