Добавление учетных записей администратора и управление ими

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Учетные записи администратора — это пользователи в Microsoft Entra внешнем клиенте, которым назначены роли администратора. Вы можете добавить учетную запись администратора в клиент, создав или пригласив пользователя через Центр администрирования Microsoft Entra или с помощью Microsoft Graph и назначив им роль администратора. Если вы не назначаете роль администратора, пользователь имеет разрешения пользователя по умолчанию.

В этой статье рассматривается управление учетными записями администратора с помощью Центр администрирования Microsoft Entra. Для добавления или удаления пользователей необходимо иметь по крайней мере разрешения администратора пользователей .

Дополнительные сведения о конечных пользователях см. в статье "Управление учетными записями пользователей для потребителей и бизнес-клиентов ". Обычно у этих пользователей нет ролей администратора, поэтому они сохраняют разрешения пользователей по умолчанию.

Требуемые условия

  • Если вы еще не создали собственный Microsoft Entra внешний клиент, create one now.
  • Общие сведения об учетных записях пользователей в Внешняя идентификация Microsoft Entra.
  • Общие сведения о ролях пользователей для управления доступом к ресурсам.

Добавление учетной записи администратора

Выполните следующие действия, чтобы создать новую учетную запись пользователя и предоставить администратору разрешения для учетной записи, добавив роль Microsoft Entra. (Здесь описаны только требуемые шаги. Для полного описания всех свойств см. статью Microsoft Entra ID Как создать пользователей.)

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Привилегированный администратор роли.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.

  3. Перейдите к Entra ID>Users.

  4. Выберите Новый пользователь>Создать нового пользователя.

  5. На вкладке "Основные сведения" в разделе "Удостоверение" введите сведения для этого администратора:

    • Имя участника-пользователя: введите уникальное имя пользователя и выберите домен в меню после символа @.
    • Отображаемое имя: введите имя пользователя, например Крис Грин или Крис А. Грин.
    • Пароль: скопируйте автоматически созданный пароль или снимите флажок автоматического создания пароля и введите другой пароль. Этот пароль необходимо предоставить администратору для входа в первый раз.
  6. Перейдите на вкладку "Назначения " и выполните следующие действия, чтобы назначить роль пользователю. (Добавление группы является необязательным).

    • Нажмите кнопку +Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Вы можете назначить пользователя на одну или несколько ролей администратора в Microsoft Entra ID.
    • Нажмите кнопку "Выбрать ".
  7. Нажмите кнопку "Просмотр и создание ".

Администратор создается и добавляется во внешний клиент.

Приглашение администратора (гостевая учетная запись)

Вы также можете пригласить нового гостевого пользователя для управления клиентом. Чтобы пригласить нового гостевого пользователя с разрешениями администратора, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Привилегированного администратора роли.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.

  3. Перейдите к Entra ID>Users.

  4. Выберите Новый пользователь>Пригласить внешнего пользователя (предварительная версия).

  5. На вкладке "Основные сведения" введите сведения для пользователя:

    • Электронная почта. Обязательный. Адрес электронной почты пользователя, которого вы хотите пригласить.
    • Отображаемое имя. Имя и фамилия нового пользователя. Например, Мэри Паркер.
    • В разделе "Приглашение":
      • Установите флажок "Отправить приглашение" , если вы хотите отправить приглашение пользователю. В противном случае снимите флажок.
      • В сообщении добавьте личное сообщение, включаемое в сообщение приглашения.
      • Чтобы отправить копию приглашения пользователю, добавьте свой адрес электронной почты в текстовое поле получателя Cc .
      • URL-адрес перенаправления приглашения по умолчанию используется для MyApplications, где пользователь перенаправляется при активации приглашения. Его можно изменить на другой URL-адрес.
  6. Перейдите на вкладку "Назначения " и выполните следующие действия, чтобы назначить роль пользователю. (Добавление группы является необязательным).

    • Нажмите кнопку +Добавить роль.
    • В появившемся меню выберите до 20 ролей из списка. Вы можете назначить пользователя одному или нескольким ролям администратора в Microsoft Entra ID.
    • Нажмите кнопку "Выбрать ".
  7. Нажмите кнопку "Рецензирование и приглашение ".

Пользователю будет отправлено приглашение по электронной почте. Пользователь должен принять это приглашение, чтобы иметь возможность войти в систему.

Замечание

Вы можете приглашать внешних пользователей только в административных целях. Эту функцию нельзя использовать для приглашения клиентов на вход в приложения. Приглашение внешнего пользователя (предварительная версия) несовместимо с потоками пользователей управления удостоверениями клиентов и доступом (CIAM).

Изменение или добавление назначения роли

Роль можно назначить при создании пользователя или приглашении гостевого пользователя. Роль пользователя можно добавить, изменить или удалить.

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор с привилегиями роли.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>Users.
  4. Выберите пользователя, для которого необходимо изменить роли. Затем выберите назначенные роли.
  5. Выберите "Добавить назначения", выберите роль, назначаемую (например, администратор приложения), а затем нажмите кнопку "Добавить".

Удалить назначение роли

Если необходимо удалить назначение роли пользователю, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора привилегированных ролей.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>Users.
  4. Выберите пользователя, для которого необходимо изменить роли. Затем выберите назначенные роли.
  5. Выберите роль, которую вы хотите удалить, например администратор приложений, и нажмите кнопку "Удалить назначение".

Проверка назначений ролей учетной записи администратора

В рамках процесса аудита обычно проверяется, какие пользователи назначены определенным ролям в каталоге клиентов. Чтобы проверить, каким пользователям в настоящее время назначены привилегированные роли, выполните указанные ниже действия.

  1. Войдите в систему в центр администрирования Microsoft Entra как минимум как администратор привилегированных ролей.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>Роле и администраторам.
  4. Выберите роль, например "Администратор пользователей". На странице "Назначения" перечислены пользователи с этой ролью.

Удаление учетной записи администратора

Чтобы удалить существующего пользователя, необходимо иметь по крайней мере назначение роли администратора пользователей . Администраторы привилегированной проверки подлинности могут удалять любого пользователя, включая других администраторов. Администраторы пользователей могут удалить любого пользователя, не являющегося администратором.

  1. Войдите в центр администрирования Microsoft Entra с правами по крайней мере Привилегированного администратора проверки подлинности.
  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант из меню Каталоги + подписки.
  3. Перейдите к Entra ID>Users.
  4. Выберите пользователя, которого нужно удалить.
  5. Нажмите кнопку "Удалить", а затем "Да ", чтобы подтвердить удаление.

Пользователь удаляется и больше не отображается на странице "Все пользователи ". Пользователь может быть замечен на странице удаленных пользователей в течение следующих 30 дней и может быть восстановлен в течение этого времени. Дополнительные сведения о восстановлении пользователя см. в статье Restore или удаление недавно удаленного пользователя с помощью Microsoft Entra ID.

Защита учетных записей администраторов

Рекомендуется защитить все учетные записи администратора с помощью многофакторной проверки подлинности (MFA). MFA — это процесс проверки подлинности во время входа, который запрашивает у пользователя одноразовый секретный код.

Майкрософт рекомендует организациям иметь две облачные учетные записи для экстренного доступа, постоянно назначенные на роль Global Administrator. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничиваются экстренными ситуациями или сценариями чрезвычайного доступа, когда обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по аварийному доступу .