प्रमाणीकरण और सेटअप
आवश्यक अनुप्रयोग अनुमतियाँ
- User.ReadWrite.All: उपयोगकर्ता खाते बनाएँ, पढ़ें, अपडेट करें और हटाएँ।
- User.Read.All: उपयोगकर्ता प्रोफ़ाइल तक केवल-पठन पहुँच।
- Group.ReadWrite.All: समूह सदस्यता और गुण प्रबंधित करें।
- Directory.ReadWrite.All: उन्नत ऑपरेशन के लिए पूर्ण डायरेक्टरी पहुँच।
- UserAuthenticationMethod.ReadWrite.All: MFA और प्रमाणीकरण विधियाँ प्रबंधित करें।
उपलब्ध ऑपरेशन
सभी आवश्यक अनुमतियाँ कॉन्फ़िगर करने के बाद, टूलकिट निम्नलिखित ऑपरेशन सक्षम करता है:उपयोगकर्ता प्रबंधन
- उपयोगकर्ता प्राप्त करें: ईमेल, नाम, विभाग, पद, प्रबंधक सहित उपयोगकर्ता प्रोफ़ाइल प्राप्त करें।
- उपयोगकर्ता सूची देखें: विभाग, स्थान या कस्टम विशेषताओं के अनुसार फ़िल्टरिंग के साथ सभी उपयोगकर्ताओं की क्वेरी करें।
- उपयोगकर्ता बनाएँ: UPN, प्रदर्शन नाम, पासवर्ड और लाइसेंस के साथ नए उपयोगकर्ता खाते प्रोविज़न करें।
- उपयोगकर्ता अपडेट करें: विभाग, फ़ोन, पद, कार्यालय स्थान सहित उपयोगकर्ता गुणों में संशोधन करें।
- उपयोगकर्ता हटाएँ: उपयोगकर्ता खाते हटाएँ (सॉफ़्ट डिलीट; 30 दिनों तक पुनर्प्राप्त करने योग्य)।
- उपयोगकर्ता पुनर्स्थापित करें: रीसायकल बिन से सॉफ़्ट-डिलीट किए गए उपयोगकर्ताओं को पुनर्प्राप्त करें।
- उपयोगकर्ता फ़ोटो प्राप्त करें: उपयोगकर्ता प्रोफ़ाइल फ़ोटो प्राप्त करें।
- उपयोगकर्ता फ़ोटो सेट करें: उपयोगकर्ताओं के लिए प्रोफ़ाइल फ़ोटो अपलोड करें।
पासवर्ड प्रबंधन
- पासवर्ड रीसेट करें: पासवर्ड रीसेट बनाएँ और अस्थायी पासवर्ड भेजें।
- पासवर्ड परिवर्तन बाध्य करें: अगली साइन-इन पर पासवर्ड बदलना आवश्यक करें।
- पासवर्ड सेट करें: उपयोगकर्ता खाते के लिए विशिष्ट पासवर्ड सेट करें।
- पासवर्ड नीतियाँ प्राप्त करें: पासवर्ड जटिलता और समाप्ति सेटिंग्स प्राप्त करें।
खाता नियंत्रण
- खाता अक्षम करें: खाता हटाए बिना उपयोगकर्ता साइन-इन ब्लॉक करें।
- खाता सक्षम करें: अक्षम किए गए उपयोगकर्ता खातों को पुनः सक्षम करें।
- सत्र निरस्त करें: सभी सक्रिय सत्रों और रीफ्रेश टोकन से बलपूर्वक साइन-आउट करें।
- साइन-इन ब्लॉक करें: विशिष्ट उपयोगकर्ताओं को संसाधनों तक पहुँचने से रोकें।
लाइसेंस प्रबंधन
- लाइसेंस आवंटित करें: उपयोगकर्ताओं को Office 365, Microsoft 365 या Azure लाइसेंस आवंटित करें।
- लाइसेंस हटाएँ: उपयोगकर्ताओं से लाइसेंस डीलोकेट करें।
- उपयोगकर्ता लाइसेंस प्राप्त करें: उपयोगकर्ताओं को नियुक्त सभी लाइसेंस देखें।
- उपलब्ध लाइसेंस सूची देखें: संगठन के लाइसेंस पूल और उपलब्धता की क्वेरी करें।
- बैच लाइसेंस असाइनमेंट: एक साथ एकाधिक उपयोगकर्ताओं को लाइसेंस नियुक्त करें।
समूह ऑपरेशन
- समूह बनाएँ: सुरक्षा समूह, Microsoft 365 समूह या वितरण सूचियाँ बनाएँ।
- समूह प्राप्त करें: सदस्यों और मालिकों सहित समूह विवरण प्राप्त करें।
- समूह सूची देखें: फ़िल्टरिंग के साथ सभी समूहों की क्वेरी करें।
- समूह अपडेट करें: समूह गुणों में संशोधन करें।
- समूह हटाएँ: डायरेक्टरी से समूह हटाएँ।
- समूह में उपयोगकर्ता जोड़ें: उपयोगकर्ताओं को समूह सदस्यता प्रदान करें।
- समूह से उपयोगकर्ता हटाएँ: समूह सदस्यता निरस्त करें।
- समूह सदस्य सूची देखें: समूह में सभी उपयोगकर्ताओं को प्राप्त करें।
- समूह मालिक सूची देखें: समूह प्रशासक देखें।
डायरेक्टरी भूमिकाएँ
- भूमिका आवंटित करें: प्रशासनिक भूमिकाएँ (Global Admin, User Admin, आदि) प्रदान करें।
- भूमिका हटाएँ: प्रशासनिक विशेषाधिकार निरस्त करें।
- उपयोगकर्ता भूमिकाएँ प्राप्त करें: उपयोगकर्ताओं को नियुक्त सभी भूमिकाएँ देखें।
- उपलब्ध भूमिकाएँ सूची देखें: डायरेक्टरी भूमिका टेम्पलेट की क्वेरी करें।
प्रबंधक संबंध
- प्रबंधक प्राप्त करें: उपयोगकर्ता के सीधे प्रबंधक को प्राप्त करें।
- प्रबंधक सेट करें: उपयोगकर्ता को प्रबंधक नियुक्त करें।
- प्रबंधक हटाएँ: प्रबंधक असाइनमेंट साफ़ करें।
- सीधी रिपोर्ट प्राप्त करें: किसी प्रबंधक को रिपोर्ट करने वाले सभी उपयोगकर्ताओं की सूची देखें।
प्रमाणीकरण विधियाँ
- प्रमाणीकरण विधियाँ प्राप्त करें: कॉन्फ़िगर की गई MFA विधियाँ (फ़ोन, ईमेल, authenticator) देखें।
- प्रमाणीकरण विधि जोड़ें: नई प्रमाणीकरण विधियाँ पंजीकृत करें।
- प्रमाणीकरण विधि हटाएँ: प्रमाणीकरण विधियाँ हटाएँ।
- MFA रीसेट करें: MFA पंजीकरण साफ़ करें जो पुनः-नामांकन बनाए रखता है।
कॉन्फ़िगरेशन विकल्प
- डिफ़ॉल्ट डोमेन: नए उपयोगकर्ता निर्माण के लिए प्राथमिक डोमेन सेट करें।
- पासवर्ड जटिलता: न्यूनतम पासवर्ड आवश्यकताएँ कॉन्फ़िगर करें।
- लाइसेंस डिफ़ॉल्ट: नए उपयोगकर्ताओं को विशिष्ट लाइसेंस स्वचालित रूप से नियुक्त करें।
- समूह टेम्पलेट: नए उपयोगकर्ताओं को जोड़ने के लिए मानक समूह।
उपयोग के मामले
- उपयोगकर्ता ऑनबोर्डिंग: खाता निर्माण, लाइसेंस असाइनमेंट और समूह सदस्यता सहित नए कर्मचारी प्रोविज़निंग को स्वचालित करें।
- ऑफ़बोर्डिंग: जाने वाले कर्मचारियों के लिए खाते अक्षम करें, लाइसेंस निरस्त करें और समूह सदस्यता हटाएँ।
- पासवर्ड रीसेट: सहायता टिकट द्वारा ट्रिगर किए गए स्व-सेवा पासवर्ड रीसेट वर्कफ़्लो।
- लाइसेंस प्रबंधन: उपयोग के आधार पर लाइसेंस आवंटन अनुकूलित करें और अप्रयुक्त लाइसेंस पुनर्प्राप्त करें।
- सुरक्षा ऑडिटिंग: प्रशासनिक भूमिका असाइनमेंट और विशेषाधिकार प्राप्त पहुँच की निगरानी करें।
- बल्क ऑपरेशन: संगठनात्मक परिवर्तनों के लिए बड़े पैमाने पर उपयोगकर्ता अपडेट (विभाग स्थानांतरण, पद परिवर्तन)।
- अनुपालन रिपोर्टिंग: अनुपालन ऑडिट के लिए उपयोगकर्ता पहुँच रिपोर्ट बनाएँ।
- HR इंटीग्रेशन: HR प्रणालियों और Azure AD के बीच उपयोगकर्ता डेटा सिंक करें।
सर्वोत्तम प्रथाएँ
- Service Principal का उपयोग करें: व्यक्तिगत खातों के बजाय समर्पित ऐप पंजीकरण बनाएँ।
- न्यूनतम विशेषाधिकार: ऑपरेशन के लिए न्यूनतम आवश्यक अनुमतियाँ प्रदान करें।
- Admin Consent: सुनिश्चित करें कि tenant admin अनुप्रयोग अनुमतियों के लिए consent प्रदान करता है।
- त्रुटि हैंडलिंग: एकांतर संशोधन संघर्षों को सुचारू रूप से संभालें।
- बैच ऑपरेशन: बल्क उपयोगकर्ता ऑपरेशन के लिए बैच एंडपॉइंट का उपयोग करें।
- ऑडिट लॉगिंग: अनुपालन के लिए सभी उपयोगकर्ता प्रबंधन ऑपरेशन लॉग करें।
सुरक्षा विचार
- client secret सुरक्षित रूप से संग्रहीत करें; नियमित रूप से रोटेट करें (अधिकतम 2-वर्ष की समाप्ति)।
- Azure AD ऑडिट लॉग में ऐप साइन-इन और API उपयोग की निगरानी करें।
- संवेदनशील ऑपरेशन (भूमिका असाइनमेंट, हटाना) के लिए अनुमोदन वर्कफ़्लो लागू करें।
- प्रशासनिक ऑपरेशन की रक्षा के लिए conditional access नीतियों का उपयोग करें।
सामान्य समस्याएँ और समाधान
- अपर्याप्त विशेषाधिकार: सत्यापित करें कि ऐप के पास admin consent के साथ आवश्यक Application अनुमतियाँ हैं।
- लाइसेंस उपलब्ध नहीं: असाइनमेंट से पहले संगठन के लाइसेंस पूल की जाँच करें।
- UPN संघर्ष: उपयोगकर्ता बनाते समय अद्वितीय User Principal Name सुनिश्चित करें।
- Immutable ID: क्लाउड-ओनली खातों पर immutableId संशोधित नहीं किया जा सकता।