使用活动的 Azure 帐户和一个或多个 Azure 租户,您可以配置 DRA 以与 Azure Active Directory 一起使用以管理用户和组对象。这些对象包含 Azure 中创建的用户和组,以及从 DRA 受管域与 Azure 租户同步的用户和组。
需要 Azure PowerShell 模块、Azure Active Directory 和 Azure 资源管理器配置文件才能管理 Azure 任务。您也需要 Azure Active Directory 中的帐户。有关 Azure 租户访问帐户许可权限的信息,请参见最小特权 DRA 访问帐户。
重要说明:Delegation and Configuration(委托和配置)控制台不支持对 Azure 对象的操作,例如创建、修改、删除、禁用和启用。
您可以使用 DRA 管理员或已委托 "Configure Servers and Domains"(配置服务器和域)角色的助理管理员管理 Azure 租户,且需要 Azure 内置角色才能管理 Azure 对象。
为委托 Azure 对象,指派以下 Azure 角色:
Azure Group Administration(Azure 组管理): 提供管理 Azure 组和 Azure 组成员资格所需的所有权限。
Azure User Administration(Azure 用户管理): 提供管理 Azure 用户所需的所有权限。
使用以下权限委托创建和管理 Azure 用户和组。
Azure 用户帐户权限:
Create Azure User and Modify All Properties(创建 Azure 用户和修改所有属性)
Delete Azure User Account Permanently(永久删除 Azure 用户帐户)
Manage Sign-In for Azure Users(管理 Azure 用户的登录)
Manage Sign-In for Azure Users Synced to Azure Tenant(管理同步到 Azure 租户的 Azure 用户的登录)
Modify All Azure User Properties(修改所有 Azure 用户属性)
Reset Azure User Account Password(重设置 Azure 用户帐户口令)
View All Azure User Properties(查看所有 Azure 用户属性)
Azure 组权限:
Add Object to Azure Group(将对象添加到 Azure 组)
Create Azure Group and Modify All Properties(创建 Azure 组和修改所有属性)
Delete Azure Group Account(删除 Azure 组帐户)
Modify All Azure Group Properties(修改所有 Azure 组属性)
Remove Object from Azure Group(从 Azure 组中去除对象)
View All Azure Group Properties(查看所有 Azure 组属性)
要针对 Azure 用户或组管理更细粒度级别的属性,您可以通过选择指定的对象属性创建自定义权限。
支持以下 Azure 组类型:
分发列表
有邮件功能的安全性
Office 365
安全性
注:不支持在 Azure 中创建的 Guest 用户。
要管理新的 Azure 租户,请通过在 Delegation and Configuration(委托和配置)控制台中完成 Azure 应用程序添加新租户。DRA 支持联机和脱机创建 Azure 应用程序,且需要具有以下许可权限的 Azure 应用程序才能管理租户中的对象:
读取和写入所有用户的完整个人资料
读取和写入所有组
读取目录数据
这些许可权限将自动授予联机和脱机 Azure 应用程序。
要联机创建 Azure 应用程序并添加租户:
在 Delegation and Configuration(委托和配置)控制台中,导航到 Configuration Management(配置管理)> Azure Tenants(Azure 租户)。
右键单击 Azure Tenants(Azure 租户),然后选择 New Azure Tenant(新 Azure 租户)。
(可选)指定用于在同步期间将 Active Directory 对象映射到 Azure 的源定位属性。
指定用于访问 Azure 租户的帐户,然后验证身份凭证。
有关 Azure 租户访问帐户许可权限的信息,请参见最小特权 DRA 访问帐户。
选择 Allow DRA to create the Azure application(允许 DRA 创建 Azure 应用程序)选项。
为具有 Azure AD 公司管理员角色的用户帐户指定身份凭证,然后验证身份凭证。
单击 Finish(完成)。
添加 Azure 租户可能需要几分钟时间。租户成功添加后,DRA 会针对租户执行完全帐户超速缓存刷新,添加的租户会显示在 Azure 租户视图窗格中。
要针对 DRA 脱机创建 Azure 应用程序并添加租户:
在 Delegation and Configuration(委托和配置)控制台中,导航到 Configuration Management(配置管理)> Azure Tenants(Azure 租户)。
右键单击 Azure Tenants(Azure 租户),然后选择 New Azure Tenant(新 Azure 租户)。
(可选)指定用于在同步期间将 Active Directory 对象映射到 Azure 的源定位属性。
指定用于访问 Azure 租户的帐户,然后验证身份凭证。
选择 Create the Azure application offline(脱机创建 Azure 应用程序)选项。
在 DRA 管理服务器中,起动 PowerShell 会话,然后导航至 C:\Program Files (x86)\NetIQ\DRA\SupportingFiles
执行 . .\NewDraAzureApplication.ps1 以装载 PowerShell。
执行 New-DRAAzureApplication cmdlet 以提示输入参数。
针对 New-DraAzureApplication 指定以下参数:
<name> - 租户向导的应用程序名称。
重要说明:Micro Focus 建议您使用 DRA 控制台中指定的名称。
(可选)<environment> - 根据使用的租户,指定 AzureCloud、AzureChinaCloud、AzureGermanyCloud 或 AzureUSGovernment。
在 Credential(身份凭证)对话框中,指定公司管理员身份凭证。
将生成 Azure 应用程序 ID 和口令。
将应用程序 ID 和口令复制到 DRA 控制台(租户向导 DRA Azure Application Credentials(DRA Azure 应用程序身份凭证)),然后验证身份凭证。
单击 Finish(完成)。
添加 Azure 租户可能需要几分钟时间。租户成功添加后,DRA 会针对租户执行完全帐户超速缓存刷新,然后,添加的租户会显示在 Azure 租户视图窗格中。
如果您需要联机或脱机(如果适用)重设置 Azure 口令,请按照以下步骤继续操作。
要使用 Azure 身份凭证针对 DRA 重设置 Azure 应用程序口令:
在 Delegation and Configuration(委托和配置)控制台中,导航到 Configuration Management(配置管理)> Azure Tenants(Azure 租户)。
右键单击受管 Azure 租户,然后选择Properties(属性)。
单击“属性”页面中的 Azure Application(Azure 应用程序)。
选择 Allow DRA to reset the password using your Azure Credentials(允许 DRA 使用 Azure 身份凭证重设置口令),然后指定 Azure 身份凭证。
应用更改。
要脱机针对 DRA 重设置 Azure 应用程序口令:
在 DRA 管理服务器中,起动 PowerShell 会话,然后导航至 C:\Program Files (x86)\NetIQ\DRA\SupportingFiles
执行 . .\ResetDraAzureApplicationPassword.ps1 以装载 PowerShell。
执行 . .\ResetDraAzureApplicationPassword cmdlet 以提示输入参数。
针对 Reset-DRAAzureApplicationPassword 指定以下参数:
<name> - 租户向导的应用程序名称。
重要说明:Micro Focus 建议您使用 DRA 控制台中指定的名称。
(可选)<environment> - 根据使用的租户,指定 AzureCloud、AzureChinaCloud、AzureGermanyCloud 或 AzureUSGovernment。
在 Credential(身份凭证)对话框中,指定公司管理员身份凭证。
将生成 Azure 应用程序 ID 和口令。
将应用程序 ID 和口令复制到 DRA 控制台(租户向导 DRA Azure Application Credentials(DRA Azure 应用程序身份凭证)),然后验证身份凭证。
打开 Delegation and Configuration(委托和配置)控制台,然后导航到 Configuration Management(配置管理)> Azure Tenants(Azure 租户)。
右键单击 Azure 租户,然后转到 Properties(属性)> Azure Application(Azure 应用程序)。
使用提供的脚本选项,选择 Reset the password offline(脱机重设置口令),然后粘贴脚本生成的 Azure 应用程序口令。
应用更改