管理 Azure AD 目錄

發佈時間: 2012年4月

適用於: Azure, Office 365, Windows Intune

注意

本主題提供雲端服務的線上說明內容,例如 Microsoft Intune 和 Office 365,這些服務依賴 Microsoft Azure Active Directory 以提供識別身分及目錄服務。

Azure Active Directory (AD) 能在大部分的 Microsoft 雲端服務後方提供核心的目錄和識別管理功能。這些服務包括 (但不限於):

  • Azure

  • Microsoft Office 365

  • Microsoft Dynamics CRM Online

  • Windows Intune

管理目錄資料

身為一或多個 Microsoft 雲端服務訂閱的系統管理員,您可以使用 Azure 管理入口網站、Microsoft Intune 帳戶入口網站或 Office 365 系統管理中心來管理組織的目錄資料。您也可以使用可下載的適用於 Windows PowerShell 的 Microsoft Azure Active Directory 模組 Cmdlet 來協助管理儲存在 Azure AD 中的資料。如需目錄的詳細資訊,請參閱什麼是 Azure AD 目錄?

您可以從上述其中一個入口網站 (或 Cmdlet):

  • 建立及管理使用者和群組帳戶

  • 管理貴組織訂閱的相關雲端服務

  • 設定與目錄服務的內部部署整合

Azure 管理入口網站、Office 365 系統管理中心、Microsoft Intune 帳戶入口網站及 Cmdlet 均與 Azure AD 的單一共用執行個體維持讀取和寫入的關係,而該執行個體則與組織的目錄相關聯,如下圖所示。如此一來,入口網站 (或 Cmdlet) 便成為提取及/或修改目錄資料的前端介面。

入口網站如何使用 Windows Azure AD

以上列示的帳戶入口網站和用來管理使用者及群組的相關 Azure AD PowerShell Cmdlet 乃建構在 Azure AD 平台之上。

注意

當您以其中一個服務的內容登入,並使用任一入口網站 (或 Cmdlet) 變更組織資料時,變更也將在您下次以服務的內容登入時顯示在其他入口網站中,因為此資料會在您訂閱的 Microsoft 雲端服務之間共用。

例如,如果您使用 Office 365 系統管理中心來封鎖使用者登入,該動作也會封鎖使用者登入組織目前訂閱的其它所有服務。如果您要在 Microsoft Intune 帳戶入口網站的內容下提取該名使用者的帳戶,將看到該使用者已遭到封鎖。

使用 Azure 管理入口網站

Azure 管理入口網站通常用來管理與 Azure 訂閱相關聯的服務。Active Directory 服務是其中一項較新的 Azure 服務,您可以將它用於身分識別管理和目錄租用戶等功能。如果您是系統管理員,可以在管理入口網站中按一下 [Active Directory] 延伸模組來管理這些功能。

如果您擁有使用 Microsoft 帳戶的現有 Azure 訂閱,還可以使用管理入口網站來管理目錄。若要再管理入口網站中建立新目錄,請依序按一下 [Active Directory] 和 [新增],接著指定要使用的 [網域名稱]、[國家/地區] 及 [組織名稱]。

如果您沒有 Azure 訂閱,可以以組織身分註冊 Azure,以便開始使用 Azure 管理入口網站來建立、散佈及管理使用者帳戶及其它供組織使用的身分識別管理功能。當您以組織身分建立註冊 Azure 時,系統會根據註冊期間提供的 [組織名稱] 欄位值為您自動建立目錄。

使用 Office 365 或 Microsoft Intune 帳戶入口網站

您可以使用帳戶入口網站來管理 Office 365 或 Microsoft Intune 訂閱,並指定可存取其各種服務的使用者。透過帳戶入口網站,您可以執行下列工作:手動新增使用者帳戶和安全性群組、設定和管理服務設定、檢查服務狀態,以及存取線上說明。

Azure AD 目前支援使用下列其中一或多個帳戶入口網站 (視您是否訂閱其對應的服務而定),對您的組織訂閱資料進行前端存取:

  • Office 365 帳戶入口網站

  • Microsoft Intune 帳戶入口網站

使用者也可以存取這些帳戶入口網站,但只能變更其密碼或存取已獲得授權的各種服務。

使用 Windows Intune 和 Office 365 的授權考量

目前當您註冊 Microsoft Intune 或 Office 365 服務時,可以在服務的帳戶入口網站中將服務專用的授權指派給使用者。這表示如果您最終要將這兩項服務新增至相同的目錄,將需要前往 Microsoft Intune 帳戶入口網站來管理 Microsoft Intune 授權,以及前往 Office 365 帳戶入口網站來個別管理 Office 365 授權。

在某些情況下,您無法刪除先前已在不同服務內容中指派授權的任何使用者帳戶。若要在此情況下刪除使用者帳戶,您必須登出在嘗試刪除時所用的帳戶入口網站、登入第一次指派授權時的適當帳戶入口網站、移除相關聯的授權,然後再次嘗試刪除使用者。

使用 Azure AD PowerShell Cmdlet

您可以使用適用於 Windows PowerShell 的 Azure Active Directory 模組 Cmdlet 來完成許多有關 Azure AD 租用戶的系統管理工作。如需詳細資訊,請參閱Manage Azure Active Directory by using Windows PowerShell

目錄管理員的職責為何?

不論您用來管理目錄的方法為何,都能指派不同類型的系統管理員來執行如建立和編輯使用者、管理計費作業及重設密碼等各種工作。全域管理員可根據管理員角色,將權限授與您組織內的不同管理員。如需詳細資訊,請參閱Assigning admin roles

除了執行與其角色相關的特定工作以外,我們建議所有的管理員都具備下列領域的經驗:

  • 組織的 IT 環境、網路和網際網路連線知識

  • 曾經支援和管理個人電腦的作業系統和應用程式

  • 曾經提供使用者協助或訓練

  • 排解使用者疑難問題的能力

以下是潛在管理員職責的範例:

  • 建立、變更或刪除使用者帳戶

  • 監控服務授權與服務健康情況

  • 管理密碼

  • 利用電子郵件和其他服務來解決使用者問題

  • 管理網站和網站集合

  • 支付訂閱費用

  • 從現有的組織環境移轉至雲端

  • 訓練工作者使用雲端服務及提供支援

  • 將問題提報給 Microsoft 支援

社群資源

另請參閱

概念

Active Directory 與 Azure AD 的相似性

其他資源

什麼是 Azure Active Directory?(英文)