אינטרנט 365: ניהול משתמשים והרשאות

מדריכים

Office 365 זהות וגישה: ניהול משתמשים והרשאות. מאמר זה מדגים איך לנהל חשבונות משתמש והרשאות ב־Office 365 באמצעות זהות וכלי ניהול גישה.

אנו מתחילים על ידי חקירה כללית של זהות 365 של Office ושל ניהול גישה. במקטע זה, אנו מדברים על איך ליצור סוגים שונים של משתמשים ולהעניק להם גישה למשאבים בזהות ובניהול הגישה של Office 365.

במיוחד, מקטע זה מתמקד ביצירת משתמשים פנימיים וחיצוניים עם Microsoft 365, פורטל Azure AD, או PowerShell של Azure AD. בנוסף, אנו מדגימים איך להשתמש בשלושת הכלים הללו כדי להעניק למשתמשים גישה למשאבים הנדרשים.

בנוסף, ניהול חשבונות משתמש והרשאות כולל תהליך איפוס סיסמאות משתמש. לכן, מאמר זה מתייחס לאיך לאפס סיסמאות עבור משתמשי Office 365 באמצעות שלושה שיטות.

לקריאה נוספת הגנה מפני התקפות פישינג ב-Office 365

מבט על ניהול זהות וגישה ב-Office 365

כלי ניהול זהות וגישה (IAM) ב-Office 365 מאפשר למנהלים לנהל חשבונות משתמש והרשאות. Microsoft 365 מציע 2 סוגים של משתמשים: פנימיים וחיצוניים.

משתמשים פנימיים הם חלק מהארגון, בעוד שמשתמשים חיצוניים שייכים לארגון אחר שנוסף למנהל Office 365 לצורך שיתוף פעולה.

פעם שאתה יוצר משתמש פנימי או חיצוני, אתה נותן לו גישה למשאבים דרך תפקידים או קבוצות. כדי לתת גישה דרך תפקידים, יש להוסיף את המשתמש לתפקיד.

כאשר ניתן למשתמשים גישה למשאבים דרך חברות בקבוצה, מומלץ להוסיף את המשתמשים לקבוצה. לאחר מכן, עליך להוסיף את הקבוצה לתפקיד Azure AD המתאים.

גישה זו מבטיחה כי המשתמשים יירשו את ההרשאות שהוקצו לקבוצה.

שים לב שעליך תחילה לאפשר את שיוך התפקיד בעת יצירת הקבוצה כדי להוסיף קבוצות לתפקידים. אך פעם אחת שאתה מפעיל את ההגדרה הזו, היא קבועה עבור הקבוצה.

באופן אלטרנטיבי, ניתן להעניק לקבוצה שניתן לשייך את התפקיד גישה לתפקיד מובנה, ולאחר מכן להוסיף משתמשים לקבוצה.

קרא גם איך ליישם בקרת גישה על בסיס תפקידים ב-Office 365

שיטה 1:

השתמש בפורטל M365 לניהול חשבונות משתמש והרשאות עם ניהול זהות וגישה ל-Office 365

בנוסף, אנו מספקים הדרכה שלב אחר שלב על יצירת קבוצת Microsoft 365, הוספת משתמשים לקבוצה ושיוך משתמש או קבוצה לתפקיד.

שלב 1 אפשרות 2: יצירת משתמשים פנימיים של Office 365 בפורטל Microsoft 365

כדי להתחיל בניהול משתמש והרשאות ב-Microsoft 365, נגשו ל-admin.microsoft.com עם חשבון שיש לו את ההרשאות המתאימות.

2. לאחר מכן, נגשו לדף משתמשים פעילים. לחצו על אייקון תפריט הניווט (אם זה לא פתוח כבר), ובחרו "משתמשים פעילים" מתוך הקטגוריה משתמשים.

3. בדף "משתמשים פעילים", לחצו על "הוספת משתמשים" כדי להתחיל בתהליך יצירת משתמש חדש. זה יכוונן אתכם דרך תהליך הוספת הפרטים הנדרשים של המשתמש ובמידת הצורך, הקצאת רישיונות ותפקידים.

קראו גם איך לנטר את לוחי הפעילות של Office 365 לשיפור האבטחה

שלב 1 אופציה 2: יצירת משתמשי Office 365 חיצוניים בפורטל Microsoft 365

כדי לוודא שמשתמשים אחרים יכולים להוסיף את לוח השנה של המשתמש החיצוני ללוח השנה שלהם, מומלץ להוסיף תחילה את המשתמש כאיש קשר לדואר עבור המשתמש ב-Exchange Online לפני יצירת משתמש חיצוני ב-Microsoft 365.

מבחינתי, אם תדלגו על שלב זה, משתמשים אחרים עשויים להתקל בבעיות בהוספת לוח השנה של המשתמש החיצוני לשלהם.

עם זאת, אם משתמשים פנימיים לא צריכים להוסיף את המשתמש החיצוני ללוחות השנה שלהם, תוכלו לדלג על שלב זה ולעבור לשלב 2 למטה:שלב 1: הוספת איש קשר לדואר עבור המשתמש ב-Exchange Online (אופציונלי).

admin.exchange.microsoft.comRecipients -> Contacts

admin.microsoft.comUsers

Invite userInvite

Using Conditional Access Policies to Enhance Office 365 Security

שלב 2 אפשרות 1: נתנות הרשאות לחשבונות באופן על-ידי תפקידים באולם 365.

להקצות תפקידים למשתמשים ב-Office 365, נווט אל פורטל Microsoft 365 ועקוב אחר ההוראות הבאות.

להקצות משתמשים פנימיים וחיצוניים לתפקידים ב-Microsoft 365. 

1. בתפריט, נפתח את תפקידים ונלחץ על הקצאת תפקיד

2. לאחר מכן, נלחץ על התפקיד Azure AD כדי להקצות משתמש, לדוגמה, "מנהל תמיכה."


3. בתפריט התפקיד, נלחץ על לשונית ה-Assigned. לאחר מכן, נלחץ על "הוספת משתמשים." סופית, נבחר את ה-משתמשים שברצוננו להקצות את התפקיד ונלחץ על הוספה

לאחר הוספתם, יש לבדוק בלשונית "Assigned" כדי לאמת שהם הוספו בהצלחה.

קראו גם בדקו דוחות משתמשים ב-Office 365

אפשרות 2 של שלב 2: הענקת הרשאות לחשבונות משתמשים דרך קבוצות בפורטל Microsoft 365

כדי להקצות למשתמשים גישה דרך קבוצות, יש לעקוב אחר תהליך של שני שלבים.

ראשית, הוסף את המשתמשים לקבוצה. לאחר מכן, הקצה את הקבוצה לתפקיד באמצעות ממשק ניהול התפקידים.

כפי שצוין מראש, יש לבחור את האפשרות להקצאת תפקידים לקבוצות בעת יצירת הקבוצה. לכן, על מנת להשתמש בקבוצות להקצאת תפקידי משתמש, יש ליצור קבוצה ולאפשר את יכולת ההקצאת תפקידים במהלך היצירה.

1. לעשות זאת, בפורטל Microsoft 365, יש להרחיב "צוותים וקבוצות," ולאחר מכן לבחור "צוותים פעילים וקבוצות פעילות."

2. לאחר מכן, כדי לפתוח את זרימת העבודה "הוספת קבוצה," יש ללחוץ על הוספת קבוצה.

בעת יצירת קבוצה חדשה, ניתן להוסיף משתמשים לקבוצה באזור "חברים" של זרימת העבודה. בנוסף, ניתן לסמן את תיבת הסימון "לאפשר למנהל להקצות תפקיד לקבוצה זו" באזור "הגדרות."

ניתן לעיין בתמונת המסך השנייה להגדרה זו.

3. להקצות תפקידים לקבוצה, יש לנווט בתפריט, להרחיב תפקידים, וללחוץ על הקצאת תפקידים.

4. לאחר לחיצה על הקצאת תפקידים, יש לבחור את התפקיד ב-Azure AD שברצונך להקצות לקבוצה, כגון "מנהל Helpdesk."

5. לאחר מכן, בחלונית התפקיד, יש ללחוץ על הלשונית המוקצים. לאחר מכן, יש ללחוץ על "הוספת קבוצות."

6. סוף סוף, בחר את הקבוצות שברצונך להקצות לתפקיד ולחץ על הוסף.

כאשר אתה מוסיף קבוצות לתפקיד, בדוק בכרטיסיית "הוקצה" כדי לוודא שהן נוספו בהצלחה.

קרא גם עשרת הכלים הטובים ביותר לניהול זיהוי וגישה (יתרונות וחסרונות)

איפוס סיסמת משתמש ב-Office 365 בפורטל של Microsoft 365

1. כדי לאפס סיסמת משתמש בפורטל של Microsoft 365, פתח את תפריט "משתמשים" בלוח הניווט. לאחר מכן, בחר "משתמשים פעילים" והחלק מעל המשתמש שדרושה איפוס הסיסמה.

2. לחץ על סמל המפתח שמופיע במעבר מעל החשבון. פעולה זו מפעילה את תהליך איפוס הסיסמה.

3. סוף סוף, בחר את האפשרויות הרצויות בפריסת "אפס סיסמה" ולחץ על "אפס סיסמה". פורטל Microsoft 365 מציג הודעת אישור עם הסיסמה החדשה.

קרא גם בדוק יומני רישום של Azure AD עבור התחברויות משתמש (הצלחות וכישלונות)

שיטה 2:

השתמש בפורטל Azure AD כדי לנהל חשבונות משתמש והרשאות עם Office 365 IAM

 פורטל זה מספק מגוון יכולות וכלים שמאפשרים למנהלים לנהל חשבונות משתמש, כולל להגדיר הרשאות ועוד. במקטע זה נבחן את השלבים הקריטיים לניהול חשבונות משתמש בפורטל Azure AD.

שלב 1 אפשרות 1: יצירת משתמשים פנימיים של Office 365 בפורטל Azure AD

1. תחילה, היכנס portal.azure.com ונווט לאפשרות משתמשים בתפריט.


2. אז, לחץ על "+הוסף" ובחר באפשרות "משתמש". בסופו של דבר, בחר את תבנית צור משתמש, ספק את הפרטים הנדרשים ולחץ על צור.

קרא גם New-MgGroupMemberByRef – הוספת משתמשים לקבוצת Azure AD באמצעות Powershell

שלב 1 אפשרות 2: יצירת משתמשים חיצוניים של Office 365 בפורטל Azure AD

קודם, איזהרתי על הוספת איש קשר בדואר עבור המשתמש לפני יצירת משתמש חיצוני. נמלץ זאת אם המשתמשים הפנימיים צריכים להוסיף את לוח השנה של המשתמש החיצוני לשלהם.

כדי ליצור איש קשר בדואר, היכנסו לדף אנשי קשר באינטרנט Exchange בכתובת admin.exchange.microsoft.com. לאחר התחברות, נווטו אל עמוד הנמענים -> אנשי קשר. לאחר מכן, לחצו על "הוספת איש קשר בדואר" והשלימו את השלבים הנדרשים.

כדי לשלוח הזמנה למשתמש חיצוני ב-Azure AD לאחר השלמת השלב האופציונלי למעלה, עקבו אחר השלבים הבאים:

1. תחילה, עקבו אחר המדריך "שלב 1 מתוך 2" עד להגעה לשלב 2.

2. לאחר מכן, בחרו בתבנית "הזמנת משתמש". לבסוף, מלאו את המידע הנדרש ולחצו על הזמנה.


לאחר השלמת השלבים לעיל, המשתמש מקבל דואר אלקטרוני מ-Microsoft.

הדואר מכיל קישור לסיום הרישום שלו ב-Azure AD. המשתמש צריך ללחוץ על הקישור כדי להשלים את התהליך.

גם קראוGet-MgUser – מציאת משתמשים ב Azure AD וסירוג בעזרת סקript PowerShell

שלב 2 אפשרות 1: הענקת הרשאות לחשבונות משתמשים דרך תפקידים בתשתית Azure AD

1. אחרי שיצרת משתמש, תשתמש בתשתית Azure AD כדי להענקת תפקידים למשתמש. לשם כך, תקליק על "תפקידים ואדמיניסטרטורים" בתפריט Azure Director Active לבצע את המשימה הזו.

2. אחר כך, תבחר את התפקיד שאתה רוצה להעניק למשתמש. אם נדרשה, תשתמש בפונקציית החיפוש.

3. אחר מכן, תקליק "+ הוסף הענקים" כדי לסיים את התהליך.

גם קראואיך להפעיל את פעילות הסיסמה החדשה על תשתית Azure AD Connect

שלב 2 אפשרות 2: הענקת הרשאות לחשבונות משתמשים דרך קבוצות בתשתית Azure AD

בשלב 3 של השלב הראשון, הדגשנו איך להקצות הרשאות למשתמשים דרך Azure AD תפקידים. אולם, שיטה טובה יותר היא להקצות תפקידי משתמשים על סמך חברות בקבוצה.

עקוב אחרי השלבים הבאים כדי להשלים את המשימות ב-Azure AD:

ראשית, צור קבוצה ואפשר לה הקצאת תפקידי AD. שנית, הוסף את המשתמשים כחברים בקבוצה החדשה.

לבסוף, הקצה את התפקידים שאתה רוצה להקצות למשתמשים על ידי הקצאת התפקידים לקבוצת Azure AD.

הנה השלבים המעשיים:

1. לחץ על "קבוצות" בתפריט ולאחר מכן לחץ על "קבוצה חדשה".



2. הפעל "תפקידי Azure AD מוקצים לקבוצה", בחר את האפשרויות בצילום המסך למטה ולחץ "צור" כדי להשלים את יצירת הקבוצה.


לאחר מכן, עקוב אחרי השלבים הבאים כדי להוסיף משתמשים לקבוצה ולהקצות לה תפקיד:

3. לחץ על הקבוצה בתפריטי הקבוצות, לאחר מכן לחץ על "חברים" בדף הקבוצה. לאחר מכן, לחץ על "+ הוסף חברים" כדי להוסיף משתמשים לקבוצת Azure AD.

4. כדי להעניק לקבוצה תפקידים ברשת Azure Active Directory, לחצו על "תפקידים ומנהלים" בתפריט Azure Active Directory. אחר כך, בחרו את התפקיד שאתם רוצים להעניק לקבוצה. ולבסוף, לחצו "+ הוסף הערכים של תפקידים".


גם קראו איך להתחבר ל-Office 365 בעזרת PowerShell

שיחזור סיסמה משתמש ב-Office 365 בתוך המפעל Azure AD

מנהלי המערכת צריכים להיות מסוגלים לשיחזור סיסמות במטרה לנהל את חשבונות המשתמשים והרשאות בעזרת הפתרונות למנהגי זהות וניהול גישה של Office 365. לכן, מועיל לדעת שסיסמות משתמשים יכולות להיות שחזרות במפעל Azure AD.

1. לחצו על נקודת המשתמשים כדי לשיחזור את החשבון של משתמש במפעל Azure Active Directory.

2. השתמשו בפונקציית חיפוש כדי לבחור את המשתמש. אחר כך, סייםו את התהליך על-ידי לחיצה על "שחזור סיסמה" הממוקם מעל פרטי המשתמש.

גם קראואיך לבדוק אם MFA מופעל באופיס 365 עבור משתמשים

שיטה 3:

השתמשו בPowerShell כדי לנהל חשבונות משתמשים והגנות בעזרת הניהול הזהות והגישה באופיס 365

עכשיו, תעבורו לשיטה השלישית והאחרונה, שמעברת לשימוש בPowerShell כדי לבצע את אותם המשימות.

ראשית, אנחנו צריכים להתקנו את המודלים הנדרשים למשימות הזו.

שלב 1: התקנות המודלים הנדרשים: AzureAD, ExchangePowerShell, Az.Accounts ו Az.Resources

1. פתחו PowerShell במסגרת המנהל. הסיקו את PowerShell, ואחר כך לחצו "בהליכת מנהל כאחריות."

2. כדי לפתוח מקום חדש שיבצע פקודות מהמודלים המורחבים, ביצעו את הפקודה הבאה אחרי שפתחתם PowerShell במסגרת המנהל.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. אז, כדי להתקין את המודלים הנחוצים של PowerShell, בואו נרצה את הפקטים הבאים. הפקט הראשון מותקן את המודלים, בעוד השני מביא אותם להפעלת החדר הנוכחית שלך בPowerShell 

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

גם קרא לזהעודף קבוצת אדמיניסטריות פעילה ושיוצאה לCSV בעזרת PowerShell

שלב 2 אפשרות 1: יצירת משתמשים פנימיים ב-Office 365 ב-PowerShell

1. חבר ל-Azure AD שלך על-ידי ביצוע הפקט הזה. זה מעודד את PowerShell לבקש פרטי הכניסה שלך .

Connect-AzureAD

2. אחרי שחוברת, בואו נרצה את הפקטים הבאים כדי ליצור משתמש חדש ב-Office 365: 

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

גם קרא לזהGet-AzureADAuditSignInLogs – מציאת רישום הכניסות ב-30 הימים האחרונים ב-PowerShell

שלב 2 אפשרות 2: יצירת משתמשים חיצוניים ב-Office 365 ב-PowerShell

כפי שהוזכר בשתי השיטות הקודמות, משתמש חיצוני יכול להוסיף באמצעות יצירתו בתור קונט דוא"ל של דוא"ל, שזה שלב אופציונלי.

אם המשתמשים הפנימיים צריכים להוסיף את הלוח הזמנים של המשתמש חיצוני אל מקורביהם, אז עשו את השלבים 1 עד 2 כדי להוסיף קונט דוא"ל באמצעות PowerShell. באפליקציה, skip לשלב 3.

1. כדי להתחבר ל Exchange Online בקונSOLEL שנפתח בשלב 2 אפשר 1, הרצו את הפקודה הבאה והזנו את פרטי ה התחברות שלכם בעת שפקודה מבקשת אותם PowerShell.

Connect-ExchangeOnline

2. הוסיף קונט דוא"ל למשתמש חיצוני המתכוון להוזמנה בעזרת הפקודה הזו. שינויים בחלקים האחרונים של הפקודה על מנת להתאים אותם לצרכים שלכם.

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. בהמשך, שלחו את ההזמנה על ידי רציית הפקודה הנתנה: שינוי הפרמטרים לפני שיריצת הפקודה.

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

קראו גם What 0xc000006a – User Logon Misspelled or Bad Password

שלב 3 אפשר 1: הענקת הרשאות לחשבונות משתמשים דרך תפקידים בPowerShell.

הריץ את הפקודות הבאות כדי להקצות משתמש לתפקיד. שנה את הפקודות כדי לעמוד בדרישותיך.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#שלב 1: קבל את ה- ID של המשתמש שברצונך להוסיף לתפקיד:

#שלב 2: קבל את ה- ID של התפקיד שברצונך להקצות למשתמש

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#שלב 3: הקצה את התפקיד למשתמש

שלב 3 אופציה 2: הענקת הרשאות לחשבונות משתמש באמצעות קבוצות ב- PowerShell

כדי להקצות תפקיד למשתמש דרך חברות הקבוצה שלו, הרץ את הפקודות בסקריפט שבהמשך.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#שלב 1: יצירת קבוצת סידור תפקיד קבוצה ב Azure Active Directory היפטר מהשלב הזה אם יש לך קבוצה סידור תפקיד קיימת

#שלב 2: מימוש בשלב GET בעזרת PowerShell למימוש בשלב ID של המשתמש שאתה רוצה להוסיף לתפקיד:

#שלב 3: הוספת משתמש לקבוצת AAD

#שלב 4: הוספת קבוצת עזראלי AD לתפקיד עזראלי AD

גם קרא SSPR: אפשר הגהה עצמאי לסיסמה ב Azure Active Directory

שינוי סיסמת משתמש ב-Office 365 בעזרת PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/