Управление корпоративными пользователями
В этой статье представлен администратор Microsoft Entra ID, часть Microsoft Entra, и рассматривается его связь с основными задачами управления удостоверениями для пользователей, касающимися их групп, лицензий, развернутых корпоративных приложений и ролей администратора. По мере роста организации вы можете использовать группы Microsoft Entra и роли администратора для следующих задач:
- Назначение лицензий группам вместо назначения лицензий отдельным пользователям.
- Предоставьте разрешения на делегирование управления Microsoft Entra персоналу в менее привилегированных ролях.
- назначать группам доступ к корпоративному приложению.
Назначение пользователей группам
Группы в идентификаторе Microsoft Entra можно использовать для назначения лицензий или развернутых корпоративных приложений большому количеству пользователей. Вы также можете использовать группы для назначения всех ролей администратора, кроме глобального администратора Microsoft Entra, или предоставить доступ к внешним ресурсам, таким как приложения SaaS или сайты SharePoint.
Вы можете использовать динамические группы членства в Microsoft Entra ID для автоматического расширения и сокращения их. Динамические группы обеспечивают большую гибкость и снижают динамическую работу управления группами членства.
Примечание.
Вам нужна лицензия Microsoft Entra ID P1 для каждого уникального пользователя, являющегося членом одной или нескольких динамических групп членства.
Назначение лицензий группам
Управление назначениями лицензий пользователей по отдельности занимает много времени и подвержено ошибкам. Если вместо этого вы назначаете лицензии группам , вы можете упростить крупномасштабное управление лицензиями.
Пользователи Microsoft Entra, которые присоединяются к лицензированной группе, автоматически получают соответствующие лицензии. Когда пользователи покидают группу, Microsoft Entra ID удаляет назначенные им лицензии. Без групп Microsoft Entra вам потребуется написать сценарий PowerShell или использовать API Graph для массового добавления или удаления пользовательских лицензий по мере их присоединения к организации или выхода из неё. Дополнительные сведения о групповых массовых операциях см. в разделе Массовая загрузка для добавления или создания участников группы.
Если нет доступных лицензий или возникает проблема, например, планы обслуживания, которые не могут быть назначены одновременно, можно просмотреть состояние любой проблемы лицензирования для группы в портале Azure.
Делегирование ролей администратора
Многие крупные организации хотят предоставить своим пользователям необходимые разрешения для рабочих задач, не назначая роль глобального администратора со множеством возможностей, к примеру, пользователям, которым необходимо регистрировать приложения. Ниже приведен пример новых ролей администратора Microsoft Entra, которые помогут вам распределить работу управления приложениями с более конкретной целью:
| Имя роли | Сводка разрешений |
|---|---|
| Администратор приложений | Может добавлять и управлять корпоративными приложениями и регистрациями приложений, а также настраивать параметры прокси приложений. Администраторы приложений могут просматривать политики условного доступа и устройства, но не управлять ими. |
| Администратор облачных приложений | Может добавлять и управлять корпоративными приложениями и регистрациями корпоративных приложений. У этой роли есть все разрешения администратора приложений за исключением разрешений на управление параметрами прокси-сервера приложения. |
| Разработчик приложений | Может добавлять и обновлять регистрации приложений, но не может управлять корпоративными приложениями или настраивать прокси приложения. |
Добавляются новые роли администратора Microsoft Entra. Чтобы узнать, какие роли сейчас доступны, просмотрите портал Azure или справочник разрешений для роли администратора.
Назначение доступа к приложению
Идентификатор Microsoft Entra можно использовать для назначения доступа к группам корпоративным приложениям, развернутыми в организации Microsoft Entra. Если вы объединяете динамические группы членства с назначением групп для приложений, вы можете автоматизировать назначения доступа пользователей по мере роста организации. Для назначения доступа к корпоративным приложениям требуется лицензия Microsoft Entra ID P1 или Premium P2.
Идентификатор Microsoft Entra также предоставляет конкретный контроль над данными, которые передаются между приложением и группами, которым вы назначаете доступ. В корпоративных приложениях откройте приложение и выберите Подготовка, чтобы:
- настроить автоматическую подготовку для приложений, которые ее поддерживают;
- предоставить учетные данные для подключения к API управления пользователями приложения;
- Настройте сопоставления, которые управляют потоком атрибутов пользователя между идентификатором Microsoft Entra и приложением при подготовке или обновлении учетных записей пользователей.
- Запуск и остановка службы подготовки Microsoft Entra для приложения, очистка кэша подготовки или перезапуск службы
- Просмотрите отчет о действиях провизирования, предоставляющий журнал всех пользователей и групп, созданных, обновленных и удаленных между Microsoft Entra ID и приложением, а также отчет об ошибках провизирования, предоставляющий более подробные сообщения об ошибках.
Следующие шаги
Если вы являетесь начальным администратором Microsoft Entra, получите основные сведения в основах Microsoft Entra.
Или вы можете начать создавать группы, назначать лицензии, назначать доступ к приложению или назначать роли администратора.