Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Управление клиентами Microsoft Entra в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
В этой статье описывается, как войти в управляемого арендатора в качестве делегированного администратора и управлять ролями делегированного администрирования.
Делегированное администрирование между клиентами позволяет администраторам в управляющем клиенте выполнять вход в управляемые клиенты и управлять ими с помощью учетных данных клиента. Эта возможность не требует локальной или B2B-учетной записи в каждом управляемом клиенте. В нем используются детализированные делегированные права администратора (GDAP) для предоставления централизованного, наименее привилегированного доступа между клиентами.
Необходимые условия
Активное отношение управления между управляющим клиентом и управляемым клиентом с делегированным администрированием, настроенным в шаблоне политики управления. Дополнительные сведения см. в статье о поддерживаемых рабочих нагрузках GDAP.
Администратор должен принадлежать группе безопасности в ключевом арендаторе, заданном отношениями управления.
Вход в управляемый клиент в качестве делегированного администратора
После того как отношения управления активны и выполняется назначение ролей в GDAP, пользователи настроенной группы безопасности могут войти в подчинённый клиент.
Убедитесь, что ваша учетная запись является членом группы безопасности в управляемом клиенте, которому назначены роли в шаблоне политики управления.
Откройте URL-адрес поддерживаемого портала администрирования и дополните его идентификатором домена или арендатора управляемого клиента. Список поддерживаемых порталов и рабочих нагрузок см. в разделе "Поддерживаемые рабочие нагрузки GDAP". Рассмотрим пример.
https://entra.microsoft.com/{governed-tenant-domain-or-id}Войдите с помощью учетных данных управляющего клиента.
После успешного входа выполните административные задачи в подчинённом клиенте на основании ролей, назначенных вашей группе безопасности.
Это важно
Информация о вас отличается от информации обычного пользователя.
- Ваше отображаемое имя:
user_{your user object ID in the governing tenant without dashes}. - Журналы входа и аудита в управляемом клиенте показывают ваше отображаемое имя как
{Governing tenant name} Technician.
- Ваше отображаемое имя:
Обновление делегированных ролей администрирования
Чтобы добавить или изменить роли, доступные делегированным администраторам, обновите шаблон политики управления и отправьте новый запрос на управление.
В управляющем клиенте обновите шаблон политики управления, чтобы добавить или изменить встроенные роли и назначения групп безопасности Microsoft Entra.
Замечание
Обновление шаблона увеличивает номер версии на единицу.
Отправьте новый запрос управления арендатору с обновлённым шаблоном политики.
Администратор в управляемом клиенте проверяет и принимает запрос на применение обновленных ролей.