||

22T25 Tworzenie usługi katalogowej Azure Active Directory w usłudze Microsoft Entra.

Microsoft Entra Azure Active Directory Create new tenant

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:32 Azure Active Directory

1:12 Usługa Microsoft Entra

3:46 Tworzenie Azure Active Directory

5:52 Konfiguracja Azure Active Direcory

10:57 Podsumowanie

Transkrypcja

Cześć. Jako administrator sieci z pewnością potrzebujesz centralnego miejsca do zarządzania tożsamościami. Na początku czerwca Microsoft przedstawił usługę Microsoft Entra. Jest to centralne miejsce do zarządzania tożsamościami z wykorzystaniem Microsoft Azure Active Directory. Z poziomu Microsoft Entra możesz zarządzać tożsamościami z wielu usług chmurowych. W tym odcinku pokażę jak utworzyć dzierżawę w usłudze Microsoft Azure Active Directory. Zapraszam.

Azure Active Directory jest od czerwca dostępny w ramach pakietu Microsoft Entra. Jest to ogólne centrum do zarządzania tożsamościami. Tak jak to widać w pakiet tej usługi wchodzi Azure Active Directory, zarządzanie uprawnieniami Microsoft Entra, zweryfikowany identyfikator Microsoft Entra i tutaj centrum administracyjne Microsoft Entra. Zanim utworzę nową dzierżawę usługi Azure Active Directory pokażę właśnie jak wygląda w moim prywatnym katalogu Azure Active Directory usługa Microsoft Entra.

Po zalogowaniu mamy dostęp do trzech usług: Azure Active Directory, zarządzenie uprawnieniami i zweryfikowany identyfikator. Tworząc nową dzierżawę Azure Active Directory prawdopodobnie udalibyśmy się do przełączania katalogu. Niestety w tym miejscu nie mamy możliwości dodania nowego katalogu. Aby dodać nowy katalog Azure Active Directory należy udać się do platformy Azure. Tutaj jestem zalogowany prywatnym kontem Microsoft. Podczas tworzenia katalogu potencjalnie to może mieć znaczenie, gdyż utworzony katalog Azure Active Directory podczas dostępu z poziomu konta organizacji może potencjalnie przypisać inne uprawnienia do tego katalogu. Także jeżeli to jest nasz pierwszy katalog usługi Azure Active Directory to proponuję właśnie zalogować się na prywatne konto Microsoft i z poziomu nawet pustej subskrypcji utworzyć katalog Azure Active Directory. Tutaj spróbujemy przełączyć katalog, też nie ma takiej możliwości. Przechodzimy jeszcze raz do strony głównej portalu Azure. Tworzymy nowy zasób.

Tutaj mamy najpopularniejsze usługi platformy Microsoft Azure. Usługa Azure Active Directory znajduje się w kategorii tożsamość, jest ona już na pierwszej pozycji. Utworzymy bezpłatny katalog usługi Azure Active Directory. W tym celu naciskamy Utwórz. Może jeszcze wspomnę jaka jest różnica pomiędzy Azure Active Directory a Azure Active Directory B2C. Azure Active Directory jest alternatywą a w zasadzie cloudowym następcą usługi Active Directory, która była instalowana standardowo na systemie Windows Server. Usługa Azure Active Directory B2C umożliwia dodatkowo logowanie kontami społecznościowymi. Np Facebook, Google albo innymi dostawcami tożsamości.

Usługa Azure Active Directory posiada plan darmowy a Azure Active Directory B2C już od samego początku jest płatna. Dodatkowo Azure Active Directory B2C nadaje się jako centralna baza do logowania do konkretnej aplikacji. To znaczy: jeśli np jesteśmy programistami to wtedy można wykorzystać Azure Active Directory B2C jako bazę dla tożsamości. Jednocześnie umożliwić w aplikacji zalogowanie się już istniejącym kontem albo w innej usłudze Azure Active Directory albo w kontach społecznościowych. A więc tworzymy Azure Active Directory. Tu już mamy informację, że usługa B2C wymaga płatnej subskrypcji. Jeśli jesteśmy początkujący możemy tutaj zobaczyć szczegóły dotyczące właśnie różnic między tymi dwoma dzierżawami. Więc tak: w naszym przypadku potrzebujemy centralnego miejsca do zarządzania dostępem. Potencjalnie możemy wykorzystywać do usługi Office 365 ale nas interesuje głównie platforma Azure i inne aplikacje. Będziemy wykorzystywali Azure Active Directory jako centralną bazę zarządzania użytkownikami. Tutaj mamy informację, że umożliwia to skalowanie do milionów użytkowników wewnętrznych i zewnętrznych. Chodzi o to, że w tej usłudze mamy możliwość dodawania też istniejących usług katalogowych Azure Active Directory firm zewnętrznych, które z nami współpracują więc jeśli skonfigurujemy sobie np logowanie za pośrednictwem Azure AD w systemie Windows 10 albo Windows 11 to po odpowiednim skonfigurowaniu usługi Azure Active Directory nie będziemy musieli tworzyć dodatkowo kont dla współpracowników z firm zewnętrznych tylko uzyskają oni dostęp ze swoich istniejących kont. Tak w skrócie. Bardzo dużym plusem tego jest możliwość dodawania okresów ważności kont. A więc jeśli byśmy mieli współpracownika tymczasowego właśnie z firmy zewnętrznej, to wtedy jego konto wygasa po okresie umowy, którą precyzujemy np podczas tworzenia konta. Jest to bardzo bezpieczne rozwiązanie. Możemy ograniczać dostęp do aplikacji dla wybranych użytkowników. No i co najważniejsze – zarządzenie tożsamościami. Azure Active Directory B2C dostarcza głównie środowisko logowania i umożliwia też właśnie logowanie tak jak wspomniałem z wykorzystaniem zewnętrznych dostawców tożsamości.

Wybieramy Azure Active Directory i naciskamy Następny: Konfiguracja. Jesteśmy teraz w zakładce Konfiguracja. Będziemy tworzyli katalog w tym przypadku dla NetAdminPro. Wpisujemy nazwę organizacji NetAdminPro, początkową nazwę domeny, ona będzie miała właśnie rozszerzenie onmicrosoft.com. Tutaj dodam taką ciekawą rzecz, że jeśli tworzymy konto w usłudze Microsoft Teams, to pod spodem jest tworzony dla organizacji katalog Azure Active Directory. Plusem tworzenia konta organizacji z poziomu platformy Microsoft Azure jest dostosowanie początkowej nazwy domeny. W subdomenie onmicrosoft.com. Jeśli byśmy tworzyli z poziomu Teams’a to jest stworzone na podstawie nazwy organizacji i losowe cyfry. Niestety tej nazwy nie możemy później zmienić. Teraz utworzymy subdomenę netadminpro. Jest dostępna. Wprowadzamy kraj. To jest dość istotne ze względu na RODO. Mamy tutaj lokalizację centrum danych domyślnie Stany Zjednoczone. Bo był wybrany kraj/region Stany Zjednoczone. Gdy wybierzemy Polskę, jest w wybieranej jedno z centrum danych w Europie. Mamy pewność, że dane osobowe przechowywane w usłudze Azure Active Directory będą zlokalizowane w tzw. Europejskim Obszarze Gospodarczym. Naciskamy Następny i przechodzimy do zakładki Przeglądanie + tworzenie.

Tutaj mamy podsumowanie. Będzie to dzierżawa Azure Active Directory, bez B2C. Nazwę organizacji nadaliśmy NetAdminPro. Początkową nazwę domeny netadminpro.onmicrosoft.com. Kraj w którym ma się znajdować ten katalog a w zasadzie gdzie on prawnie powinien być zlokalizowany. To tak: My znajdujemy się w Polsce a lokalizacja będzie gdzieś w Europie. To jest ostatni krok tworzenia dzierżawy. Naciskamy utwórz. Musimy się zweryfikować, że jesteśmy człowiekiem i tworzy się dzierżawa. Dzierżawa została utworzona. Możemy kliknąć w nazwę dzierżawy, żeby odrazu do niej przejść. Zaloguje się kontem prywatnym, na którym byłem zalogowany w poprzednim katalogu i mam uprawnienia do NetAdminPro. Gdybym wybrał katalog firmowy, to uprawnienia nie byłyby zgodne. Możemy to zweryfikować.

Tutaj mam katalog OutIT spróbuje przełączyć. Mam tutaj tylko jeden katalog, który był właśnie tworzony początkowo też z poziomu konta prywatnego ale jestem zalogowany kontem z usługi Azure Active Directory. Katalogu OutIT. Więc ponownie przechodzę do prywatnego i jestem w katalogu NetAdminPro. Jeszcze mogę zobaczyć opcję Przełącz katalog. Tutaj mam trzy katalogi: katalog domyślny, który był tworzony automatycznie dla mojego konta Microsoft i katalog OutIT. Działa to w taki sposób, że konto z OutIT jest podpięte do konta prywatnego. Więc nie zależnie czy wtedy loguje się kontem tzw organizacji, to Azure Active Directory do tego katalogu czy kontem Microsoft to mam ten sam poziom uprawnień.

Może pokażę to też jak to dokładnie wygląda. No np udam się metodą konta prywatnego. Jeszcze raz. Niestety wymaga to kilkukrotnego przejścia do ustawień. Coś nie przełączyło. Jeszcze raz. Może jednak tym razem wybiorę konto organizacji. Tutaj też korzystam na wersji bezpłatnej. Mam dwóch użytkowników. Tutaj widać: wystawca tożsamości dla konta organizacji jest dostawca tożsamości Microsoft, czyli konto prywatne. Teraz jeszcze raz przełączę się do konta prywatnego. Zostałem przekierowany do katalogu netadminpro. Mam tutaj jednego domyślnego użytkownika. Jest to dokładnie moje konto Microsoft. Nie jest to konto w domenie netadminpro.onmicrosoft.com. Nazwa użytkownika ma trochę skomplikowaną nazwę. A w tym przypadku widać muszę logować się kontem Microsoft. Ogólnie mamy tutaj możliwość tworzenia nowych użytkowników. Właśnie to jest to o czym wspominałem, że możemy zapraszać konkretne osoby do współpracy. Tutaj tworzymy domyślnie użytkowników podając nazwę, wybierając subdomenę. Może być kilka domen dodanych. Możemy grupy przypisać. Dodatkowe informacje. A jeśli wybieramy zaproś użytkownika to podajemy trochę mniej danych. Jak widać podajemy nazwę, maila a w zasadzie jedyne co jest wymagane to mail służbowy. Wszystko pozostałe jest opcjonalne. Ale warto też wtedy przypisywać do odpowiedniej grupy. Tutaj możemy precyzować skąd użytkownik może się logować i odrzucimy dodawanie użytkownika. Mamy tutaj zewnętrzne tożsamości. Możemy konfigurować zasady współpracy.

Ogólnie usługi Azure, w tym Azure Active Directory nawet w wersji darmowej są bardzo bogate w ustawienia więc na ten moment zostawię Cię z tym i w następnym odcinku będę kontynuował konfigurację. Skoro już wiesz jak utworzyć bezpłatną dzierżawę w usłudze Microsoft Azure Active Directory rozsądnym wydawałoby się zacząć odrazu tworzenie kont. Jednak osobiście z doświadczenia polecam na początku się z tym wstrzymać jeżeli planujemy dodatkowo podpiąć oddzielną domenę. W następnym odcinku pokażę jak podpiąć własną domenę do usługi Microsoft Azure Active Directory. Do następnego razu.


Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *