Azure AD 角色和权限:为用户和组分配和管理角色。您是一位 IT 管理员,想了解 Azure AD 角色及其在为用户和组分配和管理权限方面的重要性吗?
了解每个概念对于理解 Azure AD 角色、用户、组和权限之间的关系至关重要。
接下来,我们解释 Azure AD 角色,代表“角色用户组权限”关系中的下一级。
为了将所有概念结合起来,本文讨论了当角色分配给用户和组时,用户和组如何继承权限。
最后,它提供了如何使用不同方法为用户或组分配 Azure AD 角色的详细说明。
Azure AD 用户、组和组成员
Azure AD 中的基本权限级别称为“身份”,其中包括经过身份验证的任何内容。身份的示例包括:具有用户名和密码以及需要进行身份验证的应用程序或服务器的用户。
本文重点介绍了经过身份验证的用户作为身份。
一旦用户经过身份验证,他们将通过授权获得对资源的访问权限。因此,用户需要获得授权才能访问资源。
在创建用户时,Azure AD会自动向其授予默认权限。
然而,管理员会利用Azure AD角色向用户分配额外的权限。或者,通过将用户添加到组来为其分配权限。
最佳实践是通过组而不是直接分配权限给用户。
这就是Azure Active Directory中的组发挥作用的地方。在Azure AD中,组管理需要访问相同资源的用户。
创建组后,所有添加到组中的用户都会通过Azure AD角色继承分配给该组的权限。
值得注意的是,在Azure AD中管理权限有两种组类型:安全组和Microsoft 365 组。
您可以使用安全组为其成员分配权限和角色。但是,在创建组的过程中,您需要将安全组设置为可分配角色,以便为其分配角色。
一旦创建了组,就无法修改此设置。
相比之下,Microsoft 365 组旨在用于协作目的。Microsoft 365 组的成员可以访问共享邮箱、团队、文件和其他协作启用的资源。
Azure Active Directory 中的角色和权限
基于角色的访问控制(RBAC)构成了 Azure AD安全的基础。约有 60 个内置角色用于分配和管理权限
要查找这些角色及其相应的权限的综合列表,请参阅Azure AD内置角色页面上的“所有角色”部分。
此外,每个角色都有预定义的权限集。要将与Azure AD角色相关联的权限分配给对象(如用户或组),必须将角色分配给该对象。
在Azure Active Directory门户的“角色和管理员”页面上执行此分配,或通过Azure AD对象的“已分配角色”节点执行。
角色可以直接分配给用户或组。但是,动态组允许根据定义的条件自动分配角色。
Azure AD角色与组权限之间的关系
组管理多个需要访问相同Azure AD资源的用户。 但是,组具有超出此范围的功能。
例如,组用于分配许可证并将应用部署到其成员。此外,这些组委派管理角色,除了Azure AD全局管理员。
查找您使用组委派的管理员角色列表。
此外,使用组为SharePoint站点或外部SaaS应用分配权限。
请记住,向组分配角色需要Azure AD高级版P1许可证。此外,执行该任务还需要“特权角色管理员”角色。
动态组会根据为该组定义的动态组查询条件自动为符合条件的用户分配组成员资格。与手动分配组不同,这一自动化流程可为大型组织节省大量管理时间。
如何向用户和组分配 Azure AD 角色
请按以下方法之一向用户或组分配 Azure AD 角色。
首先,通过 portal.azure.com 登录 Azure 门户。搜索并打开“Azure Active Directory”。
方法之一:从“角色和管理员”界面向用户或组分配角色
通过 Azure Active Directory 门户中的“角色和管理员”界面分配 Azure AD 角色是最方便的方式。
按照以下步骤操作:
1. 在 Azure Active Directory 菜单上,点击“角色和管理员”。
2. 接下来,一旦“角色和管理员”页面打开,点击要分配和授予权限给活动目录和组的 Azure AD 角色。为了更快找到角色,可以进行搜索。
3. 在角色的分配页面上,点击“添加分配”。该页面还列出当前被分配该角色的所有用户和组。
4. 一旦“添加分配”页面打开,点击“未选择成员”链接。最后,在“选择成员”上,选择要分配角色的所有用户和组,然后点击选择。
请注意,弹出窗口只显示符合角色分配条件的组。
使用搜索功能查找用户和组,避免手动滚动浏览。
方法 2/3:从用户界面分配 Azure AD 角色
另一种分配 Azure AD 角色给用户的方法是打开用户的 Azure Active Directory 门户页面。以下是具体步骤:
1. 在 Azure Active Directory 门户上点击“用户”菜单。然后,通过点击用户来选择一个用户。
2. 一旦用户打开,点击“已分配的角色”。然后,点击“+ 添加分配”。
3. 接下来,从“选择角色”下拉菜单中选择要用户继承权限的Azure AD角色。选择角色后,单击“下一步”。
4. 最后,如果您拥有特权身份管理(PIM)许可证,则最后一页将显示“分配类型”选项。PIM 还提供“最大允许的合格持续时间”选项。
选择您的设置,然后单击分配。
方法 2/3:从组界面分配 Azure AD 角色
要将 Azure AD 角色分配给可分配角色的组,请按照以下步骤操作:
1. 在 Azure Active Directory 门户上单击“组”。
2. Azure AD 列出所有组。但是,您只能向启用了此功能的组分配角色。
因此,要查看已启用角色分配的组,请单击“管理视图”,然后选择“编辑列”。
3. 在“列”弹出窗口中勾选“允许角色分配”复选框,然后点击保存。您也可以取消勾选“对象标识”、“成员类型”、“电子邮件”和“来源”,以减少列的数量。
这些列默认是选中的。但是,“允许角色分配”列默认未选中。
4. 在启用页面显示组是否可分配角色后,选择正确的组。
请记住,如果您打开一个在创建时未启用此功能的组,它将不会显示 Azure AD 角色。
5. 组打开后,点击菜单中的“已分配角色”,然后点击“添加分配”。
6. 从“选择角色”下拉菜单中选择一个角色,然后点击下一步。最后,选择角色分配选项,然后点击分配。
通过动态组分配 Azure AD 角色
此外,Azure AD 允许使用动态组自动向用户分配 Azure AD 角色。
以下是创建动态 Azure AD 组并自动向其成员分配角色的步骤。
1. 在 Azure Active Directory 门户的“组”页面上,点击“新建组”。
2. 当“新建组”页面打开时,输入组名,并从“成员类型”下拉菜单中选择动态分配类型。选择“动态用户”或“动态设备”会显示“添加动态查询”链接。
确保打开“可分配 Azure AD 角色”开关。
3. 点击“添加动态查询”链接以构建自动将用户添加到组的动态查询。
4. “动态成员资格规则”页面打开后,点击“编辑”,然后构建您的查询。了解如何为组成员资格构建动态查询。
5. 在“编辑规则语法”浮层中输入您的规则并点击“确定”。然后,在动态成员资格查询页面上,点击保存。
I built a simple rule that adds users to my group by user’s department.
6. 最后,检查“新建组”页面上的设置,并点击创建。
要检查您的动态规则是否有效,请打开该组并点击“成员”菜单。如果您的规则正确且有些用户符合条件,则他们应会动态地被添加为组成员。
创建动态组后,将 Azure AD 角色分配给该组。在这些步骤之后,动态添加到该组的所有用户将自动继承分配给该组的角色的权限。
Azure AD 角色和权限:为用户和组分配和管理角色结论
总之,本文探讨了 Azure AD 角色和权限的基本方面。具体而言,重点是如何有效地为用户和组分配角色并管理角色。
我们解释了 Azure AD 用户、组和组成员的概念,突出它们在角色分配中的重要性。我们还审查了 Azure Active Directory 中的角色和权限框架。
本文强调了 Azure AD 角色与组权限之间的关系。
此外,它提出了为用户和组分配 Azure AD 角色的 3 种方法。方法 1 包括利用“角色和管理员”界面,而方法 2 则涵盖了从用户和组界面分配角色的步骤。
我们还考虑使用动态组成员资格作为第三种方法来为用户分配Azure AD角色。
通过了解这些方法并充分利用Azure AD的功能,管理员可以高效地分配和管理角色,以确保组织内的用户和组获得适当的访问权限和权限。
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/