Tweet
Quản lý User trong Azure AD (Microsoft Entra ID) – Những điều cơ bản nhưng cực kỳ quan trọng
Trong bất kỳ hệ thống Cloud nào, đặc biệt là Azure, quản lý danh tính (Identity Management) luôn là nền tảng cốt lõi. Và Azure AD chính là “trái tim” của toàn bộ hệ thống đó.
Một trong những tác vụ đầu tiên mà bất kỳ admin nào cũng phải làm quen chính là quản lý tài khoản người dùng.
Azure AD hỗ trợ hai loại user chính:
User nội bộ (Member)
Đây là tài khoản thuộc tổ chức, được tạo trực tiếp trong Azure AD. Ví dụ: user@company.com
User khách (Guest)
Dùng để mời người ngoài (đối tác, vendor, khách hàng) vào hệ thống. Đây là nền tảng của mô hình B2B collaboration trong Azure.
Điểm quan trọng: Guest user không cần nằm trong domain của bạn nhưng vẫn có thể truy cập tài nguyên theo quyền được cấp.
Trong môi trường enterprise, bạn sẽ không tạo từng user thủ công.
Azure hỗ trợ:
Điều này cực kỳ quan trọng khi:
Không phải user nào cũng có thể quản lý user khác.
Bạn cần một trong các role sau:
Đây là một phần của mô hình RBAC (Role-Based Access Control) trong Azure.
Best Practice:
Không nên dùng Global Admin cho mọi tác vụ hằng ngày. Nên tách role để giảm rủi ro bảo mật.
Một điểm rất hay trong Azure AD:
User bị xóa không mất ngay lập tức.
Điều này giúp:
Azure cung cấp đầy đủ:
Đây là nền tảng cho:
Multi-Factor Authentication là bắt buộc trong môi trường hiện đại.
Một user chỉ dùng password là chưa đủ.
MFA giúp giảm thiểu:
Kết luận
Quản lý user trong Azure AD không chỉ là tạo tài khoản, mà là quản lý toàn bộ vòng đời danh tính:
Một trong những tác vụ đầu tiên mà bất kỳ admin nào cũng phải làm quen chính là quản lý tài khoản người dùng.
- Hai loại user phổ biến trong Azure AD
Azure AD hỗ trợ hai loại user chính:
User nội bộ (Member)
Đây là tài khoản thuộc tổ chức, được tạo trực tiếp trong Azure AD. Ví dụ: user@company.com
User khách (Guest)
Dùng để mời người ngoài (đối tác, vendor, khách hàng) vào hệ thống. Đây là nền tảng của mô hình B2B collaboration trong Azure.
Điểm quan trọng: Guest user không cần nằm trong domain của bạn nhưng vẫn có thể truy cập tài nguyên theo quyền được cấp.
- Quản lý user ở quy mô lớn
Trong môi trường enterprise, bạn sẽ không tạo từng user thủ công.
Azure hỗ trợ:
- Bulk create (tạo hàng loạt bằng file CSV)
- Bulk invite (mời nhiều guest cùng lúc)
- Bulk delete
Điều này cực kỳ quan trọng khi:
- Onboarding nhân sự mới
- Migration hệ thống
- Tích hợp với HR system
- Phân quyền quản trị – không phải ai cũng làm được
Không phải user nào cũng có thể quản lý user khác.
Bạn cần một trong các role sau:
- Global Administrator
- User Administrator
Đây là một phần của mô hình RBAC (Role-Based Access Control) trong Azure.
Best Practice:
Không nên dùng Global Admin cho mọi tác vụ hằng ngày. Nên tách role để giảm rủi ro bảo mật.
- Vòng đời của user trong Azure
Một điểm rất hay trong Azure AD:
User bị xóa không mất ngay lập tức.
- Có thể restore trong vòng 30 ngày
- Sau 30 ngày sẽ bị xóa vĩnh viễn
Điều này giúp:
- Tránh mất dữ liệu do thao tác nhầm
- Hỗ trợ audit và compliance
- Audit và theo dõi đăng nhập
Azure cung cấp đầy đủ:
- Sign-in logs (ai đăng nhập, từ đâu, lúc nào)
- Audit logs (ai tạo user, xóa user, thay đổi quyền)
Đây là nền tảng cho:
- SOC monitoring
- Incident response
- Compliance (ISO, GDPR, v.v.)
- Bảo mật không thể thiếu: MFA
Multi-Factor Authentication là bắt buộc trong môi trường hiện đại.
Một user chỉ dùng password là chưa đủ.
MFA giúp giảm thiểu:
- Phishing
- Credential theft
- Account takeover
Kết luận
Quản lý user trong Azure AD không chỉ là tạo tài khoản, mà là quản lý toàn bộ vòng đời danh tính:
- Tạo đúng loại user
- Phân quyền hợp lý
- Theo dõi hoạt động
- Áp dụng bảo mật (MFA)
Attached Files