Co to jest zarządzanie użytkownikami w przedsiębiorstwie?

W tym artykule przedstawiono administratora usługi Microsoft Entra ID, część firmy Microsoft Entra, relację między głównymi zadaniami zarządzania tożsamościami dla użytkowników pod względem ich grup, licencji, wdrożonych aplikacji dla przedsiębiorstw i ról administratora. W miarę rozwoju organizacji możesz używać grup i ról administratora firmy Microsoft do:

  • Przypisywanie licencji do grup zamiast przypisywania licencji do poszczególnych użytkowników.
  • Przyznawanie uprawnień do delegowania pracy zarządzania entra firmy Microsoft do personelu w rolach mniej uprzywilejowanych.
  • przypisywać grupom dostęp do aplikacji przedsiębiorstwa.

Przypisywanie użytkowników do grup

Grup w identyfikatorze Entra firmy Microsoft można używać do przypisywania licencji lub wdrożonych aplikacji dla przedsiębiorstw do dużej liczby użytkowników. Za pomocą grup można również przypisywać wszystkie role administratora z wyjątkiem aplikacji Microsoft Entra Global Administracja istrator lub udzielić dostępu do zasobów zewnętrznych, takich jak aplikacje SaaS lub witryny programu SharePoint.

Możesz użyć grup dynamicznych w identyfikatorze Entra firmy Microsoft do automatycznego rozszerzania i członkostwa w grupach kontraktów. Grupy dynamiczne zapewniają większą elastyczność i zmniejszają pracę z zarządzaniem członkostwem w grupach.

Uwaga

Potrzebujesz licencji Microsoft Entra ID P1 dla każdego unikatowego użytkownika, który jest członkiem co najmniej jednej grupy dynamicznej.

Przypisywanie licencji do grup

Indywidualne zarządzanie przypisaniami licencji użytkownika jest czasochłonne i podatne na błędy. Jeśli zamiast tego przypiszesz licencje do grup , możesz łatwiej zarządzać licencjami na dużą skalę.

Użytkownicy firmy Microsoft Entra, którzy dołączają do licencjonowanej grupy, są automatycznie przypisywani do odpowiednich licencji. Gdy użytkownicy opuszczają grupę, identyfikator Entra firmy Microsoft usuwa przypisania licencji. Bez grup firmy Microsoft Entra należy napisać skrypt programu PowerShell lub użyć interfejsu API programu Graph do zbiorczego dodawania lub usuwania licencji użytkowników dla użytkowników dołączających do organizacji lub opuszczających ją.

Jeśli nie ma wystarczającej liczby dostępnych licencji lub wystąpi problem, taki jak plany usług, które nie mogą być przypisane w tym samym czasie, możesz zobaczyć stan dowolnego problemu z licencjonowaniem dla grupy w witrynie Azure Portal.

Delegowanie roli administratorów

Wiele dużych organizacji chce, aby ich użytkownicy mogli uzyskiwać uprawnienia wystarczające do wykonywania zadań służbowych ale bez przypisywania wysoce uprzywilejowanej roli administratora globalnego. Na przykład mogą to być użytkownicy, którzy zajmują się rejestrowaniem aplikacji. Oto przykład nowych ról administratora firmy Microsoft Entra, które ułatwiają dystrybucję pracy zarządzania aplikacjami z bardziej szczegółowością:

Nazwa roli Podsumowanie uprawnień
Administrator aplikacji Może dodawać aplikacje przedsiębiorstwa i rejestracje aplikacji oraz zarządzać nimi, a także konfigurować ustawienia aplikacji serwera proxy. Administracja istratory aplikacji mogą wyświetlać zasady dostępu warunkowego i urządzenia, ale nie zarządzać nimi.
Administrator aplikacji w chmurze Może dodawać aplikacje przedsiębiorstwa i rejestracje aplikacji przedsiębiorstwa oraz zarządzać nimi. Ta rola ma wszystkie uprawnienia administratora aplikacji, ale nie może zarządzać ustawieniami serwera proxy aplikacji.
Deweloper aplikacji Może dodawać i aktualizować rejestracje aplikacji, ale nie może zarządzać aplikacjami przedsiębiorstwa ani konfigurować serwera proxy aplikacji.

Dodawane są nowe role administratora entra firmy Microsoft. Informacje o aktualnie dostępnych rolach można znaleźć w witrynie Azure Portal lub dokumentacji uprawnień ról administratora.

Przyznawanie dostępu do aplikacji

Możesz użyć identyfikatora Entra firmy Microsoft, aby przypisać dostęp do grup do aplikacji dla przedsiębiorstw wdrożonych w organizacji firmy Microsoft Entra. Jeśli połączysz grupy dynamiczne z przypisaniem grupy do aplikacji, możesz zautomatyzować przypisania dostępu do aplikacji użytkowników w miarę rozwoju organizacji. Aby przypisać dostęp do aplikacji dla przedsiębiorstw, musisz mieć licencję Microsoft Entra ID P1 lub Premium P2.

Identyfikator Entra firmy Microsoft zapewnia również konkretną kontrolę nad danymi przepływającą między aplikacją a grupami, do których przypisujesz dostęp. Po otwarciu aplikacji w bloku Aplikacje dla przedsiębiorstw i wybraniu pozycji Inicjowanie obsługi administracyjnej można wykonywać następujące czynności:

  • Konfigurowanie automatycznej aprowizacji dla aplikacji, które ją obsługują
  • Podawanie poświadczeń umożliwiających nawiązanie połączenia z interfejsem API aplikacji służącym do zarządzania użytkownikami
  • Skonfiguruj mapowania kontrolujące przepływ atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją podczas aprowizowania lub aktualizowania kont użytkowników
  • Uruchamianie i zatrzymywanie usługi aprowizacji firmy Microsoft dla aplikacji, czyszczenie pamięci podręcznej aprowizacji lub ponowne uruchamianie usługi
  • Wyświetl raport aktywności aprowizacji zawierający dziennik wszystkich użytkowników i grup utworzonych, zaktualizowanych i usuniętych między identyfikatorem Entra firmy Microsoft i aplikacją oraz raportem o błędach aprowizacji zawierającym bardziej szczegółowe komunikaty o błędach

Następne kroki

Jeśli jesteś początkującym administratorem firmy Microsoft Entra, zapoznaj się z podstawowymi informacjami w temacie Microsoft Entra Fundamentals.

Możesz również zacząć tworzyć grupy, przypisywać licencje, przyznawać dostęp do aplikacji lub przypisywać role administratora.