16、深入探索Azure身份访问管理与权限管理服务

深入探索Azure身份访问管理与权限管理服务

1. 管理Azure AD用户

在Azure Active Directory（Azure AD）中，创建用户账户时，即便有许多可用参数，但仅需 -FirstName 、 -LastName 、 -DisplayName 和 -UserPrincipalName 这几个参数就能完成基本创建。后续可使用 Set-MSOLUser 命令更新用户账户并添加更多信息。

# 创建用户账户，使用最少参数
New-MsolUser -FirstName 'Yahia' -LastName 'Sherif' -DisplayName "Yahia Sherif" -UserPrincipalName Yahia.Sherif@Company123.com

若未为用户指定密码， New-MSOLUser 命令会为该用户账户生成随机密码，之后可使用 Set-MSOLUserPassword 命令重置密码。

# 重置Azure AD用户密码
Set-MSOLUserPassword -UserPrincipalName Yahia.Sherif@Company123.com -NewPassword Microsoft@123 -ForceChangePassword $true

若要从Azure AD中移除用户账户，可使用 Remove-MSOLUser 命令。此命令是移除通过Azure AD Connect同步的用户的唯一方式，且无图形界面操作。默认情况下，被移除的用户账户会进入Azure AD回收站，可在30天内恢复意外删除的用户。若要一次性永久删除用户，可使用 -RemoveFromRecycleBin 参数。

# 移除Azure AD用户
Remove-MSOLUser -UserPrincipalName Yahia.Sherif@Company123.com -RemoveFromRecycleBin

从回收站恢复用户，可先使用带 -ReturnDeletedUsers 参数的 Get-MSOLUser 命令，再用 Restore-MSOLUser 命令恢复账户。

# 恢复Azure AD已删除用户
Get-MSOLUser -ReturnDeletedUsers | Restore-MSOLUser

2. 管理Azure AD许可证和订阅

Azure AD是Azure、Intune、Office 365和CRM等微软在线服务的核心目录服务，存储着服务订阅、许可证、用户、组、设备等信息，可对其进行管理。

使用 Get-MSOLSubscription 命令可获取公司购买的所有微软在线服务订阅列表，包括订阅信息、购买日期、到期/续订日期和许可证数量。

使用 Get-MSOLAccountSku 命令可获取许可证SKU、活动许可证、已使用许可证和警告许可证（大多为过期许可证）信息。

# 获取账户SKU
Get-MsolAccountSku

AccountSkuId	ActiveUnits	WarningUnits	ConsumedUnits
Company123:CRMSTANDARD	0	25	3
Company123:INTUNE_A	25	0	2
Company123:AAD_PREMIUM	100	0	4
Company123:RIGHTSMANAGEMENT_ADHOC	1000	1

使用 Set-MSOLUserLicense 命令进行许可证分配， –AddLicenses 参数用于分配许可证， -RemoveLicenses 用于移除许可证。

# 为用户分配许可证
Set-MsolUserLicense -UserPrincipalName Yahia.Sherif@Company123.com -AddLicenses @("Company123:INTUNE_A","Company123:AAD_PREMIUM") -RemoveLicenses "Company123:CRMSTANDARD"

3. 管理Azure AD组的成员资格

Windows Server Active Directory和Azure AD都有组，用于根据特定标准或共同属性对用户进行分类和筛选。

创建新的Azure AD安全组，使用 New-MSOLGroup 命令，结合 -DisplayName 、 -Description 和 -ManagedBy 参数。

# 获取ManagedBy用户信息
$User = Get-MSOLUser -UserPrincipalName admin@Company123.com
# 创建Azure AD安全组
New-MSOLGroup -DisplayName 'Finance' -Description 'Finance Department Employees' -ManagedBy $User.ObjectID

更新组信息使用 Set-MSOLGroup 命令，移除组使用 Remove-MSOLGroup 命令。

添加成员到组，使用 Add-MSOLGroupMember 命令，指定成员对象ID、组对象ID和成员类型（用户或组）。

# 获取组对象
$Group = Get-MsolGroup | Where DisplayName -eq "Finance"
# 获取成员对象
$Member = Get-MsolUser -UserPrincipalName Yahia.Sherif@Company123.com
# 添加成员到组
Add-MsolGroupMember -GroupObjectid $Group.ObjectId -GroupMemberObjectId $Member.ObjectId -GroupMemberType "User"

移除组成员，将 Add-MSOLGroupMember 命令替换为 Remove-MsolGroupMember 命令。

获取特定组的成员列表，使用 Get-MSOLGroupMember 命令。

4. 管理Azure AD角色成员资格

Azure AD有不同的用户角色，如用户、全局管理员、服务管理员等。使用的微软在线服务越多，角色也越多。

获取Azure AD租户下的可用角色列表，使用 Get-MSOLRole 命令。

# 获取Azure AD角色
Get-MsolRole | Select Name,Description | Out-GridView

获取每个角色的成员列表，使用 Get-MSOLRoleMember 命令。

# 获取所有可用角色
$Roles = Get-MsolRole
# 循环获取每个角色的成员
ForEach($Role in $Roles)
{
    Get-MsolRoleMember -RoleObjectId $Role.ObjectId
}

添加用户到特定角色，使用 Add-MsolRoleMember 命令，指定角色名称和成员电子邮件地址。

# 添加用户到角色
Add-MsolRoleMember -RoleName "Company Administrator" -RoleMemberEmailAddres Yahia.Sherif@Company123.com

移除用户的角色，使用 Remove-MsolRoleMember 命令。

获取特定用户的角色，使用 Get-MsolUserRole 命令。

# 获取用户角色
Get-MsolUserRole -UserPrincipalName Yahia.Sherif@Company123.com

由于PowerShell操作角色便捷，可能会导致用户权限过大，建议使用Azure AD特权身份管理来管理和控制特权身份，监控对Azure AD和其他微软在线服务的访问。

5. 管理Azure AD租户信息

Azure AD的PowerShell模块有一组用于管理租户信息和设置的命令。 Get-MsolCompanyInformation 命令可返回公司信息，如下表所示：

Property	Description
AuthorizedServiceInstances	公司的服务列表
City	公司所在城市
CompanyType	公司租户类型（合作伙伴或常规租户）
Country	公司所在国家
CountryLetterCode	公司所在国家的双字母代码
DirectorySynchronizationEnabled	若为true，表示公司已启用目录同步
DisplayName	公司的显示名称
InitialDomain	公司的初始域名（companyname.onmicrosoft.com）
LastDirSyncTime	公司最后一次运行目录同步的时间
LastPasswordSyncTime	公司最后一次运行密码同步的时间
MarketingNotificationEmails	用于发送营销通知的电子邮件地址
ObjectId	公司的唯一ID
PasswordSynchronizationEnabled	若为true，表示公司已启用密码同步
PostalCode	公司的邮政地址
PreferredLanguage	公司的默认语言
SelfServePasswordResetEnabled	若为true，表示公司已启用自助密码重置
State	公司所在州
Street	公司的街道地址
TechnicalNotificationEmails	用于发送重要通知的电子邮件地址
TelephoneNumber	公司的电话号码
UsersPermissionToCreateGroupsEnabled	若为true，表示公司用户可以创建组
UsersPermissionToCreateLOBAppsEnabled	若为true，表示公司用户可以创建新应用程序
UsersPermissionToReadOtherUsersEnabled	若为true，表示公司用户可以查看其他用户的个人资料信息
UsersPermissionToUserConsentToAppEnabled	若为true，表示公司用户可以同意需要访问其云数据的应用程序

可使用一些 set-* 命令修改这些信息，如 Set-MsolDirSyncEnabled 命令用于开启或关闭目录同步。

# 设置公司联系信息
Set-MsolCompanyContactInformation -TechnicalNotificationEmails IT@Company123.com -MarketingNotificationEmails info@Company123.com

# 设置安全和合规联系信息
Set-MsolCompanySecurityComplianceContactInformation -SecurityComplianceNotificationEmails security@Company123.com -SecurityComplianceNotificationPhones "0123456789"

# 修改公司设置
Set-MsolCompanySettings -SelfServePasswordResetEnabled $true -UsersPermissionToReadOtherUsersEnabled $true -UsersPermissionToCreateGroupsEnabled $false

6. 管理Azure AD域

首次激活微软在线服务时，需创建以 company.onmicrosoft.com 形式的租户。虽然此UPN后缀适用于管理和配置，但用于用户账户（尤其是电子邮件）不太合适。Azure AD允许添加自定义域名，并将其用作用户账户的UPN后缀。

添加域名到Azure AD租户，使用 New-MsolDomain 命令，指定域名和身份验证类型（管理或联合），若未指定身份验证参数，默认值为管理。

# 添加新的MSOL域
New-MsolDomain -Name CompanyDomain.com

添加的域名初始状态为未验证，需在域名的公共DNS上创建唯一的DNS记录（TXT或MX记录）来验证所有权。

# 获取域名验证DNS
Get-MsolDomainVerificationDns -DomainName Company123.com -Mode DnsTXTRecord

创建DNS记录后，使用 Confirm-MsolDomain 命令验证域名。

# 验证域名
Confirm-MsolDomain -DomainName Company123.com
# 验证域名验证状态
(Get-MsolDomain -DomainName Company123.com).Status

若有多个域名，可使用 Set-MsolDomain 命令将特定域名设为默认域名。

# 设置默认域名
Set-MsolDomain -Name Company123.com -IsDefault $true

添加并验证域名后，可使用 Set-MsolUserPrincipalName 命令将其分配给当前用户，更改用户的UPN。

# 更改用户UPN
Set-MsolUserPrincipalName -UserPrincipalName Yahia.Sherif@Company123.onmicrosoft.com -NewUserPrincipalName Yahia.Sherif@Company123.com

还可管理整个租户或特定域的密码策略，使用 Get-MsolPasswordPolicy 命令获取密码策略设置，使用 Set-MsolPasswordPolicy 命令设置密码策略。

# 获取密码策略
Get-MsolPasswordPolicy -DomainName Company123.com

# 设置域的密码策略
Set-MsolPasswordPolicy -DomainName Company123.com -NotificationDays 10 -ValidityPeriod 72

7. Azure权限管理服务概述

在当今移动时代，人们可随时随地使用个人设备访问企业数据、电子邮件、LOB应用程序和其他敏感信息，大量数据可能被未授权人员访问。因此，信息和内容保护解决方案至关重要，权限管理解决方案可通过定义用户权限（如只读、编辑、复制、粘贴、打印、转发等）来加密和保护文件。

Azure权限管理服务（RMS）可视为微软RMS的第二代。自Windows Server 2003起，RMS以Active Directory Rights Management Services（AD RMS）形式存在，用于保护企业敏感数据和信息。但AD RMS存在诸多局限性，如仅适用于Windows操作系统、仅保护微软Office文件、保护PDF文件需第三方工具、共享受保护内容受限、实施复杂等。

微软已克服AD RMS的所有局限性，并在Azure RMS中添加了有趣的功能。Azure RMS是跨平台解决方案，可在Windows、Windows Phone、Mac OS、iOS和Android上运行，能保护任何文件，是基于Azure Active Directory（AD）的云服务，所有加密密钥管理和交换都存储在其中，可在任何地方和设备上访问，无需AD联合即可与任何人共享受保护文件。

Azure RMS还提供文档跟踪等功能，让文件所有者了解谁成功访问或未能访问受保护文件，甚至可立即撤销访问权限。

深入探索Azure身份访问管理与权限管理服务

8. Azure RMS与AD RMS的对比分析

为了更清晰地了解Azure RMS的优势，我们将其与AD RMS进行详细对比，具体内容如下表所示：
|对比项|AD RMS|Azure RMS|
| — | — | — |
|操作系统兼容性|仅适用于Windows操作系统|跨平台，支持Windows、Windows Phone、Mac OS、iOS和Android|
|文件保护范围|仅保护Microsoft Office文件，保护PDF文件需第三方工具|可保护任何文件|
|内容共享能力|需两个组织之间建立联合信任才能与外部人员共享受保护内容|无需AD联合，可与任何人共享受保护文件|
|实施难度|实施复杂|克服了实施复杂性问题|
|其他功能|无|提供文档跟踪功能，可让文件所有者了解访问情况，还能立即撤销访问权限|

从上述对比可以看出，Azure RMS在多个方面都对AD RMS进行了显著的改进，更能满足现代企业在数据保护方面的需求。

9. 配置和管理Azure RMS的关键步骤

以下是使用PowerShell配置和管理Azure RMS的关键步骤，具体如下：
1. 启用Azure RMS服务 ：在开始使用Azure RMS之前，需要先启用该服务。这通常可以通过Azure门户或PowerShell命令来完成。
2. 管理加密密钥 ：由于Azure RMS依赖于Azure Active Directory进行加密密钥的管理和交换，因此需要确保密钥的安全性和有效性。可以使用相关的PowerShell命令来创建、备份和恢复密钥。
3. 配置用户和模板 ：为了实现对文件的精细权限管理，需要配置用户和模板。可以使用PowerShell命令为不同的用户或用户组分配不同的权限模板，例如只读、编辑、打印等。

# 示例：为用户分配权限模板
# 这里假设已经有相应的权限模板和用户信息
Set-AadrmTemplate -TemplateId <模板ID> -UserEmail <用户邮箱>

4. 分析日志 ：Azure RMS会记录各种操作日志，通过分析这些日志可以了解系统的使用情况和安全状况。可以使用PowerShell命令来获取和分析日志。

# 示例：获取Azure RMS日志
Get-AadrmLog -StartTime <开始时间> -EndTime <结束时间>

10. 实施Azure RMS的最佳实践

为了确保Azure RMS的有效实施和使用，以下是一些最佳实践建议：
1. 制定详细的策略 ：在实施Azure RMS之前，需要制定详细的权限管理策略，明确不同用户和用户组的权限范围。这有助于确保数据的安全性和合规性。
2. 进行用户培训 ：由于Azure RMS涉及到新的权限管理概念和操作，因此需要对用户进行培训，让他们了解如何正确使用该服务来保护数据。
3. 定期审计和监控 ：定期对Azure RMS的使用情况进行审计和监控，及时发现和处理异常情况。可以结合使用Azure的监控工具和PowerShell脚本来实现自动化的监控和审计。
4. 与其他安全措施集成 ：将Azure RMS与其他安全措施（如防火墙、入侵检测系统等）集成，形成多层次的安全防护体系，提高企业数据的安全性。

11. Azure RMS的应用场景

Azure RMS在现代企业中有广泛的应用场景，以下是一些常见的应用场景：
1. 保护敏感文档 ：对于企业中的敏感文档（如财务报表、商业机密等），可以使用Azure RMS进行加密和权限管理，确保只有授权人员才能访问和查看这些文档。
2. 安全的邮件通信 ：在企业的邮件通信中，使用Azure RMS可以对邮件内容进行加密和权限控制，防止邮件内容被未授权人员获取和转发。
3. 移动办公安全 ：随着移动办公的普及，员工可以使用个人设备访问企业数据。Azure RMS可以确保这些数据在移动设备上的安全性，即使设备丢失或被盗，数据也不会被泄露。
4. 与合作伙伴共享数据 ：在与合作伙伴进行数据共享时，使用Azure RMS可以对共享的数据进行权限管理，确保数据的安全性和合规性。

12. 总结与展望

通过前面的介绍，我们深入了解了Azure身份访问管理和Azure RMS的相关知识。Azure AD提供了强大的用户、组、角色和租户信息管理功能，能够帮助企业实现精细的身份访问控制。而Azure RMS则为企业的数据保护提供了全面的解决方案，克服了传统AD RMS的诸多局限性。

在未来，随着云计算和移动办公的不断发展，企业对数据安全和权限管理的需求将越来越高。Azure身份访问管理和Azure RMS将在企业的数字化转型中发挥更加重要的作用。企业可以进一步探索如何将这些技术与自身的业务流程相结合，实现更加高效、安全的数据管理和保护。同时，随着技术的不断进步，Azure也可能会推出更多新的功能和特性，为企业提供更加完善的解决方案。

为了更好地展示Azure身份访问管理和Azure RMS的整体流程，以下是一个mermaid格式的流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A([开始]):::startend --> B(Azure身份访问管理):::process
    B --> B1(管理Azure AD用户):::process
    B --> B2(管理Azure AD许可证和订阅):::process
    B --> B3(管理Azure AD组的成员资格):::process
    B --> B4(管理Azure AD角色成员资格):::process
    B --> B5(管理Azure AD租户信息):::process
    B --> B6(管理Azure AD域):::process
    B --> C(Azure RMS):::process
    C --> C1(配置和管理Azure RMS):::process
    C --> C2(Azure RMS应用场景):::process
    C --> C3(实施Azure RMS最佳实践):::process
    C --> D([结束]):::startend

这个流程图展示了从开始到结束的整个过程，涵盖了Azure身份访问管理的各个方面以及Azure RMS的相关操作，帮助读者更好地理解整个体系的架构和流程。