Добавление учетной записи администратора

1. Чтобы добавить учетную запись администратора, войдите в Центр администрирования Microsoft Entra с разрешениями администратора привилегированных ролей и перейдите на страницу Идентификация>Пользователи>Все пользователи. Затем выберите "Создать пользователя>".

   

2. На странице "Создание нового пользователя" введите следующие сведения:

   • В разделе "Основы" введите сведения для этого администратора:
     1. Имя учетной записи пользователя (обязательно) — имя нового пользователя. Например, [email protected].
     2. Отображаемое имя — имя нового пользователя. Например, Эмили Доу.
   • В разделе "Пароль" скопируйте автоматически созданный пароль, указанный в поле пароля. Этот пароль необходимо предоставить администратору для входа в первый раз.

   

3. В разделе "Свойства" можно также ввести имя и фамилию вместе с некоторыми другими свойствами.

   

4. Чтобы добавить разрешения администратора для пользователя, добавьте их в одну или несколько ролей администратора в идентификаторе Microsoft Entra. В разделе "Назначения" выберите "Добавить роль". Затем найдите роль, которую вы хотите назначить этому пользователю, и нажмите кнопку "Выбрать".

   Предупреждение

   При создании учетных записей администраторов рекомендуется назначать пользователям наименее привилегированную роль , гарантируя, что у них есть только разрешения, необходимые для выполнения задач.

   

5. Чтобы создать учетную запись, нажмите кнопку "Создать".

   

   Отлично! Администратор создается и добавляется во внешний клиент.

1. Создание пользователя

Чтобы создать пользователя, замените следующие значения в запросе Microsoft Graph:

• displayName с отображаемым именем пользователя.
• mailNickname с псевдонимом почты для пользователя. Это свойство необходимо указать при создании пользователя.
• userPrincipalName с основным именем пользователя (UPN). Общий формат — alias@domain, где домен должен присутствовать в коллекции проверенных доменов клиента.
• пароль с временным паролем, которым вы будете делиться с пользователем. Во время первого входа пользователю будет предложено изменить пароль.

Пример

В следующем примере показано, как создать новую учетную запись пользователя для Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "[email protected]",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}

1.1 Копирование идентификатора пользователя

Скопируйте значение идентификатора из ответа. Например:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}        

2. Назначение роли администратора

После создания нового пользователя создайте (унифицированное) назначение роли. В следующем запросе Microsoft Graph замените следующее:

• {user-id} с идентификатором пользователя из предыдущего шага.
• {role-id} с одной из встроенных ролей Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}

Пример

В следующем примере роль администратора безопасности назначается Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}