什么是企业用户管理?

本文为属于 Microsoft Entra 的 Microsoft Entra ID 的管理员介绍最重要标识管理任务在用户的组、许可证、已部署企业应用与管理员角色方面的关系。 随着组织的不断发展,可以使用 Microsoft Entra 组和管理员角色来实现以下目的:

  • 将许可证分配给组,而不是将许可证分配给单个用户。
  • 授予权限,以将 Microsoft Entra 管理工作委派给特权较低角色的人员。
  • 将企业应用访问权限分配到组。

将用户分配到组

可以使用 Microsoft Entra ID 中的组将许可证或部署的企业应用分配给大量用户。 还可以使用组来分配除 Microsoft Entra 全局管理员之外的所有管理员角色,也可以授予对外部资源的访问权限,例如 SaaS 应用程序或 SharePoint 站点。

你可以使用 Microsoft Entra ID 中的动态组来自动扩展和收缩组成员身份。 动态组为你提供更大的灵活性,而且减少了组成员管理工作。

注意

对于属于一个或多个动态组的每个独特用户,需要 Microsoft Entra ID P1 许可证。

将许可证分配到组

单独管理用户许可证分配既费时又容易出错。 如果你改为将许可证分配给组,将体验到更轻松的大规模许可证管理。

Microsoft Entra 用户会在加入许可的组时会自动获得相应的许可证。 当用户离开组时,Microsoft Entra ID 会删除其许可证分配。 如果不使用 Microsoft Entra 组,则必须编写 PowerShell 脚本或使用图形 API 才能批量添加或删除加入或离开组织的用户的用户许可证。

如果没有足够的可用许可证或出现无法同时分配服务计划之类的问题,在 Azure 门户中可以看到组出现任何许可问题的状态。

委托管理员角色

许多大型组织希望其用户能够通过某些选项获取足够的权限来完成其工作任务,而无需向必须注册应用程序的用户分配强大的全局管理员等角色。 下面是可以帮助你更具体地分配应用程序管理工作的新 Microsoft Entra 管理员角色示例:

角色名称 权限摘要
应用程序管理员 可以添加和管理企业应用程序与应用程序注册,以及配置代理应用程序设置。 应用程序管理员可以查看条件访问策略和设备,但不能对其进行管理。
云应用程序管理员 可以添加和管理企业应用程序与企业应用注册。 此角色拥有应用程序管理员的所有权限,但不能管理应用程序代理设置。
应用程序开发人员 可以添加和更新应用程序注册,但不能管理企业应用程序或配置应用程序代理。

我们正在添加新的 Microsoft Entra 管理员角色。 请查看 Azure 门户或管理员角色权限参考来了解当前可用的角色。

分配应用访问权限

可以使用 Microsoft Entra ID 为 Microsoft Entra 组织中部署的企业应用分配组访问权限。 如果在应用中结合使用动态组和组分配,则可以在组织不断发展的过程中,来自动分配用户对应用的访问权限。 需要一个 Microsoft Entra P1 或 Premium P2 许可证才能分配对企业应用的访问权限。

在 Microsoft Entra ID 中,还可以具体控制你有权访问的应用和组之间流动的数据。 在企业应用程序中打开一个应用,并选择“预配”以执行以下操作:

  • 为支持自动预配的应用设置自动预配
  • 提供凭据以连接到应用的用户管理 API
  • 设置映射,用于在预配或更新用户帐户时,控制对 Microsoft Entra ID 与应用之间的流产生影响的用户
  • 启动和停止应用的 Microsoft Entra 预配服务、清除预配缓存,或重启服务
  • 查看“预配活动报告”,其中提供了在 Microsoft Entra ID 与应用之间创建、更新和删除的所有用户与组的日志;以及查看“预配错误报告”,其中提供了更详细的错误消息

后续步骤

如果你是管理员的入门 Microsoft Entra,请在 Microsoft Entra 基础知识中了解基础知识。

或者,可以开始创建组分配许可证分配应用访问权限分配管理员角色