Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
本文为属于 Microsoft Entra 的 Microsoft Entra ID 的管理员介绍最重要标识管理任务在用户的组、许可证、已部署企业应用与管理员角色方面的关系。 随着组织的不断发展,可以使用 Microsoft Entra 组和管理员角色来实现以下目的:
- 将许可证分配给组,而不是将许可证分配给单个用户。
- 授予权限,以将 Microsoft Entra 管理工作委派给特权较低角色的人员。
- 将企业应用访问权限分配到组。
将用户分配到组
可以使用 Microsoft Entra ID 中的组将许可证或部署的企业应用分配给大量用户。 还可以使用组来分配除 Microsoft Entra 全局管理员之外的所有管理员角色,也可以授予对外部资源的访问权限,例如 SaaS 应用程序或 SharePoint 站点。
可以使用 Microsoft Entra ID 中的动态成员资格组来自动扩展和缩小动态成员资格组。 动态群组为您提供更大的灵活性,并减少动态成员组的管理工作。
注意
每个属于一个或多个动态成员资格组的唯一用户都需要 Microsoft Entra ID P1 许可证。
将许可证分配给组
单独管理用户许可证分配既费时又容易出错。 如果你改为将许可证分配给组,将体验到更轻松的大规模许可证管理。
Microsoft Entra 用户会在加入许可的组时会自动获得相应的许可证。 当用户离开组时,Microsoft Entra ID 会删除其许可证分配。 如果不使用 Microsoft Entra 组,则必须编写 PowerShell 脚本或使用图形 API 才能批量添加或删除加入或离开组织的用户的用户许可证。 有关组批量操作的详细信息,请参阅批量上传以添加或创建组的成员。
如果没有足够的可用许可证或出现无法同时分配服务计划之类的问题,在 Azure 门户中可以看到组出现任何许可问题的状态。
委托管理员角色
许多大型组织希望其用户能够通过某些选项获取足够的权限来完成其工作任务,而无需向必须注册应用程序的用户分配强大的全局管理员等角色。 下面是可以帮助你更具体地分配应用程序管理工作的新 Microsoft Entra 管理员角色示例:
| 角色名称 | 权限摘要 |
|---|---|
| 应用程序管理员 | 可以添加和管理企业应用程序与应用程序注册,以及配置代理应用程序设置。 应用程序管理员可以查看条件访问策略和设备,但不能对其进行管理。 |
| 云应用程序管理员 | 可以添加和管理企业应用程序与企业应用注册。 此角色拥有应用程序管理员的所有权限,但不能管理应用程序代理设置。 |
| 应用程序开发人员 | 可以添加和更新应用程序注册,但不能管理企业应用程序或配置应用程序代理。 |
继续添加新的Microsoft Entra 管理员角色。 查看 Azure 门户或 管理员角色权限参考 ,了解当前可用的角色。
分配应用访问权限
可以使用 Microsoft Entra ID 为 Microsoft Entra 组织中部署的企业应用分配组访问权限。 如果将动态成员资格组与组分配到应用相结合,就可以随着组织的发展自动分配用户对应用的访问权限。 需要Microsoft Entra ID P1 或 Premium P2 许可证才能分配对企业应用的访问权限。
对于 Microsoft Entra ID,你还可以具体控制应用程序与被你分配访问权限的组之间流动的数据。 在企业应用程序中打开一个应用,并选择“预配”以执行以下操作:
- 设置支持该功能的应用程序的自动预配
- 提供凭据以连接到应用的用户管理 API
- 设置映射以控制用户属性在 Microsoft Entra ID 与应用程序之间的流动,适用于用户帐户预配或更新时。
- 启动和停止应用的 Microsoft Entra 预配服务、清除预配缓存,或重启服务
- 查看“预配活动报告”,其中提供了在 Microsoft Entra ID 与应用之间创建、更新和删除的所有用户与组的日志;以及查看“预配错误报告”,其中提供了更详细的错误消息
后续步骤
如果你是 Microsoft Entra 的新手管理员,请在 Microsoft Entra 基础知识中掌握基本常识。