Vartotojų paskyrų ir grupių kūrimas „Azure Active Directory“

La Vartotojo paskyrų ir grupių valdymas „Azure Active Directory“ ir „Azure AD B2C“ Tai pagrindinis komponentas, skirtas kontroliuoti, kas gali pasiekti kuriuos jūsų organizacijos išteklius. Jei dirbate su „Microsoft Entra ID“ (naujuoju „Azure AD“ pavadinimu), anksčiau ar vėliau turėsite kurti paskyras, pakviesti išorinius vartotojus, tvarkyti grupes ir priskirti programas teisėms.

Šiame straipsnyje ramiai, bet aiškiai aptarsime: Kaip veikia skirtingų tipų paskyros (profesionalios, svečio ir vartotojo) ir kaip jos susijusios su grupėmis bei programomisBe to, pamatysite, kokias užduotis galite automatizuoti naudodami „PowerShell“ ir „Microsoft Graph“ ir kaip tvarkyti programų vaidmenų priskyrimus nepasiklystant tarp daugybės komandų ir parinkčių.

Paskyrų tipai „Azure Active Directory“ ir „Azure AD B2C“

„Microsoft“ ekosistemoje „Enter ID“, apimantis „Microsoft Entra ID“ klasikinis, B2B bendradarbiavimas ir „Azure AD B2C“Šiuose trijuose sprendimuose yra bendras paskyros modelis, kuris pakartotinai naudojamas. Prieš pradedant kurti vartotojus nevalingai, labai svarbu atidžiai suprasti kiekvieną paskyros tipą.

Galime išskirti tris pagrindinius sąskaitų tipus: Verslo (arba organizacijos) paskyros, svečių paskyros ir vartotojų paskyrosKiekvienas iš jų turi savo galimybes, apribojimus ir įprastus naudojimo atvejus, nesvarbu, ar dirbate su įmonės nuomininku, ar su B2C nuomininku, skirtu galutinių vartotojų programoms.

Šis bendras modelis leidžia Ta pati tapatybės ir prieigos logika nuosekliai veikia tarp „Entra ID“, B2B ir „Azure AD B2C“kad administravimas, leidimų suteikimas ir bendradarbiavimas tarp organizacijų būtų paprastesni, nors kartais tai reiškia, kad reikia išmokti labai panašių sąvokų.

Profesionali paskyra (organizacijos vidinis naudotojas)

Profesinė sąskaita yra tipinė darbuotojo sąskaita visam gyvenimui: Vidinis vartotojas, priklausantis jūsų „Microsoft“ nuomininkui. Įveskite ID. ir kurie gali pasiekti organizacijos išteklius ir programas. Jei suteiksite jiems administratoriaus vaidmenį, jie taip pat galės valdyti įvairius katalogo ir susijusių paslaugų aspektus.

Šios paskyros kuriamos panašiai tiek „grynose“ „Entra ID“ aplinkose, tiek „Azure AD B2C“ nuomininkų paskyrose, kurios naudoja tą pačią infrastruktūrą. Standartinis profesionalių vartotojų kūrimas atliekamas iš „Azure“ portalo., naudodami parinktį „Naujas naudotojas“ arba per scenarijus ir API, jei reikia kažko labiau automatizuoto.

Architektūros požiūriu, verslo vartotojo paskyra visada priklauso nuomininkui, kuriame ji buvo sukurta. Tai reiškia, kad Jų saugumas, sąlyginės prieigos politikos ir licencijos priklauso nuo šaltinio nuomininko.Tai svarbu derinant kelis nuomininkus arba dirbant su B2B bendradarbiavimo scenarijais.

Svečio paskyra (išorinis B2B bendradarbiavimas)

Svečio paskyra naudojama, kai norite, kad jūsų paskyrą galėtų pasiekti kažkas, kas nėra jūsų organizacijai priklausantis asmuo. Įveskite savo katalogą, kad galėtumėte bendradarbiauti kontroliuojamu būduPaprastai šie vartotojai yra iš kitos organizacijos, turinčios „Microsoft Login“ arba asmeninę „Microsoft“ paskyrą, ir yra integruoti per B2B bendradarbiavimo galimybes.

Svečio paskyra vis dar yra vartotojas, rodomas jūsų nuomininko paskyroje, bet su kitokio tipo santykiai (Svečias)Paprastai jis naudojamas ribotoms administracinėms pareigoms pasidalyti, prieigai prie tam tikrų programų ar išteklių suteikti arba bendradarbiavimui projektuose su tiekėjais ir partneriais nesuteikiant jiems visos vidinės paskyros.

Kvietimas pagrįstas sutikimo srautu: Jūs išsiunčiate el. laišką su kvietimo nuoroda, ir vartotojas turi jį priimti. kad pradėtumėte naudoti priskirtus išteklius. Jei dėl kokių nors priežasčių neturite pašto dėžutės, skirtos naudojamam adresui, galite tiesiogiai apsilankyti „Microsoft“ puslapyje naudodami svečio prisijungimo duomenis ir rankiniu būdu išpirkti kvietimą, pavyzdžiui, apsilankę tokiu URL adresu: https://myapps.microsoft.com/B2CTENANTNAME.

Vartotojo paskyra „Azure AD B2C“

Vartotojo paskyra skirta kitai lygai: galutiniai jūsų B2C programų vartotojai, t. y. klientai, piliečiai, studentai ir kt. Šio tipo paskyra naudojama autentifikavimui programose, apsaugotose „Azure AD B2C“, tačiau nesuteikia prieigos prie vidinių „Azure“ išteklių, pvz., „Azure“ portalo ar nuomininkų valdymo.

Šios paskyros gali būti vietinės (naudotojo vardas ir slaptažodis, kurį tvarko pats B2C) arba sujungta su kitais tapatybės teikėjais, tokiais kaip „Facebook“ ar „X“Tokiu būdu galite pasiūlyti savo galutiniams vartotojams kelias prisijungimo parinktis, tuo pačiu centralizuodami prieigos kontrolę „Azure AD B2C“.

Vartotojų paskyras galima sukurti keliais būdais: per registracijos / prisijungimo vartotojų srautus, integruotus jūsų programoje, per „Microsoft Graph API“ arba iš paties „Azure“ portalo.Tai suteikia daug lankstumo: nuo vartotojo valdomos registracijos iki masinio paskyrų perkėlimo ar įkėlimo.

Profesionalios paskyros kūrimas ir konfigūravimas „Entra ID“ sistemoje

Norint užregistruoti naują darbuotoją arba vidinį vartotoją, įprastai naudojamas „Azure“ portalas. Standartinis procesas prasideda prisijungus prie „Microsoft“ prisijungimo ID ir naudojant parinktį „Naujas vartotojas“.tai paprasčiausias grafinis būdas sukurti paskyrą su visais jos pagrindiniais duomenimis.

Pradinio kūrimo metu reikia atkreipti dėmesį į keletą pagrindinių laukų, kurie lemia, kaip paskyra veiks: vardas, vartotojo vardas, el. pašto adresas, profilis, grupės ir katalogo vaidmuoGerai juos apibrėžus nuo pat pradžių, vėliau išvengsite daugybės administracinių problemų.

Vardas ir vartotojo vardas (UPN) Tai dvi skirtingos savybės. Ypatybėje „Name“ paprastai nurodomas vardas ir pavardė, o vartotojo vardas yra identifikatorius, kurį asmuo naudos autentifikavimui. Šis UPN apima visiškai kvalifikuotą domeną ir turi atitikti pradinį nuomininko domeną (pavyzdžiui, jūsų-domenas.onmicrosoft.com) arba su patvirtintu, nesusijusiu pasirinktiniu domenu (pavyzdžiui, contoso.com).

Be to, galite įjungti prisijungimą naudodami pašto adresą Kaip alternatyvūs prisijungimo duomenys, jei laikotės nustatytų apribojimų: tam tikri specialieji simboliai ir daugiabaičiai simboliai (pvz., kai kurios Azijos abėcėlės) nepalaikomi el. pašto lauke, naudojamame autentifikavimui. Tai aktualu, jei dirbate su tarptautiniais vardais arba nestandartiniais adresais.

Skyrelis vartotojo profilis Tai leidžia jums užpildyti papildomą informaciją, pvz., vardą, pavardę, pareigas ar skyrių. Nors šie laukai yra neprivalomi, jie labai naudingi klasifikuojant vartotojus, taikant filtrus skelbimams arba automatizuojant atributais pagrįstus procesus. Ir nesijaudinkite, jei iš pradžių neužpildysite visko: profilį vėliau bus galima be jokių problemų modifikuoti.

Galiausiai, registruodami profesionalią paskyrą, galite nuspręsti, ar ją pridėti prie vieno ar kelių esamų nuomininkų grupiųTai taupo jūsų darbą, nes jei grupė turi susietų leidimų ar licencijų, vartotojas paveldės tą prieigos rinkinį iš karto, o ne turės jų priskirti po vieną.

Profesionalios paskyros katalogo vaidmens pasirinkimas

Kurdami profesionalią paskyrą, taip pat turite apibrėžti prieigos lygis, kurį turės nuomininkas„Entra ID“ sistemoje tai valdoma per katalogų vaidmenis. Standartinis vartotojas, kuris pasiekia tik savo darbo programas, nėra tas pats, kas visuotinis administratorius, turintis visas teises.

„Microsoft Entra ID“ siūlo platų asortimentą integruoti vaidmenys su iš anksto apibrėžtomis teisėmis: visuotinis administratorius, programų administratorius, vartotojų administratorius, saugos administratorius ir kt. Rekomenduojama peržiūrėti oficialią „Microsoft Entra“ integruotų vaidmenų dokumentaciją, kad sužinotumėte, kokias galimybes apima kiekvienas iš jų, ir nesuteikti pernelyg daug leidimų.

Idėja yra taikyti mažiausių privilegijų principą: suteikti tik tokį vaidmenį, kuris būtinas asmeniui jo užduotims atliktiPavyzdžiui, jei kam nors reikia tik valdyti programas, debesies programų administratoriaus vaidmuo gali būti tinkamesnis nei platesnis vaidmuo.

Profilio atnaujinimai ir slaptažodžių atkūrimas

Sukūrus paskyrą, gana dažnai keičiasi pareigos, darbuotojai perkeliami iš vieno skyriaus į kitą arba atnaujinama kontaktinė informacija. „Entra ID“ vartotojo profilį galima bet kada redaguoti portale, „PowerShell“ arba „Microsoft Graph“.taip pritaikant informaciją darbuotojo realybei.

Kitas svarbus sąskaitos gyvavimo ciklo aspektas yra slaptažodžio valdymasKai vartotojas pamiršta savo slaptažodį arba įtaria, kad jis buvo pažeistas, jį galima iš naujo nustatyti portale (jei turite tam teises) arba vartotojas gali būti priverstas jį iš naujo nustatyti pats, naudodamas savitarnos galimybes (SSPR), jei jos įjungtos nuomotojuje.

Svečių vartotojų valdymas „Azure AD B2C“ ir „Entra ID“

Tais atvejais, kai norite, kad su jūsų organizacija bendradarbiautų išoriniai asmenys, tačiau nepadarote jų visaverčiais vidiniais vartotojais, Pakviestos paskyros yra jūsų geriausias sąjungininkasJie leidžia bendrinti prieigą prie programų ar net tam tikrų administracinių užduočių, tuo pačiu išlaikant aiškią kiekvieno svečio veiksmų kontrolę.

Pagrindinis procesas apima administratorių arba kitą įgaliotą asmenį siunčia kvietimą išorinio vartotojo el. pašto adresuPrie to pridedamas pranešimas, kuriame paaiškinama, kodėl jie kviečiami ir ko gali tikėtis. Gavėjas gauna el. laišką su nuoroda, nukreipiančia jį į sutikimo puslapį, kuriame jis sutinka su leidimais ir naryste jūsų kataloge.

Jei el. pašto adresas neturi veikiančios gautųjų dėžutės, dar ne viskas prarasta. Svečias vartotojas gali Eikite tiesiai į „Microsoft“ puslapį naudodami svečio prisijungimo duomenis ir pasinaudoti kvietimu, net jei neatidarėte el. laiško. Įprastas šio tipo prieigos URL paprastai yra „Microsoft“ programos puslapio, susieto su jūsų B2C nuomotoju, formatas.

Organizacijoms, turinčioms daug išorinių bendradarbių arba sudėtingesniems scenarijams, taip pat įmanoma Automatizuokite svečių vartotojų kūrimą ir kvietimą naudodami „Microsoft Graph API“Tokiu būdu galite integruoti jį su savo tiekėjų registracijos procesais, išoriniais portalais arba trečiųjų šalių žmogiškųjų išteklių sistemomis.

Labai rekomenduojama sukurti specialios grupės pakviestiems vartotojams jūsų nuomininko viduje. Tokiu būdu galite aiškiai atskirti rangovų, tiekėjų ar partnerių prieigą ir taikyti skirtingus prieigos lygius, priklausomai nuo grupės, kuriai jie priklauso.

Grupių kūrimas ir naudojimas „Microsoft Entra ID“

„Entra ID“ grupės yra pagrindinė priemonė, supaprastinanti leidimų valdymą: Užuot suteikę prieigą kiekvienam iš išteklių atskirai kiekvienam vartotojui, jūs priskiriate prieigą grupei, o tada pridedate arba pašalinate narius.Tai reiškia mažiau klaidų ir daug didesnį lankstumą organizacijai augant.

Be kitų panaudojimo būdų, grupės leidžia jums priskirti produktų licencijas, programų leidimus, prieigą prie konkrečių duomenų ar ištekliųTai veikia vienodai tiek vidiniams vartotojams, tiek svečiams, jei tik juos įtraukiate į atitinkamą grupę.

Norėdami sukurti vartotojų grupę „Microsoft Entra ID“ iš „Azure“ portalo, įprasta procedūra yra paprasta: Prisijungiate naudodami paskyrą, kuriai suteiktas visuotinio katalogo administratoriaus vaidmuo.Prisijungiate prie „Microsoft Entra ID“ paslaugos ir „Active Directory“ skiltyje pasirenkate parinktį „Grupės“, o tada – „Nauja grupė“.

Naujos grupės kūrimo dialogo lange turėsite nustatyti kelis parametrus: grupės tipas, pavadinimas, grupės el. pašto adresas ir narystės tipasPavyzdžiui, galite pasirinkti „Microsoft 365“ grupę, suteikti jai aprašomąjį pavadinimą, sukonfigūruoti arba priimti siūlomą el. pašto adresą ir pasirinkti narystės tipą „Priskirta“, kad pasirinktumėte konkrečius vartotojus, kurie turės unikalias teises.

Užpildžius šiuos laukus, belieka tik spustelėti „Sukurti“ ir Grupė bus prieinama jūsų nuomininkuiVėliau galite pridėti narių, kai reikia, ir, svarbiausia, priskirti tai grupei prieigą prie programų ir išteklių, kad visi, prisijungę prie grupės, automatiškai paveldėtų šias teises.

Dar viena gera praktika – naudoti grupes profiliams atskirti: pavyzdžiui, turėti atskiras grupes rangovams, tiekėjams ir vidaus darbuotojamsir suteikti kiekvienam asmeniui tik tokią prieigą, kuri būtina jo kasdieniam darbui. Tai puikiai atitinka mažiausiai privilegijų turinčią saugumo politiką.

„Azure“ grupių valdymas naudojant specializuotas konsoles

Kai kuriose įmonių aplinkose tapatybėms valdyti naudojama DRA (katalogo ir išteklių administratorius) arba kitos delegavimo priemonės. Kaip administratoriaus padėjėjas, galite naudoti DRA „Azure“ grupėms valdyti. kai pagrindinis administratorius anksčiau sukonfigūravo integraciją su „Azure Active Directory“.

Turėdami atitinkamus leidimus, galite naudoti šio tipo sprendimo žiniatinklio konsolę, kad atliktumėte šiuos veiksmus: Atlikite klasikines užduotis grupėse: kurkite jas, modifikuokite, valdykite narius ir kontroliuokite, prie kokių išteklių jie gali prisijungti.Tai iš esmės dar vienas deleguotojo administravimo sluoksnis, papildantis „Entra ID“, idealiai tinkantis, kai norite paskirstyti valdymo darbą nesuteikdami visiškos prieigos prie „Azure“ portalo.

Vartotojų ir grupių priskyrimas verslo programoms

Kai vartotojai ir grupės bus gerai sutvarkyti, ateis svarbiausia dalis: susieti tas tapatybes su verslo programomis„Microsoft Entra ID“ sistemoje tai atliekama priskiriant vartotojus arba grupes atitinkamai „įmonės programai“ (pagrindinei paslaugai).

Kai priskiriate vartotoją programai, tai rodomas vartotojo „Mano programėlių“ portaleTai palengvina prieigą ir sumažina įprastą klausimų, tokių kaip „kur man eiti, kad pasiekčiau šią programėlę?“, antplūdį. Be to, jei programėlė apibrėžia programėlės vaidmenis („AppRoles“), galite priskirti konkretų vaidmenį kiekvienam vartotojui ar grupei, išsamiai kontroliuodami, ką jie gali daryti programėlėje.

Jei užuot perėję prie vartotojo, jūs priskiriate visai grupei prie paraiškosBet kuris tos grupės narys turės prieigą. Svarbu atkreipti dėmesį, kad šis priskyrimas netaikomas įdėtoms grupėms: jei viena grupė yra kitos viduje, tai, kad pagrindinė grupė yra priskirta programai, automatiškai nesuteikia prieigos joje esančioms grupėms.

Grupėmis pagrįsto priskyrimo funkcijai reikalingas jūsų nuomininkas „Microsoft P1“ arba „P2“ licencijos Įveskite IDBe to, jis suderinamas tik su saugos grupėmis, „Microsoft 365“ grupėmis ir platinimo grupėmis, kurių nuosavybė SecurityEnabled yra įsteigta TrueJei grupė nesukonfigūruota kaip saugos grupė, jos negalima naudoti prieigai prie programų valdyti.

Yra programų, kurios palaiko konfigūravimą taip, kad būti aiškiai priskirtas kad galėtumėte juos naudoti. Tai suteikia jums daug tikslesnę kontrolę, nes net jei naudotojo sutikimo politika leistų suteikti individualią prieigą, programai vis tiek reikėtų administratoriaus patvirtinto priskyrimo.

Priskyrimams reikalingi reikalavimai ir vaidmenys

Norėdami priskirti vartotojus ir grupes verslo programoms, turite atitikti tam tikrus minimalius reikalavimus. Pirmiausia turite turėti „Microsoft“ paskyrą, susietą su aktyvia prenumerata.Jei neturite, visada galite susikurti nemokamą paskyrą ir išbandyti.

Antra, asmuo, atliekantis užduotis, turi turėti vieną iš šių tinkami administratoriaus vaidmenysTai apima tokius vaidmenis kaip debesies programos administratorius, programos administratorius, vartotojo administratorius arba programos paslaugos objekto savininkas. Be tinkamo vaidmens portalo arba API iškvietimai apribos jūsų atliekamas operacijas.

Galiausiai, jei norite pasinaudoti grupinio darbo privalumais, atminkite, kad Jūsų nuomininkas privalo turėti „Microsoft Entra“ ID P1 arba P2Be šių leidimų turėsite priskirti prieigą kiekvienam vartotojui atskirai arba ieškoti kitų prieigos kontrolės parinkčių.

Programos vaidmenų priskyrimai naudojant „Entra PowerShell“

Kai valdote daug vartotojų ir programų, viską atlikti rankiniu būdu iš portalo tampa neįmanoma. „Microsoft Entra PowerShell“ leidžia automatizuoti vartotojų ir grupių priskyrimą programų vaidmenimskuris taupo laiką ir sumažina žmogiškųjų klaidų skaičių.

Norint priskirti vartotoją konkrečiam programos vaidmeniui, įprastas „PowerShell“ srautas prasideda nuo prisijunkite prie paslaugos naudodami cmdlet tinkama, prašant būtinų plotų, paprastai Application.ReadWrite.All y AppRoleAssignment.ReadWrite.AllToliau suraskite programos, kuriai norite priskirti vaidmenį, vartotoją ir pagrindinį paslaugos teikėją.

Kai turėsite šias nuorodas, pasirinkite norimą programos vaidmenį ieškodami jo rodomo pavadinimo (DisplayName) tarp paslaugos objekto rodomų programų vaidmenų (AppRoles). Turėdami tą vaidmens ID, galite iškvieskite cmdlet, kuris sukuria priskyrimą vartotojui, perduodant kaip parametrus vartotojo identifikatorių, programos identifikatorių ir vaidmens identifikatorių.

Jei vietoj vartotojų norite dirbti su grupėmis, modelis yra labai panašus, bet pakeisti naudojamas cmdlet'usGrupę gausite su kažkuo panašiu Get-EntraGroup Ir jūs naudojate konkrečią cmdlet, norėdami priskirti „AppRoles“ grupėms, o ne vartotojams. Koncepcija ta pati; jūs tiesiog nurodote į „group“ tipo pirminį elementą.

Atšaukite užduotis naudodami „Entra PowerShell“

Ateina laikas, kai tau reikia pašalinti programų vaidmenis iš vartotojų arba grupiųNesvarbu, ar jie keičia vaidmenis, palieka projektą, ar organizaciją, „Microsoft Entra PowerShell“ leidžia valdyti šią darbuotojų gyvavimo ciklo dalį.

Procesas paprastai prasideda panašiai: Prisijungiate prie paslaugos, surandate programos paslaugos objektą ir paveiktą vartotoją arba grupę.Tada galite gauti esamų programos vaidmenų priskyrimų tam paslaugos pagrindiniam adresatui sąrašą ir filtruoti pagal vartotojo arba grupės, kurios teises norite atšaukti, pavadinimą.

Kai konkrečios užduotys bus nustatytos, galėsite naudokite atitinkamą pašalinimo cmdlet kad juos pašalintumėte. Ši cmdlet gauna paslaugos pagrindinio identifikatorių ir programos vaidmens priskyrimo identifikatorių, o po vykdymo vartotojas arba grupė nebeturi to vaidmens ir todėl praranda susijusią prieigą.

Jei to, ko nori, yra Pašalinkite visus konkrečios programos vartotojų ir grupių priskyrimus.Galite masiškai gauti visus paslaugos objekto „AppRoleAssignments“ ir atlikti ciklą per juos. Šio ciklo metu patikrinate, ar pagrindinis „AppRoleAssignment“ yra vartotojo ar grupės tipo, ir kiekvienu atveju iškviečiate atitinkamą „delete“ cmdlet.

„AppRoles“ valdymas naudojant „Microsoft Graph PowerShell“

Be specialaus „Entra“ modulio, taip pat galite Programos vaidmenų priskyrimų valdymas naudojant „Microsoft Graph PowerShell“, kuri tiesiogiai remiasi „Graph API“ ir siūlo patirtį, labiau suderintą su žemo lygio paslaugos operacijomis.

Pirmas žingsnis – užmegzti sesiją naudojant atitinkamą cmdlet, pateikiant užklausas dėl tokių sričių kaip Application.ReadWrite.All y AppRoleAssignment.ReadWrite.AllPrisijungę, pasieksite tikslinį vartotoją su Get-MgUser ir jūs gaunate programos paslaugos objektą su Get-MgServicePrincipal, perduodant atitinkamą identifikatorių.

Norėdami sukurti užduotį, jums reikia „AppRole“ ID, kuris nurodo norimą vaidmenįPaprastai jį galite rasti filtruodami pagrindinės paslaugos „AppRoles“ kolekciją pagal vaidmens rodomą pavadinimą. Šis ID naudojamas parametro objektui su šiomis savybėmis sukurti. PrincipalId (vartotojas arba grupė), ResourceId (paslaugų subjektas) ir AppRoleId (vaidmuo).

Tada jūs skambinate New-MgUserAppRoleAssignment susieti tą vaidmenį su vartotoju. Jei norite tą patį padaryti su grupe, procesas yra beveik identiškas, bet naudojant Get-MgGroup ir cmdlet New-MgGroupAppRoleAssignment, specialiai sukurta priskirti programų vaidmenis grupėms.

Priskyrimų šalinimas naudojant „Microsoft Graph PowerShell“ atliekamas taip pat, kaip ir naudojant „Entra“: Suraskite paslaugos objektą ir susijusius „AppRoleAssignments“, juos filtruokite ir po vieną panaikinkite.Čia taip pat yra specialios cmdlet, skirtos veikti su skirtingais pagrindinių tipų komandomis.

Tiesioginis „Microsoft Graph API“ naudojimas programėlių vaidmenims

Jei reikia integruoti iš pasirinktinių programų, serverio paslaugų ar išorinių įrankių, galite dirbti tiesiogiai su „Microsoft Graph“ API per HTTP valdyti viską, kas susiję su vartotojais, grupėmis, paslaugų objektais ir programų vaidmenimis.

Norėdami rasti konkretų vartotoją, kurį norite priskirti programai, galite pateikti GET užklausą vartotojo maršrutui, naudodamiesi userPrincipalName URL adrese. Atsakyme bus objekto identifikatoriaus (objectId) laukas, kurį naudosite priskyrimo operacijose.

Kitas žingsnis yra išsiųsti POST užklausą kolekcijai appRoleAssignedTo paslaugų subjekto tikslinės programos. Užklausos tekste įtraukiate principalId (Vartotojo ID) resourceId (Verslo programos ID) ir appRoleId (Norimo priskirti vaidmens ID). Šiais atvejais resource-servicePrincipal-id ir resourceId Paprastai jie atstovauja tam pačiam paslaugų subjektui.

Norėdami atšaukti užduotį, atlikite pagrindinę procedūrą Pirmiausia suraskite paslaugos objektą filtruodami pagal matomą pavadinimą naudojant GET užklausą „servicePrincipals“ rinkinyje su įjungtu filtru displayNameTada jūs paprašote sąrašo, appRoleAssignedTo Tam paslaugos objektui nustatote norimą ištrinti priskyrimą ir vykdote IŠTRINIMO užklausą, nukreiptą į atskirą priskyrimo išteklių.

Vienas apribojimas, kurį reikia turėti omenyje, yra tai, kad „Microsoft Graph Explorer“ nepalaiko tiesioginio masinio „AppRoleAssignments“ naikinimoJei reikia ištrinti daug paskirstymų, turėsite juos peržiūrėti ir ištrinti po vieną, nors procesą galite automatizuoti naudodami „PowerShell“ scenarijus, kurie atlieka nuoseklius iškvietimus į „Graph API“.

Visi šie mechanizmai, nuo portalo iki API, vienas kitą papildo ir leidžia jums Išsamiai valdykite paskyras, grupes ir prieigą prie programų naudodami „Microsoft Entra ID“ ir „Azure AD B2C“Vizualinio valdymo derinimas su pažangia automatizacija, atsižvelgiant į jūsų organizacijos poreikius bet kuriuo metu.

Aiškiai suprasti paskyrų tipus (profesionalų, svečių ir vartotojų), žinoti, kaip grupuoti vartotojus, ir suprasti, kaip programų vaidmenys priskiriami naudojant „Entra PowerShell“ arba „Microsoft Graph“. Tai skiria kontroliuojamą, saugią ir lengvai prižiūrimą aplinką nuo chaotiškos, sunkiai audituojamos leidimų sistemos.Jei nuo pat pradžių tinkamai organizuosite savo katalogą, išnaudosite visas „Azure Active Directory“ galimybes ir jūsų verslo programos veiks taip, kaip numatyta, tinkamiems žmonėms.