Co to jest zarządzanie użytkownikami w przedsiębiorstwie?
W tym artykule przedstawiono administratora usługi Microsoft Entra ID, część firmy Microsoft Entra, relację między głównymi zadaniami zarządzania tożsamościami dla użytkowników pod względem ich grup, licencji, wdrożonych aplikacji dla przedsiębiorstw i ról administratora. W miarę rozwoju organizacji możesz używać grup Microsoft Entra i ról administratora do:
- Przypisywanie licencji do grup zamiast przypisywania licencji do poszczególnych użytkowników.
- Przyznawanie uprawnień do delegowania zadań zarządzania Microsoft Entra personelowi w rolach o niższym poziomie uprzywilejowania.
- przypisywać grupom dostęp do aplikacji przedsiębiorstwa.
Przypisywanie użytkowników do grup
Grup w identyfikatorze Entra firmy Microsoft można używać do przypisywania licencji lub wdrożonych aplikacji dla przedsiębiorstw do dużej liczby użytkowników. Możesz również użyć grup, aby przypisać wszystkie role administratora z wyjątkiem administratora globalnego firmy Microsoft Entra lub udzielić dostępu do zasobów zewnętrznych, takich jak aplikacje SaaS lub witryny programu SharePoint.
Możesz użyć dynamicznych grup członkostwa w identyfikatorze Entra firmy Microsoft do automatycznego rozszerzania i kontraktowania dynamicznych grup członkostwa. Grupy dynamiczne zapewniają większą elastyczność i zmniejszają dynamiczną pracę zarządzania grupami członkostwa.
Uwaga
Potrzebujesz licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej dynamicznej grupy członkostwa.
Przypisywanie licencji do grup
Indywidualne zarządzanie przypisaniami licencji użytkownika jest czasochłonne i podatne na błędy. Jeśli zamiast tego przypiszesz licencje do grup , możesz łatwiej zarządzać licencjami na dużą skalę.
Użytkownicy firmy Microsoft Entra, którzy dołączają do licencjonowanej grupy, są automatycznie przypisywani do odpowiednich licencji. Gdy użytkownicy opuszczają grupę, identyfikator Entra firmy Microsoft usuwa przypisania licencji. Bez grup firmy Microsoft Entra należy napisać skrypt programu PowerShell lub użyć interfejsu API programu Graph do zbiorczego dodawania lub usuwania licencji użytkowników dla użytkowników dołączających do organizacji lub opuszczających ją. Aby uzyskać więcej informacji na temat operacji grupowych na dużą skalę, zobacz Masowe przesyłanie w celu dodania lub utworzenia członków grupy.
Jeśli nie ma wystarczającej liczby dostępnych licencji lub wystąpi problem, taki jak plany usług, które nie mogą być przypisane w tym samym czasie, możesz zobaczyć stan dowolnego problemu z licencjonowaniem dla grupy w witrynie Azure Portal.
Delegowanie ról administratorów
Wiele dużych organizacji chce, aby ich użytkownicy mogli uzyskiwać uprawnienia wystarczające do wykonywania zadań służbowych ale bez przypisywania wysoce uprzywilejowanej roli administratora globalnego. Na przykład mogą to być użytkownicy, którzy zajmują się rejestrowaniem aplikacji. Oto przykład nowych ról administratora Microsoft Entra, które ułatwiają dystrybucję pracy zarządzania aplikacjami w bardziej szczegółowy sposób.
| Nazwa roli | Podsumowanie uprawnień |
|---|---|
| Administrator aplikacji | Może dodawać aplikacje przedsiębiorstwa i rejestracje aplikacji oraz zarządzać nimi, a także konfigurować ustawienia aplikacji serwera proxy. Administratorzy aplikacji mogą wyświetlać zasady dostępu warunkowego i urządzenia, ale nie zarządzać nimi. |
| Administrator aplikacji w chmurze | Może dodawać aplikacje przedsiębiorstwa i rejestracje aplikacji przedsiębiorstwa oraz zarządzać nimi. Ta rola ma wszystkie uprawnienia administratora aplikacji, ale nie może zarządzać ustawieniami serwera proxy aplikacji. |
| Deweloper aplikacji | Może dodawać i aktualizować rejestracje aplikacji, ale nie może zarządzać aplikacjami przedsiębiorstwa ani konfigurować serwera proxy aplikacji. |
Dodawane są nowe role administratora entra firmy Microsoft. Informacje o aktualnie dostępnych rolach można znaleźć w witrynie Azure Portal lub dokumentacji uprawnień ról administratora.
Przyznawanie dostępu do aplikacji
Możesz użyć identyfikatora Entra firmy Microsoft, aby przypisać dostęp do grup do aplikacji dla przedsiębiorstw wdrożonych w organizacji firmy Microsoft Entra. Jeśli połączysz dynamiczne grupy członkostwa z przypisaniem grupy do aplikacji, możesz zautomatyzować przypisania dostępu do aplikacji użytkowników w miarę rozwoju organizacji. Aby przypisać dostęp do aplikacji dla przedsiębiorstw, potrzebujesz licencji Microsoft Entra ID P1 lub Premium P2.
Identyfikator Entra firmy Microsoft zapewnia również konkretną kontrolę nad danymi przepływającą między aplikacją a grupami, do których przypisujesz dostęp. W Aplikacje dla przedsiębiorstw otwórz aplikację i wybierz Udostępnianie, aby:
- Skonfiguruj automatyczne wdrażanie dla aplikacji które ją obsługują
- Podawanie poświadczeń umożliwiających nawiązanie połączenia z interfejsem API aplikacji służącym do zarządzania użytkownikami
- Skonfiguruj mapowania kontrolujące przepływ atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją podczas aprowizowania lub aktualizowania kont użytkowników
- Uruchamianie i zatrzymywanie usługi aprowizacji Microsoft Entra dla aplikacji, czyszczenie pamięci podręcznej aprowizacji lub ponowne uruchamianie usługi
- Wyświetl raport aktywności aprowizacji, który zawiera dziennik wszystkich użytkowników i grup utworzonych, zaktualizowanych i usuniętych między Microsoft Entra ID i aplikacją oraz raport błędów aprowizacji, który dostarcza bardziej szczegółowe komunikaty o błędach.
Następne kroki
Jeśli jesteś początkującym administratorem firmy Microsoft Entra, zapoznaj się z podstawowymi informacjami w temacie Microsoft Entra Fundamentals.
Możesz również zacząć tworzyć grupy, przypisywać licencje, przyznawać dostęp do aplikacji lub przypisywać role administratora.