新增使用者並授與 Intune 的系統管理許可權

身為系統管理員,您可以直接加入使用者或同步處理內部部署 Active Directory 中的使用者。 一旦新增,使用者就可以註冊裝置和存取公司資源。 您也可以授與使用者其他許可權,包括 全域管理員服務管理員 許可權。

將使用者新增至 Intune

您可以透過Microsoft 365 系統管理中心Microsoft 端點管理員系統管理中心,手動將使用者新增至您的 Intune 訂閱。 管理員可以編輯使用者帳戶,以指派 Intune 授權。 您可以在 Microsoft 365 系統管理中心或 Microsoft 端點管理員系統管理中心指派授權。 如需使用 Microsoft 365 系統管理中心的詳細資訊,請參閱個別或大量將使用者新增至 Microsoft 365 系統管理中心

在 Microsoft 365 系統管理中心中新增 Intune 使用者

  1. 使用全域系統管理員帳戶或使用者管理的管理員帳戶登入Microsoft 365 系統管理中心
  2. 在 [Microsoft 365] 功能表中,選取 [使用者 作用中使用者] [ > > 新增使用者]。
  3. 請提供下列使用者詳細資料:
    • 名字   使用此方塊輸入使用者的名字。
    • 姓氏   使用此方塊輸入使用者的姓氏。
    • 顯示名稱
    • 使用者名稱-通用原則名稱 (UPN) 儲存在用來存取服務的 Azure Active Directory 中。
    • 密碼 自動生成或建立。
  4. 選擇 [下一步]
  5. 在 [ 指派產品授權 ] 頁面上,選取一個 位置 ,然後選擇此使用者的授權。 需要包含 Intune 的授權。
  6. 選擇 [下一步]
  7. 在 [ 選擇性設定 ] 頁面上,您可以選擇:
    • 指派新的使用者其他角色 (預設會授予新使用者) 使用者角色。
    • 提供設定檔資訊。
  8. 選擇 [下一步]
  9. 在 [ 檢查和完成] 頁面上,選取 [完成新增] 以新增使用者。 選擇 [ 關閉 ],關閉 [ 新增使用者 ] 頁面。

在 Azure 入口網站中新增 Intune 使用者

  1. Microsoft 端點管理員系統管理中心,選擇 [使用者] [ > 所有使用者] > 新使用者 > 建立使用者]。
  2. 指定下列使用者詳細資料:
    • [使用者名稱]-使用者將用來登入 Azure Active Directory 的新名稱。
    • Name -使用者的指定名稱。
  3. 選擇您想要建立新使用者的密碼,還是要讓它自動生成。
  4. 若要將新使用者指派至群組 (選用) ,請選擇 [已 選取0個群組 ] 開啟 [ 群組 ] 窗格。 您可以在這裡選取您想要指派給使用者的群組。 選取群組完成後,請選擇 [ 選取]。
  5. 根據預設,會將 使用者 的角色指派給新的使用者。 如果您想要將角色新增至使用者,請選取 [群組和角色] 底下的 [使用者]。 在 [ 目錄角色 ] 窗格中,選取您要指派給使用者的角色,然後選擇 [ 選取]。
  6. 如果您想要封鎖使用者登入,您可以為 [封鎖登入 ] 選取 [是] 。 當您準備好讓使用者登入時,請務必將此選項切換回 [ ]。
  7. 選擇新使用者的 使用位置 。 需要使用狀況位置,您才能將 Intune 授權指派給新的使用者。
  8. 您可以選擇提供 職稱部門公司名稱經理 欄位的資訊。
  9. 選取 [ 建立 ],將新使用者新增至 Intune。

授與系統管理員許可權

在您將使用者新增至 Intune 訂閱後,建議您授與少數幾個使用者的管理許可權。 若要授與系統管理員許可權,請遵循下列步驟:

在 Microsoft 365 中授與系統管理員許可權

  1. 使用全域系統管理員帳戶登入 Microsoft 365 系統管理中心> 選取 [使用者 作用中 > 使用者] > 選擇要授與系統管理員許可權的使用者。
  2. 在 [使用者] 窗格中,選擇 [角色] 底下的 [管理角色]。
  3. 在 [ 管理角色 ] 窗格中,選擇要從可用角色清單授與的系統管理員許可權。
  4. 選取 [儲存變更]

在 Azure 入口網站中提供系統管理員許可權

  1. 以全域系統管理員帳戶登入 Microsoft 端點管理員系統管理中心>使用者> 然後選擇您想要授與系統管理員許可權的使用者。
  2. 選取 [指派的角色] [ > 新增指派]。
  3. 在 [ 目錄角色 ] 窗格中,選取您要指派給使用者的角色 > 新增

管理員類型

指派使用者一或多個系統管理員許可權。 這些許可權會定義使用者的管理範圍及其可管理的工作。 在不同的 Microsoft 雲端服務之間,系統管理員許可權是通用的,有些服務可能不支援某些許可權。 Azure 入口網站和 Microsoft 365 系統管理中心會列出不是 Intune 使用的有限系統管理員角色。 Intune 系統管理員許可權包括下列選項:

  • 全域管理員- (Microsoft 365 與 intune) 存取 Intune 中的所有系統管理功能。 依預設,註冊 Intune 的人員會變成全域管理員。全域管理員是唯一可以指派其他系統管理員角色的系統管理員。 You can have more than one global admin in your organization. 建議的最佳作法是,只有您公司內的少數人員才能使用此角色,以降低業務風險。
  • 密碼系統管理員- (Microsoft 365 和 Intune) 重設密碼、管理服務要求及監視服務健康情況。 密碼系統管理員僅能重設使用者的密碼。
  • 服務支援系統管理員- (Microsoft 365 與 Intune) 開啟與 Microsoft 的支援要求,並查看服務儀表板和訊息中心。 除了可開啟和讀取支援票證以外,他們還擁有「僅供檢視」的權限。
  • 計費管理員- (Microsoft 365 與 Intune) 進行購買、管理訂閱、管理支援票證及監視服務健康情況。
  • 使用者管理員- (Microsoft 365 和 Intune) 重設密碼、監控服務健康情況、新增和刪除使用者帳戶,以及管理服務要求。 使用者管理系統管理員無法刪除全域系統管理員、建立其他系統管理員角色,或重設其他系統管理員的密碼。
  • Intune 系統管理員 -所有的 intune 全域系統管理員許可權,除了使用 目錄角色 選項建立系統管理員的許可權。

您用來建立 Microsoft Intune 訂閱的帳戶是全域管理員。 最佳作法是,請勿針對日常管理工作使用全域管理員。 雖然系統管理員不需要 intune 授權才能存取 Azure 入口網站上的 intune,但為了執行某些管理工作,例如設定 Exchange 服務連接器,需要 Intune 授權。

若要存取 Microsoft 365 系統管理中心,您的帳戶必須具有 允許登入 的集。 在 Azure 入口網站的 [ 設定檔] 下,將 [ 封鎖登入 ] 設定為 [ ] 允許存取。 這種狀態與為訂閱授權所用的狀態不同。 預設會 允許 所有使用者帳戶。 沒有系統管理員許可權的使用者可以使用 Microsoft 365 系統管理中心重設 Intune 密碼。

同步處理 Active Directory 並將使用者新增至 Intune

您可以設定目錄同步處理,匯入內部部署 Active directory 中的使用者帳戶,以 Microsoft Azure Active Directory 包含 Intune 使用者 (Azure AD) 。 讓您的內部部署 Active Directory 服務與所有的 Azure Active Directory 基礎服務連線,可使管理使用者身分識別變得更簡單。 您也可以設定單一登入功能,讓您熟悉和輕鬆的使用者取得驗證經驗。 將相同的Azure AD 租使用者與多個服務連結,您先前已同步處理的使用者帳戶可用於所有雲端架構服務。

如何同步處理內部部署使用者與 Azure AD

同步處理使用者帳戶與 Azure AD 所需的唯一工具是Azure AD 連線的嚮導。 Azure AD 連線嚮導提供將內部部署身分識別基礎結構連線至雲端的簡化和引導體驗。 選擇您的拓撲,並需要 (單一或多個目錄、密碼雜湊同步處理、傳遞驗證或同盟) 。 嚮導會部署及設定所有必要的元件,讓您的連線正常運作。 包括:同步服務、Active Directory Federation services (AD FS) ,以及 Azure AD PowerShell 模組。

提示

Azure AD 連線涵蓋先前以 Dirsync 和 Azure AD 同步形式發行的功能。深入瞭解目錄整合。 若要瞭解如何將使用者帳戶從本機目錄同步處理至 Azure AD,請參閱Active directory 和 Azure AD 之間的類似之處