22T27 Zarządzanie użytkownikami i grupami Azure Active Directory w usłudze Microsoft Entra
Microsoft Entra Azure Active Directory User Management
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:17 Konfiguracja Użytkowników – Platforma Microsoft Entra
3:29 Dodawanie roli w katalogu
6:20 Logowanie
8:29 Grupy
10:54 Podsumowanie
Transkrypcja
Cześć. Chcesz dowiedzieć się jak zarządzać użytkownikami i grupami w usłudze Azure Active Directory? Jeśli tak to dobrze trafiłeś. W tym odcinku pokażę jak to zrobić z poziomu portalu Microsoft Entra. Zapraszam.
Aby skonfigurować użytkowników w usłudze Azure Active Directory należy przejść do platformy Microsoft Entra. Zalogować się do katalogu, którym chcemy zarządzać. Rozwijamy zarządzenie usługą Azure Active Directory… i w tym momencie interesują nas dwa obszary – Users i Groups. Na początku pokażę jak wygląda tworzenie użytkowników. To co tutaj widać to jest nowe środowisko zarządzania. Widać, że nie jest jeszcze odpowiednio zoptymalizowane. Jeżeli chcemy zobaczyć szczegóły to musimy środkowym przyciskiem myszy przesunąć się na boki lub skorzystać z szerszego monitora. Ewentualnie można zwinąć obszary konfiguracyjne. Już on uwidocznia praktycznie wszystko. Użytkowników możemy tworzyć poprzez kreator albo zbiorczo importując pliki csv. No więc nowego użytkownika tworzymy wybierając Nowy użytkownik, następnie Utwórz nowego użytkownika. Wyświetla się formularz. Więc jako nazwę logowania testowo piszę np. demo i użytkownik będzie miał nazwę demo@netadminpro.pl. Można też zmienić na onmicrosoft ale nie potrzebujemy akurat tej domeny.
Jeśli tworzymy konto dla użytkownika, żeby zaraz mu przekazać odpowiednie informacje, możemy odrazu skopiować nazwę użytkownika do schowka. Wtedy po wklejeniu będzie gotowa nazwa. Możemy ją wysłać mu np. mailem albo w komunikatorze. Tutaj nadajemy nazwę, która będzie widoczna dla użytkownika. Ona będzie widoczna np w tym obszarze. Dlatego tutaj mamy wpisać np Użytkownik demo, imię i nazwisko jest opcjonalne. Hasło może być samo wygenerowane. Wtedy będzie w miarę silne i nie musimy sami kombinować o nazewnictwie. Ewentualnie możemy utworzyć hasło sami, np, identyczne jak nazwa użytkownika co jest oczywiście niezalecane i wtedy użytkownik po pierwszym logowaniu może być też zmuszony do zmiany hasła. Dlatego jest to hasło początkowe a nie hasło na stałe. Możemy nadać np. sami. Jak widać nie mamy podglądu hasła. Więc tą opcję warto stosować, jeżeli już mamy jakiś przygotowany zbiór haseł i metodą kopiuj – wklej tworzymy takie hasło. Więc w tym przypadku wezmę automatycznie generuj hasło. Możemy dodać użytkownika odrazu do grupy. Niestety jeszcze nie utworzyłem żadnych grup.
Możemy też dodać rolę w katalogu. Jeśli np użytkownik miałby być jakimś zarządcą konkretnej usługi np. miałby zarządzać tworzeniem grup i wszystkim co jest związane z grupami użytkowników. Wtedy zaznaczamy Administrator grup albo jeżeli użytkownik miałby zajmować się procesem resetowania hasła, wtedy wybieramy Administrator haseł. W miarę możliwości lepiej nie nadawać użytkownikom roli Administratora globalnego. Tego typu użytkownik ma uprawnienia do całego katalogu usługi Azure Active Directory. Akurat mój użytkownik jest z takim uprawnieniem. Tutaj widać, że role mogą być do różnych aplikacji związanych z platformą Azure. Nawet Microsoft przewidział rolę dotyczącą zajmowania się drukarkami. Przy rolach też mamy takie jakby wstążki. Wszędzie gdzie widać taką ikonę oznacza to, że jest to nowość w platformie Azure Active Directory. Będzie to zwykły użytkownik, dlatego nie daje mu żadnej dodatkowej roli administracyjnej. Możemy opcjonalnie zablokować możliwość logowania ale jest to opcja, która nie ma za bardzo sensu w tym momencie. Lokalizacja użycia – wpisujemy kraj, w którym użytkownik będzie miał się logować. Tutaj jeszcze opcjonalne informacje o stanowisku. Można wybrać też Menagera. Jest tutaj widoczne tylko moje konto. Bo aktualnie nie ma więcej żadnych innych użytkowników. Więc tworzę takiego użytkownika klikając Utwórz. Użytkownik został utworzony. Naciskamy tutaj odśwież. Pojawił się tutaj nowy użytkownik. W tożsamości będzie wpisane cały czas, że jest on w katalogu netadminpro.onmicrosoft.com z tego względu, że domyślna subdomena jest w domenie onmicrosoft i tutaj jest właśnie ta cała różnica. Ja się logowałem kontem Microsoft.
Dlatego mam tożsamość Microsoft Acount. A użytkownik demo jest stworzony w ramach katalogu Azure Active Directory. To w polu tożsamość ma netadminpro.onmicrosoft.com. Więcej szczegółów nie ma. Można wrócić do poprzedniego widoku klikając w ten pomarańczowy pasek. Wtedy ta tabelka jest taka bardziej zwięzła ale zawiera wszystkie te same informacje plus pasek przewijania. Żeby wrócić do poprzedniego widoku trzeba poprostu odświeżyć przeglądarkę i zalogujmy się na takiego użytkownika demo. Nie skopiowałem hasła ani nie zapisałem jak wyświetliło się pytanie o zapisanie hasła. Dlatego pokażę odrazu jak zresetować takie hasło. Przechodzimy do ustawień użytkownika. Następnie klikamy resetuj hasło i resetuj hasło. Od razu wyświetla się hasło tymczasowe, które sobie kopiujemy do schowka i przełączę się na tego nowego użytkownika. Wybieram zaloguj się za pomocą innego konta. Warto zapamiętać główna nazwa użytkownika: demo@netadminpro.pl. Wybieramy użyj innego konta, wpisuje tą nazwę użytkownika. Następnie dalej i wklejam skopiowane hasło. Wklejam to hasło jeszcze raz i dwa razy wpisuje nowe hasło. Naciskam Zaloguj. Tutaj się przyznam, że dla celów testowych chciałem wpisać za hasło poprostu domenę i z tego powodu. Nie zostało to dopuszczone. Tutaj będzie najprościej skorzystać poprostu z menagera haseł. Niż kombinować z tymczasowym hasłem. Takie powinno zadziałać.
Tutaj na chwilę pominę bo tutaj by chodziło o dodawanie weryfikacji dwuetapowej i w późniejszym etapie usunięcie hasła. Więc jestem w kontekście katalogu netadminpro, jak wybiorę przełącz katalog to nie mam innych katalogów. Widzę standardowo dwóch użytkowników i jak chciałbym dodać nowego użytkownika to nie mogę tego zrobić. Ale opcja zapraszania użytkownika zewnętrznego co ciekawe działa. Zobaczmy co tutaj się pojawi. To akurat działa, ale później to będę testował.
Zobaczmy grupy. Wpiszmy np. Grupa testowa. Właścicielem tej grupy będzie użytkownik demo. Tutaj są widoczne różne usługi i użytkownicy. Członkiem będzie tylko demo. I tworzymy. Teraz odświeżę widok grup i jest utworzona grupa testowa. Co ciekawe użytkownik demo, który jest zwykłym użytkownikiem, bez żadnych specjalnych uprawnień, mógł utworzyć grupę. W szczegółach użytkownika demo mamy informację, że jest w jednej grupie. Nie posiada żadnych ról platformy Azure, żadnych ról katalogu. Zobaczmy ustawienia grup. Tutaj wiadomo już dlaczego mogłem utworzyć grupę. Domyślnie jest zaznaczone na tak. Tak samo jest z grupami platformy Microsoft 365. Każdy użytkownik może sobie tworzyć grupę. Tutaj są jeszcze grupy dotyczące katalogu. Przełączę się teraz na użytkownika, który ma więcej uprawnień. Zobaczmy grupy. Jest tutaj grupa testowa.
Jako administrator katalogu Azure AD mogę sam siebie dodać i też w zasadzie innych użytkowników, jeżeli by istnieli do grupy w katalogu Azure AD. Widać, że ten proces trochę trwa i pojawiłem się tutaj jako dodatkowy członek grupy. Możnaby też sprecyzować zasady nazewnictwa. To jest przydatne, jeżeli chcemy mieć kontrolę właśnie nad organizacją nazw. Jak mogłeś zauważyć warto wcześniej dobrze przygotować środowisko Azure Active Directory przed udostępnieniem go dla użytkowników. W przedstawionej konfiguracji użytkownicy mogli tworzyć grupy, co nie zawsze jest zamierzone. Niestety takie jest domyślne ustawienie usługi Azure Active Directory.
Mam nadzieję, że podobają Ci się tematy związane z usługami Azure. Daj znać w komentarzu co sądzisz o tego typu tematach. Do następnego razu.