Microsoft Entra ID 允许你在租户中创建多种类型的用户,从而在管理组织用户的方式上具有更大的灵活性。
本文介绍了如何在租户中创建新用户、邀请外部来宾和删除用户。
注意
若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
Microsoft Entra ID 允许你在租户中创建多种类型的用户,从而在管理组织用户的方式上具有更大的灵活性。
本文介绍了如何在租户中创建新用户、邀请外部来宾和删除用户。
注意
若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
最低特权所需的角色因要添加的用户类型以及是否需要同时分配 Microsoft Entra 角色而异。 全局管理员可以创建用户并分配角色,但应尽可能使用最低特权角色。
任务 | 角色 |
---|---|
创建新用户 | 用户管理员 |
邀请外部来宾 | 来宾邀请者 |
分配 Microsoft Entra 角色 | 特权角色管理员 |
在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 租户中的访问权限。 例如,是需要创建内部来宾、内部用户还是外部来宾? 新用户是否需要来宾或成员特权?
内部成员:这些用户很可能是组织中的全职员工。
内部来宾:这些用户在租户中拥有帐户,但具有来宾级别特权。 这些用户可能是在 B2B 协作可用之前在租户中创建的。
外部成员:这些用户使用外部帐户进行身份验证,但对租户具有成员访问权限。 这些类型的用户在多租户组织中是常见的。
外部来宾:这些用户是租户的真正来宾,他们使用外部方法进行身份验证且具有来宾级别特权。
有关内部和外部来宾及成员之间的差异的详细信息,请参阅 B2B 协作属性。
身份验证方法因所创建用户的类型而异。 内部来宾和成员在 Microsoft Entra 租户中具有可由管理员管理的凭据。 这些用户还可以重置自己的密码。 外部成员向其主 Microsoft Entra 租户进行身份验证,Microsoft Entra 租户则通过与外部成员的 Microsoft Entra 租户联合登录对用户进行身份验证。 如果外部成员忘记了密码,其 Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。
查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅设置默认用户权限。
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择“新建用户”>“创建新用户”。
完成“新建用户”页中的剩余选项卡。
“基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前,请查看有关用户名属性的指导。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。
可以提供六个类别的用户属性。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到“标识>用户>所有用户”,然后选择要更新的用户。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。
创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 可以在创建用户后添加分配。
要向新用户分配组,请执行以下操作:
要向新用户分配角色,请执行以下操作:
要向新用户添加管理单元,请执行以下操作:
最后一个选项卡会捕获用户创建过程中的几个关键详细信息。 查看详细信息,如果一切正常,请选择“创建”按钮。
除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择“新建用户”>“邀请外部用户”。
完成“新建用户”页中的剩余选项卡(如下所示)。
在本部分中,你将使用来宾的电子邮件地址邀请来宾加入租户。 如果需要使用域帐户创建来宾用户,请使用创建新用户过程,但需将“用户类型”更改为“来宾”。
通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。
某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。 有关创建客户帐户的详细信息,请参阅在 Azure AD B2C 中创建和删除客户用户。
若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅将本地目录与 Microsoft Entra ID 进行集成。
可以使用 Microsoft Entra 管理中心删除现有用户。
必须具有“全局管理员”、“特权身份验证管理员”或“用户管理员”角色分配,才能删除组织中的用户。
全局管理员和特权身份验证管理员可以删除任何用户,包括其他管理员。
用户管理员可以删除任何非管理员用户、帮助台管理员和其他用户管理员。
有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限。
若要删除用户,请执行以下步骤:
该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户。
删除某个用户后,该用户使用的任何许可证可供其他用户使用。
注意
若要更新其授权来源为 Windows Server Active Directory 的用户的标识、联系信息或工作信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈