微软把Azure Active Directory改名为Microsoft Entra ID已经有一段时间了,但很多人还是搞不清这套系统到底在管什么。简单来说,这是Azure的身份管理中心——你登录Azure Portal时的账号验证、每个应用的访问权限、每个用户能做什么操作,全在这里定义。

身份管理的核心是回答三个问题:你是谁?你真的是你吗?你被允许做什么?这三个问题对应IAM(Identity and Access Management)的三个环节:身份识别、认证、授权。而RBAC(Role-Based Access Control)解决的是最后一个问题——授权。

打开网易新闻 查看精彩图片

RBAC的逻辑很直接:不给所有人管理员权限,而是按角色分配。Global Administrator能管一切,User Administrator管用户账号,Security Administrator管安全策略。最小权限原则(PoLP)要求用户只获得完成工作所需的最低权限。

本文通过一个完整练习演示Azure Entra ID的用户与角色管理:创建用户→赋予Global Administrator权限→用该账号创建第二个用户→回收权限。全程在Azure Portal完成,需要有效订阅和访问权限。

练习目标很明确:验证IAM最佳实践的可操作性。创建第一个测试用户后,为其分配Global Administrator角色,然后注销当前会话,用新账号重新登录。这一步验证权限提升是否生效——如果登录成功且能看到全部管理选项,说明RBAC分配正确。

接下来用已提升权限的账号创建第二个用户。此时系统不会提示权限不足,因为Global Administrator拥有租户级别的完全控制。创建完成后,返回第一个用户的角色分配页面,移除Global Administrator角色。这个回收动作测试的是权限降级的即时性——理论上,刷新会话后该账号应立即失去管理员能力。

整个过程需要截图记录三个关键状态:初始用户创建后的默认权限、角色提升后的管理界面、权限回收后的访问限制。这些文档既是操作凭证,也用于理解Azure IAM的权限传播机制——角色变更通常在几分钟内生效,但部分服务可能需要重新认证才能感知变化。

对于刚接触Azure的管理员,这个练习的价值在于建立直觉:权限不是静态标签,而是动态绑定的关系。用户对象和角色分配是分离的实体,这意味着同一个人可以在不同时间拥有完全不同的访问能力,而无需删除或重建账号。这种设计支撑了零信任架构的核心假设——永不信任,持续验证。