AZ-104实验指南：管理Microsoft Entra ID身份标识

AZ-104实验指南：管理Microsoft Entra ID身份标识

【免费下载链接】AZ-104-MicrosoftAzureAdministrator AZ-104 Microsoft Azure Administrator 项目地址: https://gitcode.com/gh_mirrors/az/AZ-104-MicrosoftAzureAdministrator

实验概述

作为Azure管理员认证系列实验的第一部分，本实验将重点介绍Microsoft Entra ID（原Azure Active Directory）中的用户和组管理。用户和组是构建身份解决方案的基础组件，掌握这些概念对于Azure管理员至关重要。

实验环境要求

• 需要有效的Azure订阅（订阅类型可能影响某些功能的可用性）
• 建议使用美国东部区域（其他区域也可使用，但步骤说明以美国东部为准）
• 预计完成时间：30分钟

实验场景

假设您的组织正在构建一个新的实验室环境，用于应用程序和服务的预生产测试。为此，组织雇佣了几名工程师来管理实验室环境，包括虚拟机。为了允许这些工程师使用Microsoft Entra ID进行身份验证，您需要完成以下任务：

1. 创建和配置用户账户
2. 创建组并添加成员
3. 根据职位自动更新组成员资格（以减少管理开销）

核心概念解析

Microsoft Entra ID简介

Microsoft Entra ID是Azure基于云的身份和访问管理解决方案，提供以下关键功能：

• 用户管理：创建和管理用户账户
• 组管理：组织相关用户或设备
• 身份验证：验证用户身份
• 授权：控制对资源的访问权限

租户(Tenant)概念

租户是Microsoft Entra ID的特定实例，包含账户和组。每个组织通常有一个默认租户，但可以根据需要创建多个租户并在它们之间切换。

实验任务详解

任务1：创建和配置用户账户

创建新用户

1. 登录Azure门户后，搜索并选择"Microsoft Entra ID"
2. 在左侧导航栏选择"用户"
3. 点击"新建用户"→"创建新用户"
4. 配置以下用户属性：

设置项	值
用户主体名称	az104-user1
显示名称	az104-user1
自动生成密码	勾选
账户启用	勾选
职位(属性标签页)	IT Lab Administrator
部门(属性标签页)	IT
使用位置(属性标签页)	美国

5. 检查无误后点击"创建"

邀请外部用户

1. 在"新建用户"下拉菜单中选择"邀请外部用户"
2. 填写以下信息：

设置项	值
电子邮件	您的电子邮件地址
显示名称	您的姓名
发送邀请消息	勾选
消息内容	Welcome to Azure and our group project

3. 在"属性"标签页补充以下信息：

设置项	值
职位	IT Lab Administrator
部门	IT
使用位置	美国

4. 完成邀请后，您将收到邀请邮件

任务2：创建组并添加成员

组类型说明

Microsoft Entra ID支持两种主要组类型：

1. 安全组：用于管理对资源的访问权限
2. Microsoft 365组：提供协作功能，包括共享邮箱、日历等

组成员资格类型

1. 静态分配：管理员手动添加/移除成员
2. 动态分配：基于用户/设备属性自动更新成员（需要Entra ID Premium P1或P2许可证）

创建安全组

1. 在Microsoft Entra ID中，选择"组"
2. 点击"新建组"
3. 配置以下组属性：

设置项	值
组类型	安全组
组名称	IT Lab Administrators
组描述	Administrators that manage the IT lab
成员资格类型	分配

4. 添加组所有者（选择您自己）
5. 添加组成员（选择之前创建的az104-user1和邀请的外部用户）
6. 点击"创建"完成组创建

高级功能探索

组策略配置

1. 过期策略：可配置组的生命周期（天数），到期后需要所有者续订
2. 命名策略：可配置阻止的词语，并为组名添加前缀/后缀

动态组成员资格

虽然本实验使用静态分配，但在实际环境中，动态组成员资格可以显著减少管理开销。例如，可以创建基于"职位=IT Lab Administrator"的动态规则，自动包含所有符合条件的用户。

最佳实践建议

1. 用户管理策略：

   • 规划好用户命名规范
   • 确保所有必要属性（如部门、职位）完整填写
   • 考虑使用批量导入而非单个创建

2. 组管理策略：

   • 制定清晰的组命名规范
   • 为关键组分配多个所有者
   • 定期审查组成员资格
   • 优先考虑动态组（如果许可证允许）

3. 外部用户管理：

   • 明确外部用户的访问权限
   • 设置外部用户的过期策略
   • 定期审查外部用户访问

知识扩展

自动化管理

对于大规模环境，考虑使用以下工具自动化用户和组管理：

1. Azure PowerShell：如New-AzADUser、New-AzADGroup等cmdlet
2. Azure CLI：如az ad user create、az ad group create等命令
3. Microsoft Graph API：提供编程方式管理身份

混合身份解决方案

对于既有本地Active Directory又有Microsoft Entra ID的环境，可以考虑：

1. 密码哈希同步：最简单的混合身份解决方案
2. 直通认证：用户使用本地密码直接认证到云服务
3. 联合认证：通过AD FS等联合服务实现单点登录

总结

通过本实验，您应该已经掌握了Microsoft Entra ID中用户和组管理的基础知识。这些技能是Azure管理员日常工作的基础，也是AZ-104认证考试的重要考点。建议在实际工作中多加练习，并探索更高级的身份管理功能，如条件访问、身份保护和特权身份管理等。

【免费下载链接】AZ-104-MicrosoftAzureAdministrator AZ-104 Microsoft Azure Administrator 项目地址: https://gitcode.com/gh_mirrors/az/AZ-104-MicrosoftAzureAdministrator