Office 365 Identity & Access: управление пользователями и разрешениями

Учебники

Office 365 Identity & Access: Управление пользователями и правами доступа. Эта статья демонстрирует, как управлять учетными записями пользователей и правами доступа в Office 365 с использованием инструментов управления идентификацией и доступом.

Мы начинаем с рассмотрения обзора идентификации Office 365 и управления доступом. В этом разделе мы обсудим, как создавать различные типы пользователей и предоставлять им доступ к ресурсам в системе управления идентификацией и доступом в Office 365.

В частности, этот раздел сосредотачивается на создании внутренних и внешних пользователей с помощью Microsoft 365, портала Azure AD или Azure AD PowerShell. Кроме того, мы демонстрируем, как использовать эти три инструмента для предоставления пользователям доступа к необходимым ресурсам.

Кроме того, администрирование учетных записей пользователей и разрешений включает сброс паролей пользователей. Поэтому в этой статье рассматриваются три метода сброса паролей для пользователей Office 365.

Также читайте Защита от атак методом фишинга в Office 365

Обзор управления идентификацией и доступом в Office 365

Инструмент управления идентификацией и доступом (IAM) Office 365 позволяет администраторам управлять учетными записями пользователей и разрешениями. Microsoft 365 предлагает 2 типа пользователей: внутренних и внешних. 

Внутренние пользователи являются частью организации, в то время как внешние пользователи принадлежат другой организации, добавленной в арендатор Office 365 для целей сотрудничества.

После создания внутреннего или внешнего пользователя вы предоставляете им доступ к ресурсам через роли или группы. Чтобы предоставить доступ через роли, добавьте пользователя в роль.

При предоставлении пользователям доступа к ресурсам через членство в группах рекомендуется добавить пользователей в группу. Затем добавьте группу в соответствующую роль Azure AD.

Этот подход гарантирует, что пользователи унаследуют разрешения, назначенные группе.

Обратите внимание, что при создании группы для добавления групп в роли сначала необходимо включить назначение ролей. Однако после активации этой настройки она остается постоянной для группы.

В качестве альтернативы можно предоставить группе, которую можно назначить на роль, доступ к встроенной роли, а затем добавить пользователей в группу.

Также читайте Как реализовать управление доступом на основе ролей в Office 365

Метод 1:

Используйте портал M365 для управления учетными записями пользователей и разрешениями с помощью управления идентификацией и доступом Office 365

Кроме того, мы предоставляем пошаговое руководство по созданию группы Microsoft 365 , добавлению пользователей в группу и назначению пользователя или группы на роль.

Шаг 1 Вариант 2: Создайте внутренних пользователей Office 365 в портале Microsoft 365.

1. Для начала управления пользователями и разрешениями в Microsoft 365 зайдите на admin.microsoft.com с учётной записью, у которой есть соответствующие разрешения.

2. Затем перейдите на страницу Активные пользователи. Нажмите значок меню навигации (если он ещё не развернут), и выберите «Активные пользователи» из узла Пользователи.

3. На странице «Активные пользователи» нажмите «Добавить пользователей», чтобы начать процесс создания нового пользователя. Это руководство поможет вам заполнить необходимые сведения о пользователе и, при необходимости, назначить лицензии и роли.

Также читайте Как отслеживать журналы активности Office 365 для повышения безопасности

Шаг 1 Вариант 2: Создание внешних пользователей Office 365 в портале Microsoft 365

Чтобы убедиться, что другие пользователи могут добавить календарь внешнего пользователя в свой календарь, рекомендуется сначала добавить пользователя как контакт почты для пользователя в Exchange Online перед созданием внешнего пользователя в Microsoft 365.

По моему опыту, если вы пропустите этот шаг, другие пользователи могут столкнуться с проблемами при добавлении календаря внешнего пользователя в свой собственный.

Однако, если внутренним пользователям не нужно добавлять внешнего пользователя в свои календари, вы можете пропустить этот шаг и перейти к этапу 2 ниже:Этап 1: добавить контакт почты для пользователя в Exchange Online (по желанию).

Этап 1: добавление контакта электронной почты для пользователя в Exchange Online (необязательно).

Чтобы открыть страницу контактов Exchange Online, войдите на сайт admin.exchange.microsoft.com с использованием учетных данных администратора. После входа перейдите на страницу Получатели -> Контакты.

Наконец, нажмите «Добавить контакт электронной почты» и выполните необходимые шаги. Я добавил свою учетную запись Gmail для демонстрации.

Этап 2: добавление контакта электронной почты в качестве гостевого пользователя.

Войдите на сайт admin.microsoft.com и перейдите в раздел «Гостевые пользователи» внутри вкладки Пользователи. Затем нажмите «Добавить гостевого пользователя», чтобы начать добавление нового гостевого пользователя.

Действие открывает страницу «Новый пользователь» Azure AD в новой вкладке браузера. На странице Azure AD выберите опцию Пригласить пользователя, добавьте необходимую информацию и нажмите кнопку Пригласить.

Для активации своей учетной записи внешний пользователь должен проверить свою электронную почту от Microsoft и перейти по предоставленной ссылке в сообщении.

Также читайте Использование политик условного доступа для повышения безопасности Office 365

Шаг 2 Вариант 1: Предоставление разрешений учетных записей пользователей через роли в портале Office 365.

Чтобы назначить роли пользователям в Office 365, перейдите на портал Microsoft 365 и следуйте инструкциям ниже.

Назначьте внутренним и внешним пользователям роли Microsoft 365.

1. В меню разверните Роли и нажмите Назначение ролей.

2. Затем нажмите на роль Azure AD для назначения пользователя, например, “Администратор службы поддержки”.

3. Во всплывающем окне роли нажмите на вкладку Назначено. Затем нажмите “Добавить пользователей”. Наконец, выберите пользователей, которым вы хотите назначить роль, и нажмите Добавить.

После добавления проверьте вкладку “Назначено”, чтобы убедиться, что они были успешно добавлены.

Читайте также Изучите отчеты пользователей Office 365

Шаг 2 Вариант 2: Предоставление прав доступа учетным записям пользователей через группы в портале Microsoft 365

Чтобы назначить доступ пользователям через группы, следуйте двухшаговому процессу.

Сначала добавьте пользователей в группу. Затем назначьте группу на роль, используя интерфейс управления ролями.

Как уже упоминалось ранее, выбор опции назначения ролей группам должен быть сделан при создании группы. Поэтому для использования групп для назначения ролей пользователей создайте группу и включите функцию назначения ролей в процессе создания.

1. Для этого в портале Microsoft 365 разверните раздел “Команды и группы”, затем выберите “Активные команды и группы”.

2. Затем, чтобы открыть рабочий процесс “Добавление группы”, нажмите Добавить группу.

При создании новой группы вы можете добавить пользователей в группу в разделе “Участники” рабочего процесса. Кроме того, вы можете отметить флажок “разрешить назначение роли администратора этой группе” в разделе “Настройки”.

См. второй скриншот ниже для конфигурации.

3. Чтобы назначить роли группе, перейдите в меню, разверните Роли и нажмите Назначение ролей.

4. После нажатия на Назначение ролей выберите роль Azure AD, которую хотите назначить группе, например “Администратор службы поддержки”.

5. Затем на всплывающем окне роли нажмите вкладку Назначено. Затем нажмите “Добавить группы”.

6. Наконец, выберите группы, которым вы хотите назначить роль, и нажмите Добавить.

После добавления групп в роль проверьте вкладку “Назначено”, чтобы подтвердить, что они были успешно добавлены.

Также читайте Топ 10 лучших инструментов IAM – Управление доступом к идентификаторам (плюсы и минусы)

Сброс пароля пользователя Office 365 в портале Microsoft 365

1. Чтобы сбросить пароль пользователя в портале Microsoft 365, разверните меню “Пользователи” в панели навигации. Затем выберите “Активные пользователи” и наведите указатель на учетную запись пользователя, для которой требуется сбросить пароль.

2. Нажмите на символ ключа, который появляется при наведении на учетную запись. Это запускает процесс сброса пароля.

3. Наконец, выберите желаемые параметры во всплывающем окне “Сброс пароля” и нажмите “Сбросить пароль”. Портал Microsoft 365 отобразит сообщение с подтверждением и новым паролем.

Также читайте Проверьте журналы аудита Azure AD для входов пользователей (успехи и неудачи)

Метод 2:

Используйте портал Azure AD для управления учетными записями пользователей и разрешениями с Office 365 IAM

Этот портал предоставляет ряд функций и инструментов, которые позволяют администраторам управлять учетными записями пользователей, включая настройку разрешений и многое другое. В этом разделе рассматриваются ключевые шаги по управлению учетными записями пользователей в портале Azure AD.

Шаг 1 Вариант 1: Создание внутренних пользователей Office 365 в портале Azure AD

1. Сначала войдите на portal.azure.com и перейдите к опции Пользователи в меню.


2. Затем нажмите «+Добавить» и выберите Пользователь. Наконец, выберите шаблон Создать пользователя, укажите необходимые данные и нажмите Создать.

Также читайте New-MgGroupMemberByRef – Добавление пользователей в группу Azure AD с помощью Powershell

Шаг 1 Вариант 2: Создание внешних пользователей Office 365 в портале Azure AD

Ранее я рекомендовал добавить контакт почты для пользователя перед созданием внешнего пользователя. Это рекомендуется, если ваши внутренние пользователи должны добавить календарь внешнего пользователя к своему собственному.

Для создания контакта почты войдите на страницу контактов Exchange Online по адресу admin.exchange.microsoft.com. После входа перейдите на страницу Получатели -> Контакты. Затем нажмите «Добавить контакт почты» и выполните необходимые шаги.

Чтобы отправить приглашение внешнему пользователю в Azure AD после выполнения необязательного шага выше, выполните следующие шаги:

1. Сначала следуйте руководству «Шаг 1 из 2» до достижения Шага 2.

2. Затем выберите шаблон Пригласить пользователя. Наконец, предоставьте необходимую информацию и нажмите Пригласить.

После завершения вышеуказанных шагов пользователь получает электронное письмо от Microsoft.

В нем содержится ссылка для завершения регистрации в Azure AD. Пользователь должен нажать на ссылку, чтобы завершить процесс.

Также читайте Get-MgUser – Найти пользователей Azure AD и фильтровать с помощью сценария PowerShell

Шаг 2 Вариант 1: Предоставление разрешений учетным записям пользователей через роли в портале Azure AD

1. После создания пользователя используйте портал Azure AD, чтобы назначить роли пользователю. Нажмите “Роли и администраторы” в меню Azure Active Directory, чтобы выполнить эту задачу. 

2. Затем выберите роль, которую хотите назначить пользователю. Используйте функцию поиска, если необходимо. 

3. Далее нажмите “+ Добавить назначения”, чтобы завершить процесс.

Также читайте Как включить обратную запись пароля в Azure AD Connect

Шаг 2 Вариант 2: Предоставление разрешений учетным записям пользователей через группы в портале Azure AD

На третьем этапе вышеуказанного, мы продемонстрировали, как назначить разрешения пользователям через Azure AD роли. Однако, потенциально более эффективным методом является назначение пользовательских ролей на основе членства в группе.

Следуйте этим шагам для выполнения задач в Azure AD:

Во-первых, создайте группу и разрешите назначение ролей AD. Во-вторых, добавьте пользователей в качестве участников новой группы.

Наконец, назначьте роли, которые хотите назначить пользователям, назначив роли группе Azure AD.

Вот практические шаги:

1. Нажмите “Группы” в меню, затем нажмите “Новая группа”.

2. Включите “Роли Azure AD назначаются группе”, выберите опции на скриншоте ниже и нажмите “Создать”, чтобы завершить создание группы. 

Затем следуйте шагам ниже, чтобы добавить пользователей в группу и назначить им роль:

3. Нажмите на группу в узле Группы, затем нажмите “Участники” на странице группы. Затем нажмите “+ Добавить участников”, чтобы добавить пользователей в группу Azure AD.

Чтобы назначить группу группе ролей Azure Active Directory, щелкните «Роли и администраторы» в меню Azure Active Directory. Затем выберите роль, которую необходимо назначить группе, и щелкните «+ Добавить назначения».


Также читайте Как подключиться к Office 365 с помощью PowerShell

Сброс пароля пользователя Office 365 в портале Azure AD

Администраторам необходимо иметь возможность сбрасывать пароли для управления пользовательскими паролями учетными записями и разрешениями с помощью решений по управлению идентичностью и доступом Office 365. Поэтому полезно знать, что пользовательские пароли можно сбросить в портале Azure AD.

1. Нажмите узел Пользователи, чтобы сбросить пароль учетной записи пользователя в портале Azure Active Directory.

2. Используйте функционал поиска для выбора пользователя. Затем завершите процесс, нажав “Сбросить пароль”, расположенный над данными пользователя.

Также читайте Как проверить, включена ли MFA в Office 365 для пользователей

Метод 3:

Использование PowerShell для управления учетными записями пользователей и разрешениями в Office 365 Identity and Access Management

Теперь переходим к третьему и последнему методу, который включает использование PowerShell для выполнения той же задачи.

Сначала нам нужно установить необходимые для выполнения задач модули PowerShell.

Шаг 1: Установка необходимых модулей: AzureAD, ExchangePowerShell, Az.Accounts и Az.Resources

1. Откройте PowerShell от имени администратора. Найдите PowerShell и нажмите “Запустить от имени администратора”.

2. Чтобы открыть новый экземпляр, выполняющий команды из загруженных модулей, выполните следующую команду после открытия PowerShell от имени администратора.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Затем, чтобы установить необходимые модули PowerShell, выполните следующие команды. Первая команда устанавливает модули, а вторая импортирует их в вашу текущую сессию PowerShell.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Также читайте Получить участников группы Active Directory и экспортировать в CSV с помощью PowerShell

Шаг 2 Вариант 1: Создание внутренних пользователей Office 365 в PowerShell

1. Подключитесь к своему Azure AD с помощью этой команды. Это заставит PowerShell запросить ваши учетные данные. 

Connect-AzureAD

2. После подключения выполните следующие команды для создания нового пользователя Office 365.  

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Также читайте Get-AzureADAuditSignInLogs – Найти журналы входа за последние 30 дней с помощью PowerShell

Шаг 2 Вариант 2: Создание внешних пользователей Office 365 в PowerShell

Как уже упоминалось в предыдущих двух методах, внешнего пользователя можно добавить, создав его сначала как контакт по почте, что является необязательным шагом.

Если ваши внутренние пользователи должны добавить календарь внешнего пользователя к своему собственному, выполните шаги 1-2 для добавления контакта по почте с помощью PowerShell. В противном случае перейдите к шагу 3.

1. Чтобы подключиться к Exchange Online в консоли PowerShell, открытой на шаге 2, вариант 1, выполните приведенную ниже команду и введите свои данные для входа, когда вас попросят в PowerShell.  

Connect-ExchangeOnline

2. Добавьте контакт по почте для внешнего пользователя, которого вы планируете пригласить, используя эту команду. Измените части команды по своему усмотрению. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Затем отправьте приглашение, выполнив указанную команду: измените параметры перед выполнением команды. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Также читайте Что такое 0xc000006a – неправильно введенное имя пользователя или неверный пароль

Шаг 3, вариант 1: Предоставление разрешений учетным записям пользователей через роли в PowerShell

Запустите следующие команды, чтобы назначить пользователю роль. Измените команды в соответствии с вашими требованиями. 

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#шаг 1: получите ID пользователя, которого вы хотите добавить в роль:

#шаг 2: Получите ID роли, которую вы хотите назначить пользователю

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#шаг 3: назначьте пользователю роль

Шаг 3 Вариант 2: Назначение разрешений учетных записей пользователей через группы в PowerShell

Чтобы назначить роль пользователю через членство в его группе, выполните команды в скрипте ниже.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#шаг 1: Создайте рольназначаемую группу в Azure Active Directory пропустите этот шаг если у вас уже есть назначаемая группа ролей

#шаг 2: получите ID пользователя, которого хотите добавить в роль:

#шаг 3: добавьте пользователя в группу AAD

#шаг 4: добавьте группу Azure AD в роль Azure AD

Также читайте SSPR: Включение сброса пароля самообслуживания Azure Active Directory

Сброс пароля пользователя Office 365 в PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/