Co jsou uživatelské účty v Microsoft Entra ID?
V Microsoft Entra ID jsou všem uživatelským účtům udělena sada výchozích oprávnění. Přístup účtu uživatele se skládá z typu uživatele, jeho přiřazených rolí a jeho vlastnictví jednotlivých objektů.
V Microsoft Entra ID existují různé typy uživatelských účtů. Každý typ má úroveň přístupu specifickou pro rozsah práce, kterou očekáváte v rámci každého typu uživatelského účtu. Správa istrátory mají nejvyšší úroveň přístupu, za kterou následují členské uživatelské účty v organizaci Microsoft Entra. Uživatelé typu host mají nejomezenější úroveň přístupu.
Oprávnění a role
Microsoft Entra ID používá oprávnění, která vám pomůžou řídit přístupová práva, která má uživatel nebo skupina udělená. K tomu slouží role. Id Microsoft Entra má mnoho rolí s různými oprávněními, která jsou k nim připojena. Když je uživateli přiřazena určitá role, zdědí oprávnění z této role. Například uživatel přiřazený roli Správce uživatelů může vytvářet a odstraňovat uživatelské účty.
Porozumění, kdy přiřadit správný typ role správnému uživateli, je základní a zásadní krok při zachovávání ochrany osobních údajů a dodržování předpisů zabezpečení. Pokud je nesprávná role přiřazena nesprávnému uživateli, oprávnění, která jsou součástí této role, můžou uživateli umožnit, aby organizaci způsobil vážné škody.
Role správce
Správa istrator role v Microsoft Entra ID umožňují uživatelům zvýšit úroveň přístupu k řízení, kdo může dělat co. Tyto role přiřadíte omezené skupině uživatelů ke správě úloh identit v organizaci Microsoft Entra. Můžete přiřadit role správce, které umožňují uživateli vytvářet nebo upravovat uživatele, přiřazovat administrativní role ostatním uživatelům, resetovat hesla uživatelů, spravovat uživatelské licence a provádět další operace.
Pokud má váš uživatelský účet roli User Správa istrator nebo Global Správa istrator, můžete vytvořit nového uživatele v Microsoft Entra ID pomocí webu Azure Portal, Azure CLI nebo PowerShellu. V PowerShellu spusťte rutinu New-MgUser. V rozhraní příkazového řádku Azure použijte az ad user create.
Členští uživatelé
Uživatelský účet člena je nativním členem organizace Microsoft Entra, která má sadu výchozích oprávnění, jako je schopnost spravovat informace o profilu. Když se někdo nový připojí k organizaci, obvykle se pro ně vytvoří tento typ účtu.
Do tohoto typu patří každý, kdo není uživatel typu host nebo nemá přiřazenou roli správce. Role člena uživatele je určená pro uživatele, kteří jsou v organizaci považováni za interní a jsou členy organizace Microsoft Entra. Tito uživatelé by ale neměli mít možnost spravovat jiné uživatele, například vytvářet a odstraňovat uživatele. Členští uživatelé nemají stejná omezení, která se obvykle uplatňují na uživatele typu host.
Uživatelé typu host
Uživatelé typu host omezili oprávnění organizace Microsoft Entra. Když někoho pozvete ke spolupráci s vaší organizací, přidáte ho do organizace Microsoft Entra jako uživatele typu host. Pak můžete poslat e-mail s pozvánkou, který obsahuje odkaz pro uplatnění nároku, nebo poslat přímý odkaz na aplikaci, kterou chcete sdílet. Uživatelé typu host se přihlásí pomocí své pracovní, školní nebo sociální identity. Ve výchozím nastavení můžou uživatelé microsoft Entra zvát uživatele typu host. Tento výchozí nastavení může zakázat někdo s rolí Uživatel Správa istrator.
Vaše organizace může potřebovat spolupracovat s externími partnery. Aby mohli tito partneři spolupracovat s vaší organizací, často potřebují určitou úroveň přístupu ke konkrétním prostředkům. V takové situaci je vhodné používat uživatelské účty typu host. Pak zajistíte, aby partneři měli správnou úroveň přístupu ke své práci, ne vyšší, než potřebují.
Přidání uživatelských účtů
Jednotlivé uživatelské účty můžete přidat prostřednictvím webu Azure Portal, Azure PowerShellu nebo rozhraní příkazového řádku Azure (CLI).
Pokud chcete použít Azure CLI, spusťte následující rutinu:
# create a new user
az ad user create
Tento příkaz vytvoří nového uživatele pomocí Azure CLI.
V případě Azure PowerShellu spusťte následující rutinu:
# create a new user
New-MgUser
Členské uživatele a účty hostů můžete vytvářet hromadně. Následující příklad ukazuje, jak hromadně pozvat uživatele typu host.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Vytvoříte soubor s hodnotami oddělenými čárkami (CSV) obsahující seznam všech uživatelů, které chcete přidat. Každému uživateli v tomto souboru CSV se pošle pozvánka.
Odstranění uživatelských účtů
Uživatelské účty můžete také odstranit prostřednictvím webu Azure Portal, Azure PowerShellu nebo rozhraní příkazového řádku Azure (CLI). V PowerShellu spusťte rutinu Remove-MgUser. V Azure CLI spusťte rutinu az ad user delete.
Když uživatele odstraníte, zůstane tento účet v pozastaveném stavu po dobu 30 dnů. Během tohoto 30denního období je možné uživatelský účet obnovit.