練習 - 設定 Microsoft Entra ID
此練習會引導您完成建立和管理 Microsoft Entra ID 相關實體 (包括 Microsoft Entra 租用戶、使用者和群組) 的程序。 您首先在與訂閱建立關聯的 Microsoft Entra 租用戶中建立一個使用者帳戶和兩個群組,並將使用者新增至第一個群組。 然後,您將在該租用戶中建立另一個 Microsoft Entra 租用戶和使用者帳戶。 在此練習最後,您會將第二個租用戶中的使用者帳戶,新增為第一個租用戶中的來賓帳戶。 在本課程模組的後續練習中,您將實作適用於 PostgreSQL 的 Azure 資料庫單一伺服器執行個體與第一個 Microsoft Entra 租用戶之間的整合,並將其內容的存取權授與先前建立的兩個群組。
在本練習中,您將會:
- 在與您 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立 Microsoft Entra 使用者和群組物件。
- 建立額外的 Microsoft Entra 租用戶和使用者物件。
- 在與您 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立和設定 Microsoft Entra 來賓使用者。
必要條件
若要執行此練習,您需要:
- 具有有效訂用帳戶的 Azure 帳戶。 如果您沒有 Azure 帳戶,請在您開始之前先建立 免費帳戶。 建議您在此課程模組中使用測試環境,例如免費帳戶。
- Azure 帳戶必須具有管理應用程式的存取權限。 如需 Entra 角色和使用最低使用權限原則的詳細資訊,請參閱 Microsoft Entra 角色的最佳做法 和 Microsoft Entra 內建角色。
- Microsoft 帳戶或 Microsoft Entra 帳戶,這在與 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶中具有全域管理員角色,而在 Azure 訂用帳戶中具有擁有者或參與者角色。
警告
使用測試環境,因為本課程模組中的練習會執行需要提高系統管理使用權限的敏感性作業。
在與您 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立 Microsoft Entra 使用者和群組物件
您將從建立 Microsoft Entra 使用者和群組物件開始。 建立物件之後,您將設定其各自的群組成員資格。 為了加速設定工作,您將使用 Azure CLI。 在本課程模組的下一個練習中,您將依賴 Microsoft Entra 物件向適用於 PostgreSQL 的 Azure 資料庫單一伺服器執行個體進行驗證。
啟動網頁瀏覽器,瀏覽至 Azure 入口網站並登入,以存取您將在本課程模組中使用的 Azure 訂用帳戶。
在 Azure 入口網站中開啟 [Cloud Shell],方法是在搜尋文字方塊旁的工具列中選取其圖示。
如有必要,請選取 [Bash]。
注意
如果這是您第一次啟動 Azure Cloud Shell,而且出現「您未掛接任何儲存體」訊息,請選取您在此練習中使用的訂閱,然後選取 [建立儲存體]。
在 [Azure Cloud Shell] 窗格的 Bash 工作階段中,執行下列命令以識別與 Azure 訂閱建立關聯的 Microsoft Entra 租用戶其預設 DNS 網域名稱:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)執行下列命令,在與 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立 Microsoft Entra 使用者:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)注意
在下一個練習中,您會針對適用於 PostgreSQL 的 Azure 資料庫單一伺服器執行個體,將此使用者帳戶設定為 Microsoft Entra 管理員。
執行下列命令,以找出在上一個步驟中所建立 Microsoft Entra 使用者的 userPrincipalName 屬性值:
echo $ADMIN | jq -r '.userPrincipalName'注意
記錄此值。 您將在本課程模組的下一個練習中用到此值。
執行下列命令,將您在本課程模組練習中使用的 Azure 訂閱參與者角色,指派給新建立的使用者:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"注意
第二個命令會傳回預設訂閱的識別碼。 如果想要使用不同的訂閱,則必須據以設定 $SUBSCRIPTION_ID 變數的值。
執行下列命令,在與 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立 Microsoft Entra 使用者:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)注意
在下一個練習中,您會將此使用者帳戶設定為非特殊權限 Microsoft Entra 使用者,其權限可在適用於 PostgreSQL 的 Azure 資料庫單一伺服器執行個體上存取資料庫。
執行下列命令,在與 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立 Microsoft Entra 群組:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)注意
在下一個練習中,您將使用此群組指派適用於 PostgreSQL 之 Azure 資料庫單一伺服器執行個體上資料庫的權限。
執行下列命令,將使用者新增至群組:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_ID執行下列命令,將您在本課程模組練習中使用的 Azure 訂閱參與者角色,指派給新建立的使用者:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"注意
您將在本課程模組的下一個練習中依賴此角色指派。
關閉 [Cloud Shell] 窗格。
若要確認此練習的結果,請在 Azure 入口網站中,使用 Azure 入口網站頁面頂端的 [搜尋資源、服務及文件] 文字方塊搜尋 Microsoft Entra ID。
在結果清單中,選取 [Microsoft Entra ID]。
在顯示 Microsoft Entra 租用戶屬性的刀鋒視窗上,於垂直功能表的 [管理] 區段中選取 [使用者]。
在 [使用者 | 所有使用者] 刀鋒視窗上,驗證使用者清單包含先前在此工作中建立的使用者帳戶。
瀏覽回到顯示 Microsoft Entra 租用戶屬性的刀鋒視窗,然後於垂直功能表的 [管理] 區段中選取 [群組]。
在 [群組 | 所有群組] 刀鋒視窗上,確認群組清單包含先前在此工作中建立的群組帳戶。
建立額外的 Microsoft Entra 租用戶和使用者物件
在這項工作中,您將使用 Azure 入口網站,在新的租用戶中建立 Microsoft Entra 租用戶和使用者帳戶。 在下一個工作中,您會將此使用者帳戶設定為第一個租用戶中的來賓使用者帳戶。
在網頁瀏覽器中顯示您 Microsoft Entra 租用戶屬性的 Azure 入口網站刀鋒視窗上,選取 [管理租用戶],然後選取 [+ 建立]。
在 [建立租用戶] 窗格的 [基本] 索引標籤上,確認已選取 [Microsoft Entra ID] 選項,然後選取 [下一步:設定 >]。
在 [建立租用戶] 刀鋒視窗的 [設定] 索引標籤上,指定下列設定:
設定 值 組織名稱 Contoso 初始網域名稱 由小寫字母和數字組成並以字母開頭的任何有效 DNS 名稱 國家/地區 您的國家或地區名稱 選取 [檢閱 + 建立],然後在 [建立租用戶] 刀鋒視窗的 [檢閱 + 建立] 索引標籤上,選取 [建立]。
如果出現提示,請在 [請協助我們證明您不是機器人] 中輸入提供的代碼,然後選取 [提交]。
等候佈建完成,然後選取 [Contoso] 連結以瀏覽至顯示 Contoso Microsoft Entra 租用戶屬性的刀鋒視窗。
在網頁瀏覽器中顯示 Contoso Microsoft Entra 租用戶 [Contoso | 概觀] 刀鋒視窗的 Azure 入口網站刀鋒視窗上,於垂直功能表的 [管理] 區段中選取 [使用者]。
在 Contoso - Microsoft Entra ID 租用戶的 [使用者 | 所有使用者] 刀鋒視窗上,選取 [+ 新增使用者],然後選取 [建立新的使用者]。
在 [建立新的使用者] 刀鋒視窗上,指定下列設定,同時保留其他設定為其預設值:
設定 值 使用者名稱 contosouser1 名稱 contosouser1 讓我建立密碼 已啟用 初始密碼 輸入 <password>使用 [使用者名稱] 下拉式清單旁的 [複製到剪貼簿] 圖示,記錄 contosouser1 的使用者主體名稱屬性的值。 您將在此練習稍後和後續練習中用到此值。
在 [新增使用者] 刀鋒視窗上,選取 [建立]。
在 Contoso - Microsoft Entra ID 租用戶的 [使用者 | 所有使用者] 刀鋒視窗上,檢閱使用者帳戶清單,並驗證已成功建立新的使用者帳戶。
注意
在下一個練習中,您會將此使用者帳戶設定為非特殊權限 Microsoft Entra 使用者,其權限可在適用於 PostgreSQL 的 Azure 資料庫單一伺服器執行個體上存取資料庫。
在與您 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立和設定 Microsoft Entra 來賓使用者
在此練習最後,您會使用 Azure 入口網站,將 Contoso Microsoft Entra 租用戶中的使用者帳戶設定為 Adatum Microsoft Entra 租用戶中的來賓使用者,在該租用戶中建立新的群組,然後將來賓使用者新增至該群組。
在網頁瀏覽器中顯示 Contoso Microsoft Entra 租用戶的 [Contoso | 概觀] 刀鋒視窗上,選取工具列右上角 Cloud Shell 圖示旁的訂閱圖示,然後選取 [切換目錄] 連結。
在 [目錄 + 訂用帳戶] 刀鋒視窗上,選取代表與您在本課程模組練習中所使用 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶的項目,然後選取 [切換] 兩次。
注意
這會自動將工作階段切換到您在本課程模組練習中所使用 Azure 訂閱關聯的 Microsoft Entra 租用戶。
在 Azure 入口網站中,使用該頁面開頭處的 [搜尋資源、服務和文件] 文字輸入框,搜尋 Microsoft Entra ID,然後在結果清單中選取 [Microsoft Entra ID]。
在顯示 Microsoft Entra 租用戶屬性的刀鋒視窗上,於垂直功能表的 [管理] 區段中選取 [使用者]。
在 [使用者 | 所有使用者] 刀鋒視窗上,選取 [+ 新增使用者],然後選取 [邀請外部使用者]。
在 [邀請使用者] 刀鋒視窗上,確保已選取 [邀請使用者] 選項,指定下列設定並同時保留其他設定為預設值,選取 [檢閱 + 邀請],然後選取 [邀請]:
設定 值 電子郵件地址 您稍早在此工作中所記錄 contosouser1 的使用者主體名稱屬性的值 顯示名稱 contosouser1 邀請訊息 歡迎使用 Adatum 瀏覽回到顯示 Azure Active Directory 租用戶屬性的刀鋒視窗,然後於垂直功能表的 [管理] 區段中選取 [群組]。
在 [群組 | 所有群組] 刀鋒視窗上,選取 [adatumgroup1]。
在 [adatumgroup1] 刀鋒視窗上,選取 [成員]。
在 [adatumgroup1 | 成員] 刀鋒視窗上,選取 [+ 新增成員]。
在 [新增成員] 刀鋒視窗的 [搜尋] 文字方塊中,輸入 contosouser1。
在結果清單中,選取 [contosouser1] 項目,然後選取 [選取]。
結果
恭喜! 您已完成本課程模組的第一個練習。 針對此練習,您首先在與 Azure 訂閱建立關聯的 Microsoft Entra 租用戶中建立了使用者和群組,然後將使用者新增至群組。 接下來,您在該 Microsoft Entra 租使用者中建立了另一個 Microsoft Entra 租使用者和使用者。 最後,您將該使用者設定為您 Azure 訂閱所關聯 Microsoft Entra 租用戶中的來賓使用者、在該租用戶中建立另一個群組,然後將來賓使用者新增至其中。