Zarządzanie użytkownikami jest łatwe. Później Wam tutaj kolejny wpis podlinkuję. Co natomiast z grupami?
Grupy pozwalają nam na zarządzanie dostępami do zasobów. Pozwalaja nam określić, który użytkownik lub urządzenie będzie otrzymywał określoną konfigurację urządzenia. Dzięki grupom będziemy mogli pracować z AutoPilotem. Grupując użytkowników możemy zarządzać licencjami. Tak sobie pomyślałem właśnie, że grupy to podstawa pracy w Azure AD.
Pokażę wam dziś – czym są grupy, jakie są ich rodzaje oraz powiem o operatorach.
Po pierwsze, grupy możemy tworzyć z kilku portali. Z portalu admin.microsoft.com, z portalu MEM, z portalu AAD… W sumie – z racji tego, że najczęściej korzystam z portalu MEM – tam właśnie tworzę grupy. Dziś jednak skupię się na portalu AAD – portal.azure.com
Aby stworzyć nową grupę, klikamy na New Group i wybieramy typ:
Security lub Microsoft 365.
Grupy Microsoft 365 to nic innego jak grupy typu collaboration, które skupiają jakiś dział, grupę pracowników. Mają oni swój kanał na Teams, witrynę na Sharepoint i tak dalej… Nas przeważnie będą interesować grupy typu Security.
Musimy podać nazwę grupy, jej opis oraz możemy, ale nie musimy podać właściciela grupy.
Kolejną opcją o której musimy zdecydować jest typ grupy:
- Static
- Dynamic User
- Dynamic Devices
Pierwszy typ polega na utworzeniu grupy składającej się z obiektów, które sami wskażemy. Zawsze musimy pamiętać o tym, żeby uaktualniać manualnie taką grupę. Obiektami mogą być urządzenia, użytkownicy…
Drugi typ grupy to grupy typu Dynamic.
Mamy grupę urządzeń typu Kiosk, które mają określoną nazwę na początku? Mamy użytkowników z działu HR, ktorzy mają określony dział? Mamy urządzenia o określonym Group Tag w AutoPilot? Nie chcemy pamiętać, aby manualnie dodawać użytkowników czy też usuwać ich z grupy? Przychodzi nowy pracownik i automatycznie powinien dostać odpowiednie licencje. Nie powinno być z naszej strony żadnej ingerencji.
Dynamic Users – jak sama nazwa wskazuje pozwala na wybranie użytkowników według określonego wzoru – używając dynamic query. Należy podać wlaściwość po której szukamy użytkowników, operator oraz czego szukamy.
Dla przykładu, jeżeli chcemy zrobić grupę użytkowników, którzy pracują w dziale HR – i taki dział mają wpisany to musimy stworzyć zapytanie:
user.department -eq "HR"
W ten sposób zostanie utworzona grupa wszystkich pracowników pracujących w dziale o nazwie “HR”. Nie musimy się martwić o to, że nowy pracownik został zatrudniony. Nie musimy się martwić o to, że jakiś pracownik zmienił dział – zostanie automatycznie usunięty z tej grupy.
To samo tyczy się typu Dynamic Devices.
Pierwszy wpis o grupie typu Dynamic Devices już powstał – mianowicie jak stworzyć grupę dla wszystkich zaimportowanych urządzeń do AutoPilota.
Możemy sobie stworzyć grupę urządzeń o określonym systemie operacyjnym, wersji… Grupę z określonym modelem laptopa i tym podobne….
Podsumowując – bez grup nie ma pracy w MEM ani w AAD. To jest podstawa.
A – i najważniejsze są operatory.
O tym jak tworzyć zaawansowane reguły w AAD możecie poczytać tutaj.