利用一個作用中 Azure 帳戶和一或多個 Azure 租用戶,您可以設定 DRA 以搭配使用 Azure Active Directory 來管理使用者和群組物件。這些物件包括在 Azure 中建立的使用者和群組,以及從 DRA 管理的網域與 Azure 租用戶同步化的使用者和群組。
Azure PowerShell 模組、Azure Active Directory 和 Azure Resource Manager 設定檔都是管理 Azure 任務所需。您也需要 Azure Active Directory 中的帳戶。如需 Azure 租用戶存取帳戶許可權的相關資訊,請參閱最低權限 DRA 存取帳戶。
重要:對 Azure 物件的操作,例如:建立、修改、刪除、停用和啟用在「委託和組態主控台」中不受支援。
您可以使用 DRA 管理員或具有委託角色「設定伺服器和網域」的助理管理員來管理 Azure 租用戶,並且 Azure 內建角色是管理 Azure 物件所需。
如需委託 Azure 物件,請指定下列 Azure 角色:
Azure 群組管理: 提供管理 Azure 群組和 Azure 群組成員資格所需的所有權限。
Azure 使用者管理: 提供管理 Azure 使用者所需的所有權限。
使用下列權限來委託 Azure 使用者和群組指定的建立和管理。
Azure 使用者帳戶權限:
建立 Azure 使用者及修改所有內容
永久刪除 Azure 使用者帳戶
管理 Azure 使用者的登入
管理 Azure 使用者同步至 Azure 租用戶的登入
修改所有 Azure 使用者內容
重設 Azure 使用者帳戶密碼
檢視所有 Azure 使用者內容
Azure 群組權限:
將物件新增至 Azure 群組
建立 Azure 群組及修改所有內容
刪除 Azure 群組帳戶
修改所有 Azure 群組內容
從 Azure 群組移除物件
檢視所有 Azure 群組內容
若要管理 Azure 使用者或群組的精細層次內容,您可以透過選取指定的物件屬性來建立自定權限。
支援下列 Azure 群組類型:
配送清單
已啟用郵件功能的安全性
Office 365
安全性
附註:不支援在 Azure 中建立的訪客使用者。
若要管理新的 Azure 租用戶,請透過在「委託和組態主控台」中完成 Azure 應用程式來新增新的租用戶。DRA 同時支援線上和離線建立 Azure 應用程式,並且需要 Azure 應用程式具有下列許可,以便在租用戶中管理物件:
讀取和寫入所有使用者的完整設定檔
讀取和寫入所有群組
讀取目錄資料
這些許可將利用線上和離線方法自動授予給 Azure 應用程式。
若要線上建立 Azure 應用程式並新增租用戶:
在「委託和組態主控台」中,導覽至組態管理 > Azure 租用戶。
以滑鼠右鍵按一下 「Azure 租用戶」,並選取「新增 Azure 租用戶」。
(選用) 指定用來在同步化期間,將您的 Active Directory 物件與 Azure 映射的來源錨點屬性。
指定用來存取 Azure 租用戶的帳戶,然後驗證身分證明。
如需 Azure 租用戶存取帳戶許可權的相關資訊,請參閱最低權限 DRA 存取帳戶。
選取允許 DRA 建立 Azure 應用程式選項。
指定具有 Azure AD 公司管理員角色的使用者帳戶的身分證明,然後驗證身分證明。
按一下 Finish (完成)。
新增 Azure 租用戶可能需要數分鐘的時間。成功新增租用戶之後,DRA 會對租用戶執行完整帳戶快取重新整理,並且該新增的租用戶會顯示在「Azure 租用戶」檢視窗格中。
若要針對 DRA 離線建立 Azure 應用程式並新增租用戶:
在「委託和組態主控台」中,導覽至組態管理 > Azure 租用戶。
以滑鼠右鍵按一下 Azure 租用戶,並選取新增 Azure 租用戶。
(選用) 指定用來在同步化期間,將您的 Active Directory 物件與 Azure 映射的來源錨點屬性。
指定用來存取 Azure 租用戶的帳戶,然後驗證身分證明。
選取離線建立 Azure 應用程式選項。
在 DRA 管理伺服器中啟動 PowerShell 工作階段,並導覽至 C:\Program Files (x86)\NetIQ\DRA\SupportingFiles
執行 . .\NewDraAzureApplication.ps1 以載入 PowerShell。
執行 New-DRAAzureApplication Cmdlet 以提示輸入參數。
針對 New-DraAzureApplication 指定下列參數:
<name> - 來自租用戶精靈的應用程式名稱。
重要:Micro Focus 建議您使用 DRA 主控台中指定的名稱。
(選用) <environment> - 指定 AzureCloud、AzureChinaCloud、AzureGermanyCloud 或 AzureUSGovernment,取決於您使用的租用戶而定。
在「身分證明」對話方塊中,指定「公司管理員」身分證明。
Azure 應用程式 ID 和密碼隨即產生。
將應用程式 ID 和密碼複製到 DRA 主控台 (租用戶精靈 DRA Azure 應用程式身分證明),然後驗證身分證明。
按一下 Finish (完成)。
新增 Azure 租用戶可能需要數分鐘的時間。成功新增租用戶之後,DRA 會對租用戶執行完整帳戶快取重新整理,而該新增的租用戶會顯示在「Azure 租用戶」檢視窗格中。
如果您需要重設 Azure 密碼,無論是線上或離線 (如適用),請遵循以下步驟。
若要使用 Azure 身分證明重設 DRA 的 Azure 應用程式密碼:
在「委託和組態主控台」中,導覽至組態管理 > Azure 租用戶。
以滑鼠右鍵按一下受管理 Azure 租用戶,然後選取內容。
在「內容」頁面中按一下 「Azure 應用程式」。
選擇允許 DRA 使用您的 Azure 身分證明重設密碼選項,然後指定 Azure 身分證明。
套用變更。
若要離線重設 DRA 的 Azure 應用程式密碼:
在 DRA 管理伺服器中啟動 PowerShell 工作階段,並導覽至 C:\Program Files (x86)\NetIQ\DRA\SupportingFiles
執行 . .\ResetDraAzureApplicationPassword.ps1 以載入 PowerShell。
執行 . .\ResetDraAzureApplicationPassword Cmdlet 以提示輸入參數。
針對 Reset-DRAAzureApplicationPassword 指定下列參數:
<name> - 來自租用戶精靈的應用程式名稱。
重要:Micro Focus 建議您使用 DRA 主控台中指定的名稱。
(選用) <environment> - 指定 AzureCloud、AzureChinaCloud、AzureGermanyCloud 或 AzureUSGovernment,取決於您使用的租用戶而定。
在「身分證明」對話方塊中,指定「公司管理員」身分證明。
Azure 應用程式 ID 和密碼隨即產生。
將應用程式 ID 和密碼複製到 DRA 主控台 (租用戶精靈 DRA Azure 應用程式身分證明),然後驗證身分證明。
開啟「委託和組態主控台」,並導覽至「組態管理 > Azure 租用戶」。
以滑鼠右鍵按一下 Azure 租用戶,並移至「內容 > Azure 應用程式」。
選擇使用提供的程序檔選項離線重設密碼,然後將自程序檔產生的 Azure 應用程式密碼貼上。
套用變更