Поделиться через

Добавление учетных записей администратора и управление ими

Применяется: белый круг с серым символом X. Клиенты рабочей силы зеленый круг с символом белой галочки. Внешние клиенты (дополнительные сведения)

Учетные записи администратора — это пользователи внешнего клиента Microsoft Entra, которым назначены роли администратора. Вы можете добавить учетную запись администратора в вашу организацию, создав или пригласив пользователя через Центр администрирования Microsoft Entra или Microsoft Graph и назначив ему роль администратора. Если вы не назначаете роль администратора, пользователь имеет разрешения пользователя по умолчанию.

В этой статье рассматривается управление учетными записями администратора с помощью Центра администрирования Microsoft Entra. Для добавления или удаления пользователей необходимо иметь по крайней мере разрешения администратора пользователей .

Дополнительные сведения о конечных пользователях см. в статье "Управление учетными записями пользователей для потребителей и бизнес-клиентов ". Обычно у этих пользователей нет ролей администратора, поэтому они сохраняют разрешения пользователей по умолчанию.

Требуемые условия

  • Если вы еще не создали собственный внешний клиент Microsoft Entra, создайте его сейчас.
  • Общие сведения об учетных записях пользователей в Microsoft Entra External ID.
  • Общие сведения о ролях пользователей для управления доступом к ресурсам.

Добавление учетной записи администратора

Чтобы создать новую учетную запись пользователя и предоставить ей права администратора, добавьте роль Microsoft Entra к учетной записи. (Здесь описаны только необходимые шаги. Полное описание всех свойств см. в статье об идентификаторе Microsoft Entra ID How to create users.)

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.

  3. Перейдите к Entra ID>пользователям.

  4. Выберите Новый пользователь>Создать нового пользователя.

  5. На вкладке "Основные сведения" в разделе "Удостоверение" введите сведения для этого администратора:

    • Имя участника-пользователя: введите уникальное имя пользователя и выберите домен в меню после символа @.
    • Отображаемое имя: введите имя пользователя, например Крис Грин или Крис А. Грин.
    • Пароль: скопируйте автоматически созданный пароль или снимите флажок автоматического создания пароля и введите другой пароль. Этот пароль необходимо предоставить администратору для входа в первый раз.

  6. Перейдите на вкладку "Назначения " и выполните следующие действия, чтобы назначить роль пользователю. (Добавление группы является необязательным).

    • Нажмите кнопку +Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Вы можете назначить пользователя на одну или несколько административных ролей в Microsoft Entra ID.
    • Нажмите кнопку "Выбрать ".

  7. Нажмите кнопку "Просмотр и создание ".

Администратор создается и добавляется во внешний клиент.

Приглашение администратора (гостевая учетная запись)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Чтобы пригласить нового гостевого пользователя с разрешениями администратора, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.

  3. Перейдите к Entra ID>пользователям.

  4. Выберите Новый пользователь>Пригласить внешнего пользователя (предварительная версия).

  5. На вкладке "Основные сведения" введите сведения для пользователя:

    • Электронная почта. Обязательный. Адрес электронной почты пользователя, которого вы хотите пригласить.
    • Отображаемое имя. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • В разделе "Приглашение":
      • Установите флажок "Отправить приглашение" , если вы хотите отправить приглашение пользователю. В противном случае снимите флажок.
      • В сообщении добавьте личное сообщение, включаемое в сообщение приглашения.
      • Чтобы отправить копию приглашения пользователю, добавьте свой адрес электронной почты в текстовое поле получателя Cc .
      • URL-адрес перенаправления приглашения по умолчанию используется для MyApplications, где пользователь перенаправляется при активации приглашения. Его можно изменить на другой URL-адрес.

  6. Перейдите на вкладку "Назначения " и выполните следующие действия, чтобы назначить роль пользователю. (Добавление группы является необязательным).

    • Нажмите кнопку +Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Вы можете назначить пользователя на одну или несколько административных ролей в Microsoft Entra ID.
    • Нажмите кнопку "Выбрать ".

  7. Нажмите кнопку "Рецензирование и приглашение ".

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Изменение или добавление назначения роли

Роль можно назначить при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>пользователям.
  4. Выберите пользователя, для которого необходимо изменить роли. Затем выберите назначенные роли.
  5. Выберите "Добавить назначения", выберите роль, назначаемую (например, администратор приложения), а затем нажмите кнопку "Добавить".

Удалить назначение роли

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>пользователям.
  4. Выберите пользователя, для которого необходимо изменить роли. Затем выберите назначенные роли.
  5. Выберите роль, которую вы хотите удалить, например администратор приложений, и нажмите кнопку "Удалить назначение".

Проверка назначений ролей учетной записи администратора

В рамках процесса аудита обычно проверяется, какие пользователи назначены определенным ролям в каталоге клиентов. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>Роли и администраторы.
  4. Выберите роль, например "Администратор пользователей". На странице "Назначения" перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо иметь по крайней мере назначение роли администратора пользователей . Администраторы привилегированной проверки подлинности могут удалять любого пользователя, включая других администраторов. Администраторы пользователей могут удалить любого пользователя, не являющегося администратором.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора привилегированной проверки подлинности.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>пользователям.
  4. Выберите пользователя, которого нужно удалить.
  5. Нажмите кнопку "Удалить", а затем "Да ", чтобы подтвердить удаление.

Пользователь удаляется и больше не отображается на странице "Все пользователи ". Пользователь может быть замечен на странице удаленных пользователей в течение следующих 30 дней и может быть восстановлен в течение этого времени. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Защита учетных записей администраторов

Мы рекомендуем защитить все учетные записи администратора с многофакторной проверкой подлинности (MFA) для повышения безопасности. MFA — это процесс проверки подлинности во время входа, который запрашивает у пользователя одноразовый секретный код.

Корпорация Майкрософт рекомендует организациям иметь две учетные записи аварийного доступа только в облаке, постоянно назначенные на роль глобального администратора. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничиваются экстренными ситуациями или сценариями чрезвычайного доступа, когда обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по аварийному доступу .