Практическое занятие: Знакомство с управлением привилегированными пользователями

Это практическое занятие выполняется на основе следующего содержимого Learn:

  • Схема обучения. Описание возможностей Microsoft Entra
  • Модуль: Описание возможностей Microsoft Entra по защите удостоверений и управлению ими
  • Урок. Описание возможностей управления привилегированными пользователями

Сценарий практической работы

В рамках этого практического занятия вы изучите некоторые базовые функциональные возможности управления привилегированными пользователями (PIM). PIM требует лицензирования Microsoft Entra ID P2. В этом практическом занятии вы, как администратор, настроите одного из пользователей Диего Сицилиани с ролью администратора пользователя Microsoft Entra через управление привилегированными пользователями (PIM). С правами администратора Диего сможет создавать пользователей и группы, управлять лицензиями и многое другое. И администратор, и пользователь Диего должны быть настроены для лицензирования Microsoft Entra ID P2.

Предполагаемое время: 60 минут

Задача 1

В этой задаче вы, как администратор, сбросите пароль для пользователя Диего Сицилиани. Этот шаг необходим, чтобы сначала войти в систему в качестве пользователя в последующих задачах.

  1. Откройте Microsoft Edge. В адресной строке введите https://entra.microsoft.com.

  2. Войдите с помощью учетных данных администратора Microsoft 365, предоставленных вашим ALH.
    1. В окне входа введите admin@WWLxZZZZZZ.onmicrosoft.com (где ZZZZZZ — уникальный идентификатор клиента, предоставленный ALH), затем нажмите кнопку Далее.
    2. Введите пароль администратора, который должен быть предоставлен поставщиком услуг размещения практических занятий. Выберите Вход.
    3. В зависимости от хост-сервера лаборатории и при первом входе в клиент может потребоваться завершить процесс регистрации MFA. В этом случае следуйте инструкциям на экране, чтобы настроить MFA.
    4. После входа вы перейдете на страницу Центр администрирования Microsoft 365.

  3. На панели навигации слева разверните узел Удостоверение, разверните узел Пользователи, а затем выберите Все пользователи.

  4. Выберите Диего Сицилиани из списка пользователей.

  5. Выберите Сброс пароля в верхней части страницы. Поскольку вы еще не выполняли вход от имени Диего и не знаете его пароль, необходимо сбросить пароль.

  6. В окне сброса пароля выберите Сбросить пароль. ВАЖНО! Запишите новый пароль, так как он понадобится далее, чтобы выполнить вход в качестве пользователя.

  7. На панели навигации слева выберите Главная, чтобы вернуться в Центр администрирования Microsoft Entra.

  8. Не закрывайте эту страницу браузера, так как она понадобится в последующей задаче.

Задача 2

В этой задаче вы, как администратор, назначит диего роль идентификатора Microsoft Entra в управление привилегированными пользователями.

  1. Откройте вкладку браузера для домашней страницы центра администрирования Microsoft Entra.

  2. На панели навигации слева в разделе “Удостоверение” разверните узел Управление удостоверениями, а затем выберите Управление привилегированными пользователями.

  3. Откроется страница быстрого запуска управления привилегированными пользователями. Просмотрите сведения на странице “Начало работы”. В главном окне, в котором он говорит управление доступом, выберите “Управление”.

  4. Откроется страница “Роли Contoso”. В верхней части страницы введите пользователь в строке поиска. В результатах поиска выберите Администратор пользователей.

  5. В верхней части страницы выберите пункт + Добавить назначения.

  6. На странице “Добавление назначений” убедитесь, что Членство подчеркнуто. Здесь можно настроить параметры членства для роли администратора пользователей в PIM.

  7. Оставьте для типа области значение по умолчанию — Каталог.

  8. В разделе Выбор участников выберите Нет выбранных участников. Откроется окно Выбора участника.

  9. На панели поиска введите Диего. В результатах поиска выберите Диего Сицилиани и нажмите Выбрать в нижней части страницы.

  10. В разделе “Выбор участников” вы увидите одного выбранного участника, а также его имя (Diego Siciliani) и адрес электронной почты. В нижней части страницы «Добавление назначений» выберите Далее.

  11. Вы окажетесь на странице параметров. Оставьте для типа назначения значение по умолчанию — Допустимо.

  12. Если на поле “Постоянная допустимость” установлен флажок, выберите Постоянная допустимость, чтобы убрать флажок.

  13. В полях “Начало назначения” сохраните дату и время по умолчанию – сегодняшний день и текущее время.

  14. В полях “Конец назначения” измените дату на сегодняшнюю (обратите внимание, что по умолчанию установлен период в один год от сегодняшнего дня, поэтому необходимо изменить год). Для времени установите значение в два часа от текущего времени. После того как вы установите в поле время окончания Назначения, нажмите клавишу TAB на клавиатуре и выберите Назначить в нижней части страницы.

  15. Это вернет вас в окно “Назначения”. Через несколько секунд вы увидите в списке администратора пользователей Диего Сицилиани, а также сведения назначения. Если через несколько секунд вы все еще не увидите изменений, выберите Обновить в верхней части страницы.

  16. В верхней части страницы выберите Настройки.

  17. В сведениях “Параметры роли” для администратора пользователей обратите внимание на различные опции. Обратите внимание, что для параметра “Требовать обоснование при активации” установлено значение “Да”, а для параметра “Требовать Azure MFA при активации” также установлено значение “Да”. Эти параметры вы увидите в следующей задаче, когда Диего активирует свою роль. Также обратите внимание, что для параметра “Требовать утверждение для активации” установлено значение “Нет”. Оставьте для всех параметров значения по умолчанию. Закройте страницу, нажав кнопку X в правом верхнем углу экрана.

  18. Выйдите из системы, нажав значок пользователя рядом с адресом эл. почты в правом верхнем углу экрана и выбрав Выход. Затем закройте все окна браузера.

Задача 3

В этом задании вы, в роли Диего Сицилиани, войдете в центр администрирования Microsoft Entra, чтобы получить доступ к возможностям управления привилегированными пользователями в Microsoft Entra и активировать свое назначение в качестве Администратора пользователей. После активации необходимо внести некоторые изменения в конфигурацию существующего пользователя. Примечание. Для этой задачи вам потребуется доступ к мобильному устройству, используемому с приложением Microsoft Authenticator.

  1. Откройте Microsoft Edge. В адресной строке браузера введите Entra.microsoft.com.

  2. Войдите как Диего Сицилиани.
    1. В окне входа введите DiegoS@WWLxZZZZZZ.onmicrosoft.com (где ZZZZZZ — уникальный идентификатор клиента, предоставленный поставщиком размещения практических занятий), затем нажмите кнопку Далее.
    2. Введите временный пароль, который вы записали при выполнении предыдущей задачи, а затем выберите Войти. Выберите Вход.
    3. Поскольку введенный пароль был только временным, необходимо обновить его на данном этапе. Введите текущий пароль, введите новый пароль, затем подтвердите новый пароль. Запишите новый пароль, который понадобится вам для выполнения задания.
    4. Так как это первый раз, когда вы входите в систему как Диего, вам может быть предложено настроить MFA. Следуйте инструкциям на экране, чтобы настроить MFA.
    5. При появлении предложения не выходить из системы выберите Да.
  3. Вы успешно вошли в центр администрирования Microsoft Entra.
  4. На панели навигации слева разверните Система управления учетными данными и выберите Управление привилегированными пользователями.
  5. На панели навигации слева выберите Мои роли. Будут отображены сведения о допустимых назначениях. Вы увидите, что вам (то есть Диего) назначена роль администратора пользователей.
  6. В последнем столбце таблицы, обозначенном как действие с меткой, выберите Активировать.
  7. Появится значок предупреждения, оповещающий о необходимости дополнительной проверки. Выберите Нажмите, чтобы продолжить. Вспомните, что для параметров управления привилегированными пользователями в рамках роли администратора пользователей требуется многофакторная проверка подлинности. Кроме того, поскольку контактная информация Диего для использования с MFA (методами проверки подлинности) ранее не была настроена, он должен зарегистрировать свои данные, чтобы иметь возможность использовать MFA. Несмотря на то что ему придется выполнять MFA каждый раз, когда он будет входить в систему в качестве администратора пользователей, в течение периода назначения процесс регистрации MFA требуется только один раз.
  8. Откроется окно и описанные ниже действия для метода приложения Microsoft Authenticator. .
    1. Если у вас уже установлено приложение Microsoft Authenticator на мобильном устройстве, нажмите кнопку “Далее”. В противном случае нажмите кнопку “Скачать сейчас “ и выполните действия.
    2. Вы начнете настраивать свою учетную запись. Выберите Далее.
    3. С помощью приложения Microsoft Authenticator на мобильном устройстве выберите учетную запись и выберите **+ рабочую или учебную учетную запись.**
    4. Выберите параметр сканирования QR-кода, а затем с помощью мобильного устройства проверьте QR-код на экране компьютера.
    5. С помощью приложения Microsoft Authenticator на мобильном устройстве проверьте QR-код.
    6. Выполните действия на компьютере и мобильном устройстве, а затем нажмите кнопку “Далее”.
    7. После настройки сведений о безопасности появится окно успешного выполнения. Нажмите кнопку Готово.
  9. После завершения процесса регистрации MFA вы вернеесь на страницу администратора PIM Active-User.
  10. Откроется окно Активации администратора пользователей. Вам необходимо ввести причину активации. В появившемся поле введите любую нужную причину (максимум 500 символов), а затем нажмите кнопку Активировать.
  11. По мере выполнения активации будет отображаться состояние (три этапа хода выполнения).
  12. После завершения активации вы вернеесь в роли “Мои” Страница ролей идентификатора Microsoft Entra, в которой вы увидите уведомление о том, что вы активировали роль. Нажмите Щелкните здесь, чтобы просмотреть активные роли. Если вы заметили, что время окончания отличается от первоначально настроенного, нажмите кнопку обновления в верхней части страницы (обновление может занять несколько минут).
  13. Вернитесь на главную страницу центра администрирования Microsoft Entra, выбрав пункт Главная на панели навигации слева.
  14. Администратор пользователя Microsoft Entra ID позволяет создавать пользователей и группы, управлять лицензиями и многое другое. На панели навигации слева разверните узел Identity и выберите **“Пользователи**”.
  15. В списке пользователей выберите Бьянка Пизани.
  16. На панели навигации слева выберите Группы.
  17. Обратите внимание на группы, которым уже назначена Бьянка. В верхней части страницы выберите +Членство.
  18. В списке групп выберите “Группа проектов Марк 8”.
  19. В нижней части страницы нажмите кнопку “Выбрать”.
  20. На странице “Группы” обратите внимание, что группа группы проектов Mark 8 была добавлена в список (если она не отображается сразу же, нажмите кнопку “Обновить “).
  21. Выйдите из системы, нажав значок пользователя рядом с адресом эл. почты в правом верхнем углу экрана и выбрав Выход. Затем закройте все окна браузера.
  22. Длительность роли Администратора пользователей ограничена настроенным временем.

Отзыв

На этом практическом занятии вы изучили возможности управления привилегированными пользователями. Вы, как администратор, настроили для Диего права администратора пользователя на определенный период времени. Затем вы, как Диего, прошли процесс активации прав администратора пользователя и пользователя в группу. Помните, что для PIM требуется лицензирование Microsoft Entra ID Premium P2.