Поделиться через


Управление учетными записями администратора в Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

В Azure Active Directory B2C (Azure AD B2C) клиент представляет каталог потребительских, рабочих и гостевых учетных записей. С помощью роли администратора рабочие и гостевые учетные записи могут управлять клиентом.

В этой статье вы узнаете, как:

  • Добавление администратора (рабочая учетная запись)
  • Приглашение администратора (гостевая учетная запись)
  • Добавление назначения ролей в учетную запись пользователя
  • Удаление назначения ролей из учетной записи пользователя
  • Удаление учетной записи администратора
  • Защита учетных записей администраторов

Предпосылки

Добавление администратора (рабочая учетная запись)

Чтобы создать новую учетную запись администратора, выполните следующие действия.

  1. Войдите в портал Azure с правами как минимум Администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управление выберите Пользователи.

  5. Выберите Новый пользователь.

  6. Выберите "Создать пользователя " (можно одновременно создать много пользователей, выбрав команду "Создать пользователей" в массовом режиме).

  7. На странице пользователя введите сведения для этого пользователя:

    • Основное имя пользователя. Обязательно. Имя нового пользователя. Например: [email protected]. Доменная часть имени пользователя должна использовать исходное доменное имя по умолчанию, <имя> клиента.onmicrosoft.com или личный домен , например contoso.com.
    • Отображаемое имя. Обязательно. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • Пароль. Обязательно. Параметр по умолчанию — автоматическое создание пароля, но у вас есть возможность ввести нужный пароль.
    • Группы. Необязательно. Вы можете добавить пользователя в одну или несколько существующих групп. Вы также можете добавить пользователя в группы позже.
    • роли каталога. Если для пользователя требуются разрешения администратора Microsoft Entra, их можно добавить в роль Microsoft Entra. Вы можете назначить пользователя глобальным администратором или одной или несколькими ограниченными ролями администратора в идентификаторе Microsoft Entra. Дополнительные сведения о назначении ролей см. в статье "Использование ролей для управления доступом к ресурсам".
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.
  8. Скопируйте автоматически созданный пароль, указанный в поле пароля . Этот пароль необходимо предоставить пользователю, чтобы войти в систему в первый раз.

  9. Нажмите кнопку "Создать".

Пользователь создается и добавляется в клиент Azure AD B2C. Предпочтительнее иметь по крайней мере одну рабочую учетную запись в клиенте Azure AD B2C, назначенную роли глобального администратора. Эта учетная запись может считаться учетной записью для чрезвычайных ситуаций или учетной записью аварийного доступа.

Приглашение администратора (гостевая учетная запись)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Гостевая учетная запись является предпочтительным вариантом, если у вашей организации также есть идентификатор Microsoft Entra, так как жизненный цикл этого удостоверения можно управлять внешним образом.

Чтобы пригласить пользователя, выполните следующие действия.

  1. Войдите в портал Azure с правами как минимум Администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управление выберите Пользователи.

  5. Выберите новую гостевую учетную запись.

  6. На странице пользователя введите сведения для этого пользователя:

    • Адрес электронной почты. Обязательно. Адрес электронной почты пользователя, который вы хотите пригласить, который должен быть учетной записью Майкрософт. Например: [email protected].
    • Личное сообщение: вы добавляете личное сообщение, которое будет включено в сообщение электронной почты приглашения.
    • Группы. Необязательно. Вы можете добавить пользователя в одну или несколько существующих групп. Вы также можете добавить пользователя в группы позже.
    • роли каталога. Если для пользователя требуются разрешения администратора Microsoft Entra, их можно добавить в роль Microsoft Entra. Вы можете назначить пользователя глобальным администратором или одной или несколькими ограниченными ролями администратора в идентификаторе Microsoft Entra. Дополнительные сведения о назначении ролей см. в статье "Использование ролей для управления доступом к ресурсам".
    • Сведения о задании: вы можете добавить дополнительные сведения о пользователе здесь или сделать это позже.
  7. Нажмите кнопку "Создать".

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Отправить приглашение по электронной почте повторно

Если гостевой пользователь не получил сообщение электронной почты или истек срок действия приглашения, можно повторно отправить приглашение. В качестве альтернативы электронной почте приглашения вы можете предоставить гостевую прямую ссылку, чтобы принять приглашение. Чтобы повторно отправить приглашение и получить прямую ссылку:

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе Управление выберите Пользователи.

  5. Найдите и выберите пользователя, которому нужно повторно отправить приглашение.

  6. На странице Пользователь | Профиль в разделе Идентификация выберите (Управление). Снимок экрана, на котором показано, как повторно отправить сообщение электронной почты приглашения на гостевую учетную запись.

  7. Для повторного приглашения нажмитекнопку "Да". Когда вы уверены, что хотите повторно отправить приглашение? Нажмите кнопку "Да".

  8. Azure AD B2C отправляет приглашение. Вы также можете скопировать URL-адрес приглашения и указать его непосредственно гостем.

    Снимок экрана: получение URL-адреса приглашения.

Добавить назначение ролей

Вы можете назначить роль при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите в портал Azure с правами как минимум Администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
  4. В разделе Управление выберите Пользователи.
  5. Выберите пользователя, для которого необходимо изменить роли. Затем выберите назначенные роли.
  6. Выберите "Добавить назначения", выберите роль для назначения (например, администратор приложения), а затем нажмите кнопку "Добавить".

Удалить назначение роли

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Выберите Azure AD B2C, выберите "Пользователи", а затем найдите и выберите пользователя.
  2. Выберите назначенные роли. Выберите роль, которую нужно удалить, например администратор приложений, и нажмите кнопку "Удалить назначение".

Проверка назначений ролей учетной записи администратора

В процессе аудита обычно проверяется, какие пользователи назначаются определенным ролям в каталоге Azure AD B2C. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите на портал Azure с правами администратора привилегированных ролей.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
  4. В разделе "Управление" выберите роли и администраторы.
  5. Выберите роль, например глобальный администратор. Роль | На странице "Назначения" перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо назначить роль глобального администратора . Глобальные администраторы могут удалить любого пользователя, включая других администраторов. Администраторы пользователей могут удалить любого пользователя, не являющегося администратором.

  1. В каталоге Azure AD B2C выберите "Пользователи", а затем выберите пользователя, которого вы хотите удалить.
  2. Выберите Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление.

Пользователь удаляется и больше не отображается на странице "Пользователи- все пользователи". Пользователь может отображаться на странице Удаленные пользователи в течение 30 дней. В этот период его можно восстановить. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Защита учетных записей администраторов

Рекомендуется защитить все учетные записи администратора с многофакторной проверкой подлинности (MFA) для повышения безопасности. MFA — это процесс проверки подлинности во время входа, который запрашивает у пользователя дополнительную форму идентификации, например код проверки на мобильном устройстве или запрос в приложении Microsoft Authenticator.

Методы проверки подлинности, используемые на снимке экрана входа

Если вы не используете условный доступ, вы можете включить безопасность Microsoft Entra по умолчанию , чтобы принудительно использовать MFA для всех административных учетных записей.

Дальнейшие шаги