Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Управление клиентами Microsoft Entra в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Делегированное администрирование между клиентами — это возможность управления клиентами, которая позволяет администраторам отслеживать и управлять несколькими клиентами с помощью учетных записей из центрального управляемого клиента. Администраторы не должны создавать локальные учетные записи или гостевые учетные записи для бизнеса (B2B) в каждом управляемом клиенте. Эта возможность использует детализированные делегированные права администратора (GDAP), чтобы обеспечить безопасный, наименее привилегированный доступ через границы клиента.
Прежде чем использовать делегированное администрирование между клиентами, необходимо сначала создать связь управления между управляющим клиентом и каждым управляемым клиентом. Связь управления устанавливает границу доверия. Он также определяет делегированные политики администрирования, которые контролируют, какие роли и разрешения доступны управляющим администраторам арендаторов.
Делегированное администрирование между клиентами также предоставляет управляемым клиентам полную видимость управления действиями администратора клиента в своей среде. Журналы входа и аудита управляемого клиента фиксируют все действия, которые делегированные администраторы выполняют, обеспечивая независимое отслеживание, проверку и аудит административных операций управляемых клиентов.
Как работает делегированное администрирование между клиентами
Межарендное делегированное администрирование использует технологию GDAP, ту же самую технологию, которую Центр партнеров использует для администрирования арендных записей клиентов. С помощью этой возможности:
Администраторы входят в систему, используя учетные данные управляющего тенанта для доступа к управляемым тенантам.
В управляемых арендаторах не требуется наличие локальных или B2B-учетных записей.
Доступ и разрешения управляются централизованно из управляющего клиента.
Назначения ролей соответствуют принципу наименьших привилегий.
При установлении связи управления с настроенным делегированным администрированием Управление клиентами создает назначения ролей GDAP в управляемом клиенте. Эти назначения ролей позволяют назначенным пользователям из управляющего клиента выполнять административные задачи на основе ролей, определенных шаблоном политики управления.
Ключевые компоненты
Делегированное администрирование между клиентами зависит от этих компонентов.
Шаблон политики управления
Шаблон политики управления определяет, какие встроенные роли Microsoft Entra включены для делегированного администрирования. При создании шаблона:
Выберите одну или несколько встроенных ролей Microsoft Entra для назначения.
Назначьте каждую роль группе безопасности в управляющем арендаторе.
Каждая группа может иметь несколько назначений ролей, и каждый шаблон политики может иметь несколько групп.
Назначения ролей GDAP
Назначения ролей GDAP — это назначения ролей между клиентами, которые позволяют пользователям из управляющего клиента выполнять вход и управлять управляемым клиентом. Система автоматически создает эти поручения в управляемом клиенте, когда вы устанавливаете управляющие отношения с делегированным администрированием.
Преимущества
Делегированное администрирование между клиентами предоставляет несколько преимуществ для организаций, управляющих несколькими клиентами:
Централизованное управление доступом: управление разрешениями и доступом из одного управляемого клиента, а не настройка доступа в каждом отдельном клиенте.
Сокращение разрастания учетных записей: устранение необходимости в локальных или B2B-учетных записях в нескольких арендаторах.
Минимальный доступ к привилегиям: определение определенных ролей и разрешений для делегированных администраторов.
Масштабируемость. Управление сотнями или тысячами клиентов с помощью той же технологии, которая обеспечивает центр партнеров.
Аудит изменений: Отслеживание действий администратора управляющего клиента в журналах входа и аудита управляемого клиента.