Azure Active Directory'de yönetim temsilcisiDelegate administration in Azure Active Directory

Kuruluş büyümesi ile karmaşıklığı gelir.With organizational growth comes complexity. Bazı Azure Active Directory (AD) yönetici rolleri erişim yönetimiyle iş yükünü azaltmak için bir ortak yanıt olan.One common response is to reduce some of the workload of access management with Azure Active Directory (AD) admin roles. Mümkün olan en küçük ayrıcalık uygulamalarını erişmek ve görevlerini gerçekleştirmek için kullanıcılara atayabilirsiniz.You can assign the least possible privilege to users to access their apps and perform their tasks. Genel yönetici rolüne her uygulama sahibe atamayın bile var olan küresel Yöneticiler uygulama yönetimi sorumluluklarını yerleştirme.Even if you don't assign the Global Administrator role to every application owner, you're placing application management responsibilities on the existing Global Administrators. Daha fazla merkezi olmayan bir yönetim doğru bir kuruluş taşıma için birçok neden vardır.There are many reasons for an organization move toward a more decentralized administration. Bu makalede, kuruluşunuzdaki temsilci planlamanıza yardımcı olabilir.This article can help you plan for delegation in your organization.

Temsilci izinleri karşı MerkeziCentralized versus delegated permissions

Bir kuruluş büyüdükçe, belirli yönetici rollerine hangi kullanıcıların olduğunu takip etmek zor olabilir.As an organization grows, it can be difficult to keep track of which users have specific admin roles. Bir çalışan bunlar olmamalıdır yönetici hakları varsa, kuruluşunuzun güvenlik ihlallerini daha elverişli olabilir.If an employee has administrator rights they shouldn’t, your organization can be more susceptible to security breaches. Genellikle, kaç Yöneticiler, destek ve izinlerini nasıl daha parçalı olduğunu boyutuna ve dağıtımınızın karmaşıklığını bağlıdır.Generally, how many administrators you support and how granular their permissions are depends on the size and complexity of your deployment.

  • Küçük veya kavram kanıtı dağıtımlarda, bir veya birkaç yöneticiler her şeyi yapabilirsiniz; Temsilci yoktur.In small or proof-of-concept deployments, one or a few administrators do everything; there's no delegation. Bu durumda, her yöneticinin genel yönetici rolü oluşturun.In this case, create each administrator with the Global Administrator role.
  • Daha fazla makineleri, uygulamalar ve Masaüstü ile büyük dağıtımlarda, daha fazla temsilci gereklidir.In larger deployments with more machines, applications, and desktops, more delegation is needed. Birçok yönetici daha belirli işlevsel sorumlulukları (roller) olabilir.Several administrators might have more specific functional responsibilities (roles). Örneğin, bazı ayrıcalıklı kimlik yöneticileri olabilir ve diğer uygulama yöneticileri olabilir.For example, some might be Privileged Identity Administrators, and others might be Application Administrators. Ayrıca, yöneticinin yalnızca belirli cihazlar gibi nesne gruplarını yönetin.Additionally, an administrator might manage only certain groups of objects such as devices.
  • Daha da büyük dağıtımları daha da ayrıntılı izinler yanı sıra büyük olasılıkla yöneticilerine sıra dışı veya karma rolleri gerektirebilir.Even larger deployments might require even more granular permissions, plus possibly administrators with unconventional or hybrid roles.

Azure AD portalında yapabilecekleriniz herhangi rolünün tüm üyelerinin görüntülemek, yardımcı olabilecek hızlı dağıtım ve temsilci izinleri denetleyin.In the Azure AD portal, you can view all the members of any role, which can help you quickly check your deployment and delegate permissions.

Azure AD'de yönetici erişimi yerine Azure kaynaklarına erişim için temsilci seçme içinde ilgileniyorsanız bkz rol tabanlı erişim denetimi (RBAC) rolüne atamak.If you’re interested in delegating access to Azure resources instead of administrative access in Azure AD, see Assign a Role-based access control (RBAC) role.

Temsilci planlamaDelegation planning

İhtiyaçlarınıza uygun bir temsilci modeli geliştirmek için kendi iş.It's work to develop a delegation model that fits your needs. Bir temsilci modeli geliştirmek bir yinelemeli tasarım işlemdir ve aşağıdaki adımları öneririz:Developing a delegation model is an iterative design process, and we suggest you follow these steps:

  • Gereksinim duyduğunuz rolleri tanımlamaDefine the roles you need
  • Temsilci uygulama yönetimiDelegate app administration
  • Uygulamaları kaydetme hakkıGrant the ability to register applications
  • Uygulama sahipliğini devretmeDelegate app ownership
  • Güvenlik planı geliştirmeDevelop a security plan
  • Acil Durum hesapları oluşturEstablish emergency accounts
  • Güvenli, yönetici rolleriSecure your administrator roles
  • Ayrıcalıklı yükseltme geçici olunMake privileged elevation temporary

Rolleri tanımlamaDefine roles

Yöneticiler ve bunların nasıl rolleriyle eşleyebileceğinizi tarafından gerçekleştirilen Active Directory görevleri belirleyin.Determine the Active Directory tasks that are carried out by administrators and how they map to roles. Yapabilecekleriniz ayrıntılı rol açıklamalarını görüntülemek Azure portalında.You can view detailed role descriptions in the Azure portal.

Her görev, sıklığı, önem derecesi ve zorluk değerlendirilmelidir.Each task should be evaluated for frequency, importance, and difficulty. Bu ölçütler görev tanımı önemli yönlerini olduğu bir izni temsilcisi olup olmadığını, yöneten:These criteria are vital aspects of task definition because they govern whether a permission should be delegated:

  • Düzenli olarak yapın, sınırlı risk ve önemsiz için görevleri temsilci seçme için iyi adaylar tamamlandı.Tasks that you do routinely, have limited risk, and are trivial to complete are excellent candidates for delegation.
  • Nadiren yapmak ancak kuruluş genelinde harika bir etkiye sahip ve yüksek insanları gerekli görevler için temsilci seçme önce dikkatle düşünülmelidir.Tasks that you do rarely but have great impact across the organization and require high skill levels should be considered very carefully before delegating. Bunun yerine, geçici olarak bir hesap için gerekli olan rol yükseltmesine veya görev yeniden atayın.Instead, you can temporarily elevate an account to the required role or reassign the task.

Temsilci uygulama yönetimiDelegate app administration

Kuruluşunuzdaki uygulamaları çoğalan temsilci modelinizin zorlayabilir.The proliferation of apps within your organization can strain your delegation model. Genel yönetici yükünü uygulama erişim yönetimi için yerleştirir, Zaman geçtikçe, model, yükü artırır olasıdır.If it places the burden for application access management on the Global Administrator, it's likely that model increases its overhead as time goes on. Kişiler gibi Kurumsal uygulamaları için yapılandırma öğeleri için genel yönetici rolü verdiyseniz, bunların artık daha az ayrıcalıklı rollerde boşaltabilirsiniz.If you have granted people the Global Administrator role for things like configuring enterprise applications, you can now offload them to the following less-privileged roles. Bunun yapılması, güvenlik duruşunuzu artırmaya yardımcı olur ve talihsiz hataları olasılığını azaltır.Doing so helps to improve your security posture and reduces the potential for unfortunate mistakes. Çoğu ayrıcalıklı uygulama Yönetici rolü şunlardır:The most-privileged application administrator roles are:

  • Uygulama Yöneticisi , dizinde kayıtları, çoklu oturum açma ayarları, kullanıcı ve Grup atamalarını ve lisanslama, uygulama proxy'si ayarları dahil olmak üzere tüm uygulamaları yönetme olanağı veren rolü ve onay.The Application Administrator role, which grants the ability to manage all applications in the directory, including registrations, single sign-on settings, user and group assignments and licensing, Application Proxy settings, and consent. Koşullu erişimi yönetme hakkı vermez.It doesn't grant the ability to manage Conditional Access.
  • Bulut uygulaması Yöneticisi (hiçbir şirket içi izni olduğundan) uygulama proxy'si ayarları için erişim izni olmayan dışında veren tüm becerileri, uygulama yöneticisi rolü.The Cloud Application Administrator role, which grants all the abilities of the Application Administrator, except it doesn't grant access to Application Proxy settings (because it has no on-premises permission).

Temsilci uygulama kaydıDelegate app registration

Varsayılan olarak, tüm kullanıcılar, uygulama kayıtları oluşturabilir.By default, all users can create application registrations. Seçerek uygulama kayıtları oluşturma olanağı vermek için:To selectively grant the ability to create application registrations:

  • Ayarlama kullanıcılar uygulamaları kaydedebilir için Hayır ' kullanıcı ayarlarıSet Users can register applications to No in User settings
  • Uygulama geliştiricisi rolüne kullanıcı atayınAssign the user to the Application Developer role

Seçmeli olarak bir uygulama verilerine erişmek için izin vermeyi olanağı vermek için:To selectively grant the ability to consent to allow an application to access data:

  • Ayarlama kullanıcılar uygulamaları kendileri adına şirket verilerine erişme izni verebilir için Hayır ' kullanıcı ayarlarıSet Users can consent to applications accessing company data on their behalf To No in User settings
  • Uygulama geliştiricisi rolüne kullanıcı atayınAssign the user to the Application Developer role

Bir uygulama geliştiricisi, yeni bir uygulama kaydı oluşturduğunda, bunlar ilk sahibi olarak otomatik olarak eklenir.When an Application Developer creates a new application registration, they are automatically added as the first owner.

Uygulama sahipliğini devretmeDelegate app ownership

Uygulama bile dağıtımına erişim temsilci seçme için ayrı Kurumsal uygulamalara sahipliği atayabilirsiniz.For even finer-grained app access delegation, you can assign ownership to individual enterprise applications. Bu uygulama kayıt sahiplerini atamak için mevcut destek tamamlar.This complements the existing support for assigning application registration owners. Sahiplik, kurumsal uygulamalar dikey penceresinde her Kurumsal uygulama temelinde atanır.Ownership is assigned on a per-enterprise application basis in the Enterprise Applications blade. Sahipler oldukları Kurumsal uygulamaları yönetebilir avantajdır.The benefit is owners can manage only the enterprise applications they own. Örneğin, Salesforce uygulama için bir sahip atayabilir ve bu sahibi, Salesforce ve başka bir uygulama için yapılandırma ve erişimi yönetebilir.For example, you can assign an owner for the Salesforce application, and that owner can manage access to and configuration for Salesforce, and no other applications. Kurumsal bir uygulamanın birçok sahipleri olabilir ve birçok kurumsal uygulamalar için sahip bir kullanıcı olabilir.An enterprise application can have many owners, and a user can be the owner for many enterprise applications. İki uygulama sahibinin rol vardır:There are two app owner roles:

  • Kurumsal uygulama sahibi rol yönetme olanağı veren ' çoklu oturum açma ayarları, kullanıcı ve Grup atamaları dahil ve ek sahipleri ekleme kullanıcı sahip kurumsal uygulamalar.The Enterprise Application Owner role grants the ability to manage the ‘enterprise applications that the user owns, including single sign-on settings, user and group assignments, and adding additional owners. Bu, uygulama proxy'si ayarları veya koşullu erişim yönetme olanağı vermek değil.It doesn't grant the ability to manage Application Proxy settings or Conditional Access.
  • Uygulama kayıt sahibi rol için ek sahipleri ekleme ve uygulama bildirimi dahil olmak üzere kullanıcı sahip app uygulama kayıtları yönetme olanağı verir.The Application Registration Owner role grants the ability to manage application registrations for app that the user owns, including the application manifest and adding additional owners.

Güvenlik planı geliştirmeDevelop a security plan

Azure AD, planlama ve Azure AD yönetim rolleri üzerinde bir güvenlik planı yürütme için kapsamlı bir kılavuz sağlar ayrıcalıklı erişimin güvenliğini sağlama ve karma bulut dağıtımları için.Azure AD provides an extensive guide to planning and executing a security plan on your Azure AD admin roles, Securing privileged access for hybrid and cloud deployments.

Acil Durum hesapları oluşturEstablish emergency accounts

Sorun duyduğunuzda, kimlik yönetimi deposuna erişimi sürdürmek istiyorsanız, Acil Durum erişim hesapları'na göre hazırlama Acil Durum erişimi yönetici hesapları oluşturma.To maintain access to your identity management store when issue arises, prepare emergency access accounts according to Create emergency-access administrative accounts.

Güvenli, yönetici rolleriSecure your administrator roles

Ayrıcalıklı hesapların denetim elde saldırganlar Bilim insanları için inanılmaz zarar yapın, böylece bu hesapların ilk olarak kullanarak korumak temel erişim ilkesi kullanılabilir varsayılan olarak tüm Azure AD kiracıları için (genel Önizleme aşamasında).Attackers who get control of privileged accounts can do tremendous damage, so protect these accounts first, using the baseline access policy that is available by default to all Azure AD tenants (in public preview). Çok faktörlü kimlik doğrulama ilkeleri uygular üzerinde ayrıcalıklı Azure AD hesaplar.The policy enforces multi-factor authentication on privileged Azure AD accounts. Aşağıdaki Azure AD rolleri Azure AD temel ilke tarafından ele alınmaktadır:The following Azure AD roles are covered by the Azure AD baseline policy:

  • Genel yöneticiGlobal administrator
  • SharePoint yöneticisiSharePoint administrator
  • Exchange YöneticisiExchange administrator
  • Koşullu Erişim YöneticisiConditional Access administrator
  • Güvenlik yöneticisiSecurity administrator

Ayrıcalık geçici olarak YükseltElevate privilege temporarily

Çoğu günlük etkinlikler için tüm kullanıcıların genel yönetici haklarına ihtiyacınız ve bunların hepsi kalıcı olarak genel Yönetici rolüne atanması gerekir.For most day-to-day activities, not all users need global administrator rights, and not all of them should be permanently assigned to the Global Administrator role. Kullanıcıların genel yönetici izinlerine gerek duyduğunuzda, Azure AD'de rol atama etkinleştirmelisiniz Privileged Identity Management kendi hesabını veya başka bir yönetici hesabı.When users need the permissions of a Global Administrator, they should activate the role assignment in Azure AD Privileged Identity Management on either their own account or an alternate administrative account.

Sonraki adımlarNext steps

Azure AD rol açıklamalarını başvuru için bkz: Azure AD'de yönetici rolleri atamaFor a reference to the Azure AD role descriptions, see Assign admin roles in Azure AD