Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
本文介绍Microsoft Entra ID管理员(作为Microsoft Entra的一部分)与顶级身份管理任务之间的关系,这些任务涉及用户的组、许可证、已部署的企业应用和管理员角色。 随着您的组织不断发展,您可以使用 Microsoft Entra 组和管理员角色来:
- 将许可证分配给组,而不是将许可证分配给单个用户。
- 授予权限,以将Microsoft Entra管理工作委派给特权较低的人员。
- 将企业应用访问权限分配到组。
将用户分配到组
可以使用Microsoft Entra ID中的组将许可证或已部署的企业应用分配给大量用户。 还可以使用组分配除Microsoft Entra全局管理员之外的所有管理员角色,或者可以授予对外部资源(例如 SaaS 应用程序或SharePoint站点)的访问权限。
可以在 Microsoft Entra ID 中使用 dynamic membership groups 自动扩展和收缩动态成员身份组。 动态群组为您提供更大的灵活性,并减少动态成员组的管理工作。
注意
对于属于一个或多个动态成员组成员的每个唯一用户,需要一个Microsoft Entra ID P1 许可证。
将许可证分配给组
单独管理用户许可证分配既费时又容易出错。 如果你改为将许可证分配给组,将体验到更轻松的大规模许可证管理。
Microsoft Entra加入许可组的用户会自动分配相应的许可证。 当用户离开组时,Microsoft Entra ID删除其许可证分配。 如果没有Microsoft Entra组,则必须编写 PowerShell 脚本或使用图形 API批量添加或删除加入或离开组织的用户的用户许可证。 有关组批量操作的详细信息,请参阅批量上传以添加或创建组的成员。
如果没有足够的许可证可用,或者出现问题,例如无法同时分配的服务计划,则可以在Azure门户中看到该组的任何许可问题的状态。
委托管理员角色
许多大型组织希望其用户能够通过某些选项获取足够的权限来完成其工作任务,而无需向必须注册应用程序的用户分配强大的全局管理员等角色。 下面是新的Microsoft Entra管理员角色示例,可帮助你更具体地分发应用程序管理的工作:
| 角色名称 | 权限摘要 |
|---|---|
| 应用程序管理员 | 可以添加和管理企业应用程序与应用程序注册,以及配置代理应用程序设置。 应用程序管理员可以查看条件访问策略和设备,但不能对其进行管理。 |
| 云应用程序管理员 | 可以添加和管理企业应用程序与企业应用注册。 此角色拥有应用程序管理员的所有权限,但不能管理应用程序代理设置。 |
| 应用程序开发人员 | 可以添加和更新应用程序注册,但不能管理企业应用程序或配置应用程序代理。 |
继续添加新的Microsoft Entra管理员角色。 查看 Azure 门户或 管理员角色权限参考,以获取当前可用的角色。
分配应用访问权限
可以使用 Microsoft Entra ID 为部署在 Microsoft Entra 组织中的 企业应用程序 分配组访问权限。 如果将动态成员资格组与组分配到应用相结合,就可以随着组织的发展自动分配用户对应用的访问权限。 需要Microsoft Entra ID P1 或高级 P2 许可证才能分配对企业应用的访问权限。
Microsoft Entra ID还提供对应用和向其分配访问权限的组之间流动的数据的特定控制。 在企业应用程序中打开一个应用,并选择“预配”以执行以下操作:
- 设置支持该功能的应用程序的自动预配
- 提供凭据以连接到应用的用户管理 API
- 设置用于控制预配或更新用户帐户时Microsoft Entra ID与应用之间的用户属性流动的映射
- 启动和停止应用的Microsoft Entra预配服务、清除预配缓存或重启服务
- 查看预配活动报告,该报表提供在Microsoft Entra ID和应用之间创建、更新和删除的所有用户和组的日志,以及提供更详细的错误消息的 预配错误报告
后续步骤
如果你是一个新手Microsoft Entra管理员,请从Microsoft Entra 基础知识入门。