Již víme jaké máme licence v Azure AD a jak na nich ušetřit. Dnes se podíváme na to, jak fungují veškeré objekty v Azure AD, jak se nastavují a doporučím vychytávky, které nám usnadní práci se správou objektů v Azure.
Objektů v Azure existuje pět:
Users - uživatelé, Groups - skupiny, Service principal - aplikace, Managed Identities - interní zdroje a Devices - zařízení
Vezmeme si je jeden po druhém, výsvětlíme a ukážeme k čemu jsou dobré.
Users - Uživatelé
Lidé, kteří mají účty v Azure a přihlašují se pod svými přihlašovacími údaji. Můžeme mít klasického uživatele, nebo pozvat externího člověka k mému cloudu. Nebudu tady popisovat přidání nového uživatele, protože je to jednoduché a intuitivní. Skvělá věc je "Bulk operations", kde můžu přidávat účty po desítkách, či stovkách najednou. Šetří to ohromně práci.
V Azure portale napíšeme do vyhledávání "Azure Active Directory", poté v levém menu na stránce "Azure Active Directory" vybereme "Users" - uživatele a tam uprostřed nahoře máme "Bulk operations"
Po kliknutí na "Bulk create" se nám objeví nové okno, kde můžeme stáhnout template v csv formátu, vyplnit podle vzoru a následně vložit a dokončit operaci.
Groups - skupiny uživatelů
Skupiny uživatelů se nám dělí na Assigned(statické) a Dynamic (dynamické). Statická skupina uživatelů je ta, kam manuálně přidávám uživatele a mohu je ubrat či přidat pouze manuálním zásahem. Oproti tomu dynamická skupina je skupina, kam pomocí určitých atributů nebo pravidel automaticky přiřazuji jednotlivé uživatele.
Pokud zakládáte novou skupinu a chcete, aby byla dynamická, pak je zapotřebí mít správnou licenci, jinak Vám nepůjde založit. Dynamické skupiny jsou pouze pro Azure AD licence Premium P1 a P2. Musíte mít alespoň jednoho uživatele, nejlépe Administrátora, který má licenci P1 nebo P2 a ten může zakládat a spravovat dynamické skupiny.
Jakmile máme správné licence, můžeme zvolit možnost "Dynamic user" a poté kliknout na "Add dynamic query". Zde můžeme zvolit dynamické pravidlo, které bude samo mazat i přidávat uživatele podle toho, do jakého patří města, či oddělení atd…
Service Principal - Aplikace
Service principal je externí aplikace, která je registrovaná v Azure AD a má oprávnění pro přístup ke zdrojům v Azure cloudu. Tento přístup je samozřejmě omezen rolemi přiřazenými od Azure. Laicky řečeno, Service Principal je uživatel/aplikace (ne člověk), která má přístup do Azure a do námi definovaných zdrojů. Může to být například Office 365 on-premise sahající do cloudu pro data, nebo partnerský portál atd.
Nejdříve je zapotřebí takovou aplikaci v Azure zaregistrovat. Na úvodní stránce Azure AD v levém menu klikneme na "Enterprise applications"
Poté klikneme na "New application"
Následně si vybereme svou vlastní aplikaci, nebo některou z předdefinovaných aplikací v Azure. Pak už postupujeme podle návodu.
Managed Identities
Speciální případ "Service principal", kde interní zdroje Azure mohou přistupovat k jiným interním zdrojům Azure bez nutnosti zadávat přihlašovací údaje. Máme systémově přiřazené identity (System-assigned managed identity) a uživatelem přiřazené identity (User-assigned managed identity). Příkladem toho jsou aplikace, která běží na jednom virtuálním stroji. Mezi aplikací a virtuálkou je systémově přiřazená identita (System-assigned managed identity) a proto spolu mohou komunikovat. Dalším příkladem může být více virtuálních strojů, které přistupují ke stejné databázi.
Managed identity můžeme spravovat tak, že na úvodní stránce Azure portále dáme vyhledat "Managed Identity" a zde můžeme spravovat veškeré identity, vytvářet je i mazat.
Devices - Zařízení
V poslední době velmi oblíbenou skupinou objektů v Azure AD jsou devices (zařízení). Jsou to externí zařízení, která jsou registrována a ověřována do Azure AD cloudu, aby s nima mohla spolupracovat. Jsou to například mobilní telefony jak soukromé, tak firemní. Firemní notebooky, počítače atd. Dělí se na dvě podskupiny:
- Registered devices (Registrovaná zařízení) - Tyto zařízení můžou být registrované v AD (můj vlastní mobil či laptop) a tudíž spravované z Azure AD pomocí in-tune například přes Microsoft účet. Registrovaná zařízení mohou běžet na několika operačních systémech jako je IOS, Android, MacOS, Win 10 atd.
- Joined devices (připojená zařízení) - Zařízení mohou být přímo spojené (joined-in firemní mobil či laptop) a pak jsou plně spravované pomocí účtu Azure AD a fungují jen pouze Windows 10 nebo Windows server 2019 a novější.
Zařízení najdeme v Azure AD na hlavní obrazovce v levém hlavním menu "Devices" a můžeme tak spravovat veškeré zařízení připojená k Azure AD.
Azure AD je velmi důležitý nástroj na správu uživatelů, účtů, zařízení i jejich přístupy. Sami vidíte, že je množství identit, které může Azure AD spravovat a které nám automaticky pomáhají. Zařízení jako jsou telefony či laptopy připojené do Azure AD, můžeme z jednoho místa synchronizovat, aktualizovat a spravovat, což je obrovská výhoda a úspora času.