Azure AD 角色和權限:為用戶和群組分配与管理角色。您是否是 IT 管理員,希望學習 Azure AD 角色以及它們在分配和管理用戶和群組權限方面的重要性?
了解每個概念對於理解 Azure AD 角色、用戶、群組和權限之間的關係至關重要。
接下來,我們將解釋 Azure AD 角色,這代表在“角色用戶群組權限”關係中的下一個層次。
為了讓所有概念熟能生巧,本文討論了當角色分配給用戶和群組時,用戶和群組如何繼承權限。
最後,它提供了使用不同方法將 Azure AD 角色分配給用戶或群組的詳細指示。
Azure AD 用戶、群組和群組成員
Azure AD 中的基本權限稱為“身份”,其中包括所有被認證的內容。身份的例子有:使用用戶名、密碼進行認證的用戶,以及需要認證的应用程序或服務器。
本文著重於作為已被認證的用戶的“身份”。
一旦用戶通過認證,他們通過授權獲得對資源的訪問權。因此,用戶需要權限才能被授權訪問資源。
在創建用戶時,Azure AD會自動向他們授予默認權限。
然而,管理員可以使用Azure AD角色向用戶分配額外的權限。或者,通過將用戶添加到一個群組來分配權限。
最佳做法是通過群組而不是直接向用戶分配權限。
這就是Azure Active Directory中的群組的作用。在Azure AD中,群組管理需要訪問相同資源的用戶。
創建群組後,所有添加到其中的用戶都會繼承通過Azure AD角色分配給該群組的權限。
值得注意的是,在Azure AD中管理權限的群組有兩種類型:安全群組和Microsoft 365群組。
您使用安全组来分配权限和角色给其成员。然而,在创建组的过程中,您需要将安全组设置为可分配角色,以便为其分配角色。
一旦您创建了一个组,就无法修改此设置。
相比之下,Microsoft 365 组旨在用于协作目的。Microsoft 365 组的成员可以访问共享邮箱、团队、文件和其他启用协作的资源。
另请参阅 Azure AD 客户报告与审计工具 InfraSOS 解决方案
Azure Active Directory 中的角色和权限
基于角色的访问控制(RBAC) 构成了 Azure AD 安全 的基础。大约有 60 个内置角色用于分配和管理权限
要查找這些角色及其相應權限的全面列表,請參閱Azure AD內建角色頁面上的“所有角色”部分。
此外,每個角色都有一組預定義的權限。要將與Azure AD角色相關聯的權限分配給對象(例如用戶或組),您必須將角色分配給該對象。
可在Azure Active Directory門戶的“角色和管理員”頁面上,或通過Azure AD對象的“已分配角色”節點進行此分配。
角色可以直接分配給用戶或組。然而,動態組允許根據定義的條件自動分配角色。
另請參閱 Office 365組:創建和管理協作組
Azure AD角色與組權限之間的關係
組管理需要訪問相同Azure AD資源的多個用戶。然而,組具有超出此範圍的功能。
例如,組用於分配許可證並將應用程式部署到其成員。此外,這些組委派管理員角色,除了 Azure AD 全域管理員。
查找使用組委派的管理員角色清單。
此外,使用組來將權限分配給SharePoint 網站或外部SaaS應用程式。
請記住,將角色分配給組需要 Azure AD 高級版 P1 授權。此外,執行該任務還需要“特權角色管理員”角色。
動態群組會根據群組定義的動態群組查詢條件自動為符合條件的使用者指定群組成員資格。與手動指定群組相比,這種自動化流程對大型組織節省了大量的管理時間。
如何將 Azure AD 角色指派給使用者和群組
請按以下方法之一將 Azure AD 角色指派給使用者或群組。
首先,通過portal.azure.com登錄 Azure 入口網站。搜索並打開“Azure Active Directory”。
方法 1/3:從“角色和管理員”介面將角色指派給使用者或群組
最方便的指派 Azure AD 角色方式是通過 Azure Active Directory 入口網站中的“角色和管理員”介面。
請按以下步驟操作:
1. 在Azure Active Directory選單中,點擊“角色和管理員”。
2. 接著,一旦“角色和管理員”頁面打開,點擊要指派和授予權限給Azure AD角色。為了更快地找到角色,可以進行搜索。
3. 在角色的指派頁面上,點擊“新增指派”。該頁面還列出了當前被指派該角色的所有使用者和群組。
4. 一旦“新增指派”頁面打開,點擊“未選擇任何成員”鏈接。最後,在“選擇成員”上,選擇要指派該角色的所有使用者和群組,然後點擊選擇。
請注意,該彈出窗口僅顯示適合進行角色指派的群組。
使用搜索功能來找到使用者和群組,避免進行翻頁。
第2種方法:從使用者界面指派Azure AD角色
另一種指派Azure AD角色給使用者的方法是打開使用者的Azure Active Directory門戶頁面。以下是步驟:
1. 在Azure Active Directory門戶上點擊“使用者”菜單。然後,選擇一個使用者點擊它。
2. 一旦使用者打開,點擊“已指派角色”。然後,點擊“+新增指派”。
3. 然後,從「選擇角色」下拉列表中選擇Azure AD角色,您希望用戶從此角色繼承权限。選擇角色後,請點擊「下一步」。
4. 最後,如果您的服務訂閱中具有特级身份管理(PIM)許可證,則最終頁面將顯示「指派類型」選項。對於PIM,還有一個「最大允許合資格持續時間」選項可用。
選擇您的設定並點擊指派。
方法3中的第2步:從群組接口指派Azure AD 角色
若要將 Azure AD 角色指派給可以指派角色的群組,請按照以下步驟操作:
1. 在 Azure Active Directory 门户網站上點擊“群組”。
2. Azure AD 列出了所有群組。但是,您只能將角色指派給已啟用此功能的群組。
因此,若要查看已啟用角色指派的群組,請點擊“管理查看”並選擇“编辑列”。
3. 在「栏目」弹出式菜单上勾選「允許角色分配」复选框,然後点击「保存」。您还可以取消勾選「对象 ID」、「會籍类型」、「电邮」和「来源」以减少栏目数量。
这些栏目是默认勾选的。不过,「允許角色分配」栏目是默认未勾选的。
4. 在启用页面显示组是否可分配角色后,选择正确的组。
请记住,如果您打开一个在创建时未启用此功能的组,它将不会显示 Azure AD 角色。
5. 打开组后,点击菜单上的「分配角色」,然后点击「添加分配」。
6. 从「选择角色」下拉菜单中选择一个角色,然后点击下一步。最后,选择角色分配选项并点击分配。
通过动态组分配 Azure AD 角色
此外,Azure AD 允许使用动态组自动将 Azure AD 角色分配给用户。
以下是创建一个动态 Azure AD 组,该组自动为其成员分配角色的步骤。
1. 在 Azure Active Directory 门户的「组」页面上,点击「新建组」。
2. 當“新群組”頁面打開時,為該群組命名,並從“成員類型”下拉菜單中選擇動態分配類型。選擇“動態用戶”或“動態設備”將顯示“添加動態查詢”鏈接。
請確保打開“可以分配 Azure AD 角色”開關。
3. 點擊“添加動態查詢”鏈接以構建一個自動將用戶添加到該群組的動態查詢。
4. 一旦打開“動態成員資格規則”頁面,點擊“編輯”,然後構建您的查詢。了解如何構建 動態查詢 以設定群組成員資格。
5. 在“編輯規則語法”彈出窗口中,輸入您的規則並點擊“確定”。然後,在動態成員資格查詢頁面上,點擊保存。
I built a simple rule that adds users to my group by user’s department.
6. 最後,請檢查“新群組”頁面上的設定,然後點擊 創建。
要檢查您的動態規則是否有效,打開該群組並單擊“成員”菜單。如果您的規則正確且某些用戶符合條件,他們應該會自動添加為群組成員。
建立动态群組後,將 Azure AD 角色指派給該群組。完成這些步驟後,所有被動態加入到群組中的用戶會自動繼承群組指派的角色的權限。
Azure AD 角色和权限:为用户和组分配和管理角色结论
总之,本文探讨了 Azure AD 角色和权限的基本方面。特别是,它重点介绍了如何有效地为用户和组分配和管理角色。
我们解释了 Azure AD 用户、组和组成员资格的概念,突出了它们在角色分配中的重要性。我们还检查了 Azure Active Directory 中的角色和权限框架。
文章强调了对 Azure AD 角色和组权限之间的关系。
此外,它还介绍了将 Azure AD 角色分配给用户和组的 3 种方法。方法 1 涉及使用“角色和管理员”界面,而方法 2 涵盖了从用户和组界面分配角色。
我們還考慮使用動態群組成員資格作為指派 Azure AD 角色給使用者的第三種方法。
通過了解這些方法並利用 Azure AD 的功能,管理員可以有效地指派和管理角色,以確保組織內的使用權限和權限的正確訪問。
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/