碼上快樂

相關內容    簡體    繁體

在 Azure Active Directory 中分配管理員角色

本文轉載自   查看原文   2017-01-11 18:53   1306    Azure Active Directory

https://docs.microsoft.com/zh-cn/azure/active-directory/active-directory-assign-admin-roles

 

使用 Azure Active Directory (Azure AD) 時,可以指定不同的管理員來執行不同的功能。 這些管理員可以按角色訪問 Azure 門戶或 Azure 經典門戶中的各種功能:創建或編輯用戶、將管理角色分配給他人、重置用戶密碼、管理用戶許可證以及管理域等。 分配為管理員角色的用戶在你的組織所訂閱的所有雲服務中擁有相同的權限,不管該角色是通過 Office 365 門戶、Azure 經典門戶還是用於 Windows PowerShell 的 Azure AD 模塊分配的。

提供以下管理員角色:

  • 計費管理員:進行采購、管理訂閱、管理支持票證並監視服務運行狀況。

  • 全局管理員/公司管理員:有權訪問所有管理功能。 注冊 Azure 帳戶的人員將成為全局管理員。 只有全局管理員才能分配其他管理員角色。 你的公司中可以有多個全局管理員。

    注意

    在 Microsoft 圖形 API、Azure AD 圖形 API 和 Azure AD PowerShell 中,此角色標識為“公司管理員”。 它是 Azure 門戶中的“全局管理員”。

  • 合規性管理員:
  • CRM 服務管理員:具有此角色的用戶在 Microsoft CRM Online(如果存在此服務)中擁有全局權限。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。
  • 客戶密碼箱訪問審批人:如果啟用了密碼箱服務,具有此角色的用戶可以審批 Microsoft 工程師訪問公司信息的請求。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。
  • 設備管理員:具有此角色的用戶將成為已加入 Azure Active Directory 的所有 Windows 10 設備上的管理員。
  • 目錄讀取者:這是一個遺留的角色,分配給不支持同意框架的應用程序。 不應將它分配給任何用戶。
  • 目錄同步帳戶:請勿使用。 此角色自動分配給 Azure AD Connect 服務,不可用於其他任何用途。
  • 目錄寫入者:這是一個遺留的角色,分配給不支持同意框架的應用程序。 不應將它分配給任何用戶。
  • Exchange 服務管理員:具有此角色的用戶在 Microsoft Exchange Online(如果存在此服務)中擁有全局權限。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。
  • Intune 服務管理員:具有此角色的用戶在 Microsoft Intune Online(如果存在此服務)中擁有全局權限。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。
  • Skype for Business 服務管理員:具有此角色的用戶在 Microsoft Skype for Business(如果存在此服務)中擁有全局權限。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。 此角色以前稱為 Lync 服務管理員角色。
  • 來賓邀請者:此角色中的用戶可以管理來賓邀請。 它不包括任何其他權限。

  • 密碼管理員/支持管理員:重置密碼、管理服務請求並監視服務運行狀況。 密碼管理員只能為用戶和其他密碼管理員重置密碼。

    注意

    在 Microsoft 圖形 API、Azure AD 圖形 API 和 Azure AD PowerShell 中,此角色標識為“支持管理員”。

  • SharePoint 服務管理員:具有此角色的用戶在 Microsoft SharePoint Online(如果存在此服務)中擁有全局權限。 有關詳細信息,請參閱 About Office 365 admin roles(關於 Office 365 管理員角色)。

  • 服務管理員:管理服務請求並監視服務運行狀況。

    注意

    若要為用戶分配服務管理員角色,全局管理員必須先在服務(例如 Exchange Online)中將管理權限分配給用戶,然后再在 Azure 經典門戶中將服務管理員角色分配給用戶。

  • 用戶帳戶管理員:重置密碼、監視服務運行狀況,並管理用戶帳戶、用戶組和服務請求。 用戶管理管理員權限存在一些限制。 例如,他們不能刪除全局管理員或創建其他管理員。 另外,他們也不能為計費管理員、全局管理員和服務管理員重置密碼。
  • 安全讀取者:能夠以只讀方式訪問 Identity Protection Center、Privileged Identity Management、監視 Office 365 服務運行狀況和 Office 365 安全與合規中心的一些安全功能。
  • 安全管理員:擁有安全讀取者角色的所有只讀權限,再加上下列相同服務的一些附加管理權限:Identity Protection Center、Privileged Identity Management、監視 Office 365 服務運行狀況和 Office 365 安全與合規中心。

管理員權限

計費管理員

有權執行的操作 無權執行的操作

查看公司信息和用戶信息

管理 Office 支持票證

為 Office 產品執行計費和采購操作

重置用戶密碼

創建和管理用戶視圖

創建、編輯和刪除用戶與組,以及管理用戶許可證

管理域

管理公司信息

向其他人委派管理角色

使用目錄同步

查看報告

全局管理員

有權執行的操作 無權執行的操作

查看公司信息和用戶信息

管理 Office 支持票證

為 Office 產品執行計費和采購操作

重置用戶密碼

創建和管理用戶視圖

創建、編輯和刪除用戶與組,以及管理用戶許可證

管理域

管理公司信息

向其他人委派管理角色

使用目錄同步

啟用或禁用多重身份驗證

查看報告

 不適用

密碼管理員

有權執行的操作 無權執行的操作

查看公司信息和用戶信息

管理 Office 支持票證

重置用戶密碼

為 Office 產品執行計費和采購操作

創建和管理用戶視圖

創建、編輯和刪除用戶與組,以及管理用戶許可證

管理域

管理公司信息

向其他人委派管理角色

使用目錄同步

查看報告

服務管理員

有權執行的操作 無權執行的操作

查看公司信息和用戶信息

管理 Office 支持票證

重置用戶密碼

為 Office 產品執行計費和采購操作

創建和管理用戶視圖

創建、編輯和刪除用戶與組,以及管理用戶許可證

管理域

管理公司信息

向其他人委派管理角色

使用目錄同步

查看報告

用戶管理員

有權執行的操作 無權執行的操作

查看公司信息和用戶信息

管理 Office 支持票證

重置用戶密碼,但有限制。 他/她不能為計費管理員、全局管理員和服務管理員重置密碼。

創建和管理用戶視圖

創建、編輯和刪除用戶與組,以及管理用戶許可證,但有限制。 他/她不能刪除全局管理員或創建其他管理員。

為 Office 產品執行計費和采購操作

管理域

管理公司信息

向其他人委派管理角色

使用目錄同步

啟用或禁用多重身份驗證

查看報告

安全讀取者

In 有權執行的操作
Identity Protection Center 讀取安全功能的所有安全報告和設置信息
  • 反垃圾郵件
  • 加密
  • 數據丟失預防
  • 反惡意軟件
  • 高級威脅防護
  • 防網絡釣魚
  • 郵件流規則
Privileged Identity Management

以只讀方式訪問 Azure AD PIM 中所顯示的一切信息:Azure AD 角色分配的策略和報告、安全審閱,以及在未來還可通過讀取來訪問 Azure AD 角色分配以外的方案的策略數據和報告。

不能注冊 Azure AD PIM 或對其進行任何更改。 擔任此角色的人員可以在 PIM 的門戶中或通過 PowerShell,為其他角色(例如,全局管理員或特權角色管理員)的候選用戶激活角色。

監視 Office 365 服務運行狀況

Office 365 安全與合規中心
  • 讀取和管理警報
  • 讀取安全策略
  • 讀取威脅情報、雲應用發現以及搜索和調查中的隔離區
  • 讀取所有報告

安全管理員

In 有權執行的操作
Identity Protection Center
  • 安全讀取者角色的所有權限。
  • 此外,還能夠執行除了重置密碼以外的所有 IPC 操作。
Privileged Identity Management
  • 安全讀取者角色的所有權限。
  • 不能管理 Azure AD 角色成員身份或設置。

監視 Office 365 服務運行狀況

Office 365 安全與合規中心
  • 安全讀取者角色的所有權限。
  • 可以配置高級威脅防護功能中的所有設置(惡意軟件和病毒保護、惡意 URL 配置、URL 跟蹤等)。

有關全局管理員角色的詳細信息

全局管理員有權訪問所有管理功能。 默認情況下,系統會將注冊 Azure 訂閱的人員指派為目錄的全局管理員角色。 只有全局管理員才能分配其他管理員角色。

分配或刪除管理員角色

  1. 在 Azure 經典門戶中,單擊“Active Directory”,然后單擊所在組織的目錄的名稱。
  2. 在“用戶”頁上,單擊要編輯的用戶的顯示名稱。
  3. 在“組織角色”列表中,選擇要分配給此用戶的管理員角色,或者選擇“用戶”(如果要刪除現有的管理員角色)。
  4. 在“備用電子郵件地址”框中鍵入一個電子郵件地址。 此電子郵件地址用於接收重要通知(包括有關密碼自助重置的通知),因此,不管該用戶是否能夠訪問 Azure,都必須能夠訪問其電子郵件帳戶。
  5. 選擇“允許”或“阻止”以指定是否允許用戶登錄並訪問服務。
  6. 從“使用位置”下拉列表中指定位置。
  7. 完成后,單擊“保存”。

Azure 中的權限管理

在Azure中,權限從高到低分為三種,分別為

-        企業管理員

企業管理員能夠向合約添加賬戶或將賬戶與注冊關聯,可跨所有賬戶查看使用量數據,還可以查看與注冊關聯的貨幣承諾余額。針對一個注冊的企業管理員的數量不受限制。

 

-        賬戶管理員

賬戶所有者可為其賬戶添加訂閱,針對單獨的訂閱更新服務管理員和共同管理員、查看其賬戶的使用量數據,以及在企業管理員提供了訪問權限的情況下查看賬戶費用。除非賬戶所有者同時具有企業管理員權限,否則將看不到資金承諾余額。

 

-        服務管理員

服務管理員以及每個訂閱的最多199個共同管理員能夠訪問和管理Azure管理門戶內的訂閱和開發項目。除非服務管理員同時具有其他兩個角色之一,否則將沒有企業門戶的訪問權限。

 

 

 

注意:Azure測試賬號沒有企業管理員。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Active Directory中獲取域管理員權限的攻擊方法 Postgres創建管理員角色 Azure 基礎篇:在 Azure Active Directory管理用戶和組的相關介紹 Active Directory架構管理 Jenkins Active Parameters之Groovy Script(獲取具有管理員權限的組+組成員) Windows Azure Active Directory (2) Windows Azure AD基礎 Azure 解決方案:Azure Active Directory 集成功能 Tomcat開啟遠程管理及管理員角色-用戶配置 .net5 core webapi項目實戰之八:F3管理員修改用戶角色 雲計算之路-試用Azure:竟然無法重置虛擬機的管理員密碼
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM