Lý thuyết cần nắm
Quản lý Users, Groups và phân quyền RBAC trong Entra ID
3.1 Các loại User Account trong Entra ID
| Loại Account | Mô tả | Source | Dùng khi nào |
|---|---|---|---|
| Cloud Identity | Tạo trực tiếp trong Entra ID | Entra ID | Cloud-only org, accounts mới |
| Synced Identity | Đồng bộ từ AD DS qua Entra Connect | Windows Server AD | Hybrid environment |
| Guest (B2B) | External user được mời vào tenant | External Entra ID / MSA | Collaboration với partner, vendor |
3.2 Các loại Group trong Entra ID
| Loại Group | Membership | Dùng cho | License yêu cầu |
|---|---|---|---|
| Security Group | Assigned hoặc Dynamic | Assign Intune policies, app access, CA policies | Free / P1 |
| Microsoft 365 Group | Assigned hoặc Dynamic | Teams, SharePoint, Outlook shared mailbox | Free / P1 |
| Dynamic Security Group | Automatic (rules-based) | Auto-assign license, policies dựa trên thuộc tính user | P1 required |
| Distribution Group | Assigned | Email distribution (Exchange/EXO) | Exchange Online |
Dynamic Group rule ví dụ:
(user.department -eq "Engineering") -and (user.accountEnabled -eq true) → tự động thêm tất cả user trong phòng Engineering vào group khi onboarding.
3.3 RBAC — Role-Based Access Control
Entra ID có hơn 60 built-in roles. Các roles quan trọng nhất cho MD-102/MS-102:
| Role | Quyền hạn | Lưu ý |
|---|---|---|
| Global Administrator | Toàn quyền trên mọi service M365 | Tối đa 5 người. Luôn bảo vệ bằng MFA + PIM |
| User Administrator | CRUD users, groups, password reset (trừ admins) | Delegate cho IT helpdesk |
| Intune Administrator | Toàn quyền Intune (devices, policies, apps) | Cần cho MD-102 admin tasks |
| Security Administrator | Quản lý Defender, CA policies, Secure Score | Không reset password user |
| Billing Administrator | Quản lý subscriptions, licenses | Không có quyền user management |
| Global Reader | Read-only toàn tenant (không write) | Dùng cho audit, compliance review |
Least Privilege nguyên tắc: Không dùng Global Admin cho tác vụ hàng ngày. Dùng PIM (Privileged Identity Management) để kích hoạt quyền cao chỉ khi cần — yêu cầu P2 license.
Thực hành
Tạo user hàng loạt, Dynamic Group và phân quyền RBAC
Lab 3.1 — Tạo User và Group qua Portal
Thực hành tại: entra.microsoft.com với quyền User Administrator
- Tạo User mới
Identity → Users → All users → + New user → Create new user - Điền thông tin
User principal name:[email protected]· Display name: Nguyễn Văn A · Department: Engineering - Tạo Security Group
Identity → Groups → All groups → + New group → Security → Name: SG-Engineering - Thêm user vào group
Vào group vừa tạo → Members → + Add members → tìm Nguyễn Văn A - Gán license
Vào user → Licenses → + Assignments → chọn Microsoft 365 E5 Developer
Lab 3.2 — Bulk Import Users bằng CSV và PowerShell
# Bulk create users từ CSV file
# Cấu trúc CSV: DisplayName,UserPrincipalName,Password,Department
Connect-MgGraph -Scopes "User.ReadWrite.All"
# Import từ CSV
$users = Import-Csv "C:\Users\Admin\new-users.csv"
foreach ($user in $users) {
$passwordProfile = @{
Password = $user.Password
ForceChangePasswordNextSignIn = $true
}
New-MgUser -DisplayName $user.DisplayName `
-UserPrincipalName $user.UserPrincipalName `
-PasswordProfile $passwordProfile `
-Department $user.Department `
-AccountEnabled $true `
-MailNickname ($user.UserPrincipalName.Split('@')[0])
Write-Host "Created: $($user.DisplayName)" -ForegroundColor Green
}
Lab 3.3 — Tạo Dynamic Group (yêu cầu P1)
- Tạo Dynamic Security Group
Identity → Groups → New group → Security → Membership type: Dynamic User - Thêm Dynamic rule
Add dynamic query → Property:department· Operator:Equals· Value:Engineering - Validate rule
Validate rules → Add users → chọn user có department = Engineering → Verify kết quả - Lưu và kiểm tra
Save → chờ ~5 phút → Members tab → xem users tự động được thêm vào
Kết quả đầu ra mong đợi
- Dynamic group tự động có users với department = Engineering
- Khi thêm user mới có department = Engineering → tự động join group trong ~5 phút
- Rule syntax validation:
Valid rule syntax
Lab 3.4 — Gán và kiểm tra RBAC Role
# Gán role User Administrator cho một user
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
# Lấy User Administrator role
$role = Get-MgDirectoryRole | Where-Object {$_.DisplayName -eq "User Administrator"}
# Lấy user cần gán role
$user = Get-MgUser -Filter "displayName eq 'Nguyễn Văn A'"
# Gán role
$body = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$($user.Id)" }
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $body
# Verify
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id | Select-Object Id, DisplayName
Tình huống thực tế doanh nghiệp
VNG Corporation — Onboarding hàng loạt 200 nhân viên mới
Gaming division · Tháng 9 hàng năm (fresh graduates)
Bối cảnh: VNG tuyển 200 fresher mỗi tháng 9. IT Admin cần tạo accounts, gán licenses, phân nhóm theo phòng ban (Game Dev, Backend, Marketing) và đảm bảo mỗi nhóm có đúng quyền truy cập app, không thừa không thiếu.
Bước 1 — Chuẩn bị
HR export CSV từ HRIS với: tên, email, phòng ban, level → IT chuẩn bị script bulk import
Bước 2 — Tự động hóa
Dynamic Groups tự động nhóm theo department → License auto-assign theo group → Intune policy push tự động
Bước 3 — Verify
Chạy script kiểm tra 200 accounts có license, group membership đúng và password-change-required được set
Kết quả: Từ 3 ngày onboarding thủ công → 2 giờ tự động hóa. Helpdesk giảm 80% ticket reset password nhờ SSPR được bật.