实验室 01 - 管理 Microsoft Entra ID 标识

实验室简介

这是面向 Azure 管理员的一系列实验中的第一个。 在此实验室中，可了解用户和组。 用户和组是标识解决方案的基本构建基块。

本实验室需要 Azure 订阅。 订阅类型可能会影响此实验室中功能的可用性。 你可更改区域，但这些步骤是使用“美国东部”编写的**。

预计用时：30 分钟

实验室方案

你的组织正在构建一个新的实验室环境，用于对应用和服务进行预生产测试。 一些工程师受雇管理实验室环境，包括虚拟机。 为了支持工程师通过使用 Microsoft Entra ID 进行身份验证，你的任务是预配用户和组。 为了最大程度减少管理开销，应根据职务自动更新组成员身份。

体系结构关系图

工作技能

• 任务 1：创建和配置用户帐户。
• 任务 2：创建组并添加成员。

任务 1：创建和配置用户帐户

在此任务中，你将创建和配置用户帐户。 用户帐户将存储用户数据，例如姓名、部门、位置和联系信息。

1. 登录到 Azure 门户 - https://portal.azure.com。

2. 若要继续转到门户，请在“欢迎使用 Azure”初始屏幕上选择“取消”。

   注意： 所有实验室均使用 Azure 门户。 如果不熟悉 Azure，请搜索并选择 Quickstart Center。 花几分钟时间观看“Azure 门户入门”** 视频。 即使以前使用过门户，你也可发现一些关于导航和自定义界面的提示和技巧。

3. 搜索并选择 Microsoft Entra ID。 Microsoft Entra ID 是一种 Azure 基于云的标识和访问管理解决方案。 花几分钟时间自行熟悉左窗格中列出的一些功能。

4. 选择“概述”边栏选项卡，然后选择“管理租户”选项卡****。

   你知道吗？ 租户是包含帐户和组的特定 Microsoft Entra ID 实例。 可根据自身情况创建更多租户并在它们之间切换**。

5. 返回到 Entra ID 页面，方法是在浏览器中按返回或选择痕迹导航菜单中的选项。

6. 选择“许可证”。 可在此处购买许可证、管理拥有的许可证，以及将许可证分配给用户和组。 选择“许可的功能”，查看可用的功能**。

创建新用户

1. 选择“用户”，然后在“新建用户”下拉列表中选择“创建新用户”****。

2. 使用以下设置创建新用户（其他设置保留默认值）。 在“属性”选项卡上，可以看到用户帐户中可以包含的所有不同类型的信息**。

   设置	值
   用户主体名称	az104-user1
   显示名称	az104-user1
   自动生成密码	checked
   已启用帐户	checked
   职务（“属性”选项卡）	IT Lab Administrator
   部门（“属性”选项卡）	IT
   使用位置（“属性”选项卡）	美国

3. 完成查看后，选择“查看 + 创建”，然后选择“创建”****。

4. 刷新页面并确认已创建新用户。

邀请外部用户

1. 在“新建用户”下拉列表中，选择“邀请外部用户”****。

   设置	值
   电子邮件	你的电子邮件地址
   显示名称	你的姓名
   发送邀请邮件	选中框
   Message	Welcome to Azure and our group project

2. 转到“属性”** 选项卡。填写基本信息，包括以下字段。

   设置	“值”
   职务	IT Lab Administrator
   部门	IT
   使用位置（“属性”选项卡）	美国

3. 选择“查看 + 邀请”，然后选择“邀请”****。

4. 刷新页面并确认已创建受邀用户**。 应很快就会收到邀请电子邮件。

   注意： 不太可能单独创建用户帐户。 你是否知道组织计划如何创建和管理用户帐户？

任务 2：创建组并添加成员

在此任务中，创建一个组帐户。 组帐户可包括用户帐户或设备。 以下是将成员分配到组的两种基本方法：静态和动态。 静态组要求管理员手动添加和移除成员。 动态组会根据用户帐户或设备的属性自动更新。 例如，职务。

1. 在 Azure 门户中，搜索并选择Microsoft Entra ID。 在“管理”边栏选项卡中，选择“组”。

2. 请花点时间熟悉左窗格中的组设置。

   • 通过“到期时间”可配置组生存期（以天为单位）**。 在该时间之后，所有者必须续订组。
   • 使用“命名策略”可配置阻止的字词，并向组名添加前缀或后缀**。

3. 在“所有组”边栏选项卡中，选择“+ 新建组”并创建新组****。

   设置	值
   组类型	安全性
   组名称	IT Lab Administrators
   组说明	Administrators that manage the IT lab
   成员身份类型	已分配

   注意：动态成员身份需要 Entra ID Premium P1 或 P2 许可证。 如果有其他“成员身份类型”可用，下拉列表中将显示相关选项**。

   

4. 选择“未选择所有者”**。

5. 在“添加所有者”页中，搜索并选择你自己（显示在右上角）作为所有者****。 请注意，可以有多个所有者。

6. 选择“未选择任何成员”**。

7. 在“添加成员”窗格中，搜索并选择“az104-user1”和你邀请的来宾用户******。 将这两个用户添加到组。

8. 选择“创建”以部署组**。

9. 刷新页面并确保已创建组**。

10. 选择新组并查看成员和所有者信息****。

注意： 你可能正在管理大量组。 你的组织是否具有创建组和添加成员的计划？

使用 Copilot 扩展学习

Copilot 可帮助你了解如何使用 Azure 脚本工具。 Copilot 还可以帮助了解实验室中未涵盖的领域或需要更多信息的领域。 打开 Edge 浏览器并选择“Copilot”（右上角）或导航到copilot.microsoft.com。 花几分钟时间尝试这些提示。

• 创建名为 IT 管理员的安全组的 Azure PowerShell 和 CLI 命令是什么？ 提供官方命令参考页。
• 提供用于管理 Microsoft Entra ID 中用户和组的分步策略。
• Azure 门户中批量创建用户和组的步骤是什么？
• 提供内部和外部 Microsoft Entra ID 用户帐户的比较表。

通过自定进度的培训了解详细信息

• 了解 Microsoft Entra ID。 将 Microsoft Entra ID 与 Active Directory DS 进行比较，了解 Microsoft Entra ID P1 和 P2，并浏览 Microsoft Entra 域服务，以便管理云中已加入域的设备和应用。
• 在 Microsoft Entra ID 中创建 Azure 用户和组。 在 Microsoft Entra ID 中创建用户。 了解不同类型的组。 创建组并添加成员。 管理企业到企业来宾帐户。
• 利用 Microsoft Entra 的自助式密码重置让用户能够重置密码。 评估自助式密码重置，让组织中的用户可以重置其密码或解锁其帐户。 设置、配置或测试自助式密码重置。

关键结论

恭喜你完成本实验室的内容。 下面是本实验室的一些主要重点：

• 租户代表你的组织，可帮助你管理面向内部和外部用户的特定 Microsoft 云服务实例。
• Microsoft Entra ID 具有用户帐户和来宾帐户。 每种帐户的访问级别都特定于预设的工作范围。
• 组将相关用户或设备组合在一起。 有两种类型的组：“安全”和“Microsoft 365”。
• 可以静态分配或动态分配组成员身份。