Přidání a správa uživatelů pro Microsoft Intune

Microsoft Entra ID, které je součástí Microsoft Entra, je služba identit pro Microsoft Intune, což znamená, že uživatelské účty, které vidíte v Intune, existují v Microsoft Entra. Jako správce s dostatečnými oprávněními řízení přístupu na základě role (RBAC) v rámci Microsoft Entra můžete ke správě Microsoft Entra uživatelského účtu použít Centrum pro správu Intune. Stejná oprávnění Entra také umožňují správci spravovat uživatele z Centrum pro správu Microsoftu 365 nebo přímo prostřednictvím centra pro správu Microsoft Entra.

Intune také podporuje použití uživatelských účtů, které se synchronizují z Active Directory do jakékoli cloudové služby, která sdílí tenanta s Intune a vaším tenantem Entra.

Po přidání nebo synchronizaci uživatele do Entra a přiřazení licence k Intune může tento uživatel zaregistrovat zařízení v Intune a začít přistupovat k prostředkům společnosti. Správci Intune můžou také přiřazovat role a oprávnění Intune RBAC diskrétním skupinám uživatelů, aby mohli těmto uživatelům pomoct se správou vašeho předplatného Intune.

Zbývající část tohoto článku se zaměřuje na použití Centra pro správu Intune ke správě uživatelských účtů.

• Informace o používání Centra pro správu Microsoft Entra ke správě uživatelů najdete v tématu Vytváření, zvát a odstraňovat uživatele v dokumentaci k Microsoft Entra.
• Informace o používání Centrum pro správu Microsoftu 365 ke správě uživatelů najdete v tématech Přidání uživatelů a Přidání několika uživatelů v dokumentaci k Microsoftu 365.

Řízení přístupu na základě role pro správu uživatelských účtů

Abyste mohli ke správě uživatelů použít Centrum pro správu Intune, musí mít váš účet oprávnění RBAC v rámci Microsoft Entra ke správě uživatelských účtů. Microsoft Entra oprávnění se vyžadují, protože Intune RBAC je podmnožinou Entra RBAC. Jako podmnožina oprávnění RBAC jenom Intune nestačí ke správě účtů v Microsoft Entra. Existuje ale několik Microsoft Entra rolí, které zahrnují oprávnění v rámci Intune.

Při práci s řízením přístupu na základě role (RBAC) Microsoft doporučuje postupovat podle principu nejnižších oprávnění a používat jenom účty, které mají minimální požadovaná oprávnění pro určitou úlohu, a omezit používání a přiřazení privilegovaných rolí správce, jako je správce Intune.

Následující Microsoft Entra předdefinovaná role RBAC je nejméně privilegovaná předdefinovaná role, která zahrnuje dostatečná oprávnění k přidávání a správě uživatelských účtů:

• Správce uživatelů – Tato role poskytuje dostatečná oprávnění k přidávání a úpravám uživatelských účtů v centrech pro správu Microsoft Intune, Microsoft Entra a Microsoft 365.

Tip

Role správce uživatelů Microsoft Entra také poskytuje dostatečná oprávnění k přiřazení licencí k Intune a dalším produktům uživatelům. Správa licencí je ale úloha, kterou je možné spravovat pouze při použití Centrum pro správu Microsoftu 365. Další informace najdete v tématu Přiřazení licencí Intune uživatelům.

Přidání uživatelů do Intune

Pomocí Centra pro správu Intune můžete ručně přidat nové uživatelské účty do id Microsoft Entra, kde budou dostupné pro vaše předplatné. Uživatele můžete přidávat jednotlivě a pomocí hromadné operace můžete přidat více uživatelů najednou, když jsou definováni v souboru CSV.

Přidání jednotlivých uživatelů

K přidání jednotlivých uživatelů do předplatného Intune můžete použít následující postup. Podrobnější informace o vytváření nových uživatelských účtů najdete v tématu Vytváření, zvát a odstraňovat uživatele v dokumentaci Microsoft Entra.

1. V Centru pro správu Intune přejděte na Uživatelé>Všichni uživatelé> a vyberte Nový uživatel>Vytvořit nového uživatele.

2. Na kartě Základy nakonfigurujte následující podrobnosti o uživateli:

   • Hlavní název uživatele – Hlavní název uživatele (UPN) je uložený v Microsoft Entra ID a používá se pro přístup ke službám, včetně Microsoft Entra, Microsoft 365 a Microsoft Intune.
   • Přezdívka pošty – Pokud chcete zadat e-mailovou přezdívku, která se liší od hlavního názvu uživatele, zrušte zaškrtnutí políčka Odvodit z hlavního názvu uživatele a zadejte e-mailovou přezdívku.
   • Zobrazované jméno – způsob zobrazení jména uživatele. Například Chris Green nebo Chris A. Green.
   • Heslo – přidejte heslo pro nového uživatele nebo ho zvolte, aby se vygenerovala automaticky. Všichni noví uživatelé budou přesměrováni na vytvoření nového hesla při prvním přihlášení.
   • Účet je povolený – Pokud účet není povolený, uživatel se zablokuje v přihlášení. Toto nastavení je možné po vytvoření účtu aktualizovat.

   Můžete vybrat Zkontrolovat a vytvořit a vytvořit a vytvořit nový uživatelský účet jenom pomocí základních informací, nebo můžete vybrat Další: Vlastnosti a dokončit další, ale volitelné konfigurace.

3. Na kartě Vlastnosti nakonfigurujte následující podrobnosti, které jsou všechny volitelné. Nezadané hodnoty zůstanou při vytvoření účtu prázdné a můžete je později upravit.

   • Identita:
     • Křestní jméno
     • Příjmení
     • Typ uživatele – Zvolte člena nebo hosta. Oba typy uživatelů jsou interní pro vaši organizaci. Členové jsou ve vaší organizaci obvykle zaměstnanci na plný úvazek. Hosté mají ve vašem tenantovi účet, ale mají oprávnění na úrovni hosta.
     • Autorizační informace – Pokud pro uživatele použijete ověřování na základě certifikátů, můžete v tomto poli přidat až pět ID uživatelů certifikátů. Další informace najdete v tématu Mapování na atribut certificateUserIds v Microsoft Entra ID.
   • Informace o zaměstnání: Zadejte informace související s úlohou, jako je pracovní pozice uživatele, oddělení nebo manažer.
   • Kontaktní informace: Přidejte kontaktní informace pro uživatele.
   • Rodičovská kontrola: Pro organizace, jako jsou školní obvody K-12, může být potřeba poskytnout věkovou skupinu uživatele. Nezletilí jsou mladší 12 let, není dospělý 13–18 let a dospělí mají 18 let a více. Klasifikace právní věkové skupiny určuje kombinace věkové skupiny a souhlasu poskytnutého rodiči. Klasifikace právní věkové skupiny může omezit přístup a oprávnění uživatele.
   • Nastavení: Umístění použití můžete použít k identifikaci globální polohy uživatele.

   Vyberte Zkontrolovat a vytvořit nebo pokračujte na Další: Přiřazení.

4. Na kartě Přiřazení můžete přiřadit uživatele k jedné jednotce pro správu a až 20 skupinám nebo Microsoft Entra rolím v době vytvoření účtu. Přiřazení můžete nakonfigurovat také po vytvoření uživatele.

   Tip

   Některé možnosti nemusí být k dispozici pro konfiguraci na základě úrovně oprávnění vašich účtů v Microsoft Entra. Pokud máte například přiřazenou jenom roli Správce uživatelů, můžete přiřadit uživatele ke skupinám, ale nemáte oprávnění přiřadit jednotku pro správu nebo přiřadit uživateli roli Microsoft Entra. Informace o oprávněních poskytovaných různými rolemi najdete v tématu Microsoft Entra předdefinovaných rolí.

   Přiřazení skupiny novému uživateli:

   1. Vyberte + Přidat skupinu.
   2. V zobrazené nabídce vyberte ze seznamu až 20 skupin a vyberte tlačítko Vybrat .
   3. Vyberte tlačítko Zkontrolovat + vytvoření .

   Přiřazení role Microsoft Entra novému uživateli: Pokud uživatel vyžaduje oprávnění v rámci entra, můžete mu pomocí této možnosti přiřadit vhodnou roli. Pokud chcete přiřadit role Entra jiným účtům, musí mít váš účet oprávnění rovna Microsoft Entra správce privilegovaných rolí.

   Tip

   Většina uživatelů, které přidáte do Intune, nebude vyžadovat přiřazení role Microsoft Entra. Místo toho uživatelům, kteří spravují jenom Intune, plánují přiřadit roli Intune RBAC po vytvoření účtu.

   1. Vyberte + Přidat roli.
   2. V zobrazené nabídce zvolte ze seznamu až 20 rolí a vyberte tlačítko Vybrat .
   3. Vyberte tlačítko Zkontrolovat a vytvořit .

   Přidání jednotky pro správu novému uživateli: Většina uživatelů, které přidáte do Intune, nikdy nebude vyžadovat jednotky pro správu, což je v Microsoft Entra ID účinný způsob, jak delegovat správu nad podmnožinami uživatelů, skupin nebo zařízení v rámci vaší organizace.

   Místo toho můžete v Intune použít značky oboru a skupiny oborů.

   Pokud chcete uživateli přiřadit jednotku pro správu, musí mít váš účet oprávnění rovna správci privilegovaných rolí Entra.

   1. Vyberte + Přidat jednotku pro správu.
   2. V zobrazené nabídce vyberte jednu jednotku pro správu a pak tlačítko Vybrat .
   3. Vyberte Zkontrolovat a vytvořit.

5. Na kartě Zkontrolovat a vytvořit zkontrolujte podrobnosti a ujistěte se, že jsou informace správné a že jsou podrobnosti úspěšně ověřeny. Zkontrolujte podrobnosti a vyberte tlačítko Vytvořit , pokud vše vypadá v pořádku.

Poznámka

Uživatele typu host můžete také pozvat do tenanta Intune. Další informace najdete v tématu Přidání uživatelů Microsoft Entra spolupráce B2B v Centru pro správu Microsoft Entra.

Přidání více uživatelů

Uživatele Intune můžete přidat hromadně tak, že nahrajete soubor CSV obsahující úplný seznam uživatelů. Soubor CSV je seznam hodnot oddělených čárkami, který se dá upravovat v Poznámkovém bloku nebo Excelu.

Přidání více uživatelů do Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Přejděte na Uživatelé>Všichni uživatelé>Hromadné operace>hromadné vytvoření. Zobrazí se podokno Hromadné vytvoření uživatelů , které nabízí možnost Stáhnout šablonu CSV, kterou můžete použít.

3. Až bude šablona CSV připravená, vyhledejte a nahrajte soubor pomocí funkce procházení. Kliknutím na Odeslat zahajte import.

   Další informace o přidání uživatelů Intune pomocí souboru CSV najdete v tématu Hromadné vytváření uživatelů v id Microsoft Entra.

Poznámka

Do tenanta Intune můžete také pozvat několik uživatelů typu host. Další informace najdete v tématu Kurz: Hromadné pozvání uživatelů Microsoft Entra spolupráce B2B.

Synchronizace Služby Active Directory a přidání uživatelů do Intune

Synchronizaci adresářů můžete nakonfigurovat pro import uživatelských účtů z místní Active Directory do Microsoft Entra včetně uživatelů Intune. Díky propojení služby místní Active Directory se všemi službami založenými na Entra ID je správa identity uživatelů jednodušší. Můžete také nakonfigurovat funkce jednotného přihlašování, které uživatelům usnadní a usnadní ověřování. Když propojíte stejného tenanta Entra s více službami, budou uživatelské účty, které jste dříve synchronizovali, dostupné pro všechny cloudové služby.

Ujistěte se, že vaši správci služby Active Directory mají přístup k vašemu předplatnému Entra a jsou vytrénování, aby mohli provádět běžné úlohy služby Active Directory a Microsoft Entra.

Synchronizace místních uživatelů pomocí id Microsoft Entra

• Pokud chcete přesunout stávající uživatele z místní Active Directory do Entra ID, můžete nastavit hybridní identitu. Hybridní identity existují v obou službách – místní Active Directory i ID Microsoft Entra.
• Uživatele služby Active Directory můžete také exportovat pomocí uživatelského rozhraní nebo skriptu. Vyhledávání na internetu vám může pomoct najít nejlepší možnost pro vaši organizaci.
• Pokud chcete synchronizovat uživatelské účty s Entra ID, použijte průvodce Microsoft Entra Connect. Průvodce Microsoft Entra Connect poskytuje zjednodušené a řízené prostředí pro připojení místní infrastruktury identit ke cloudu. Zvolte topologii a potřeby (jeden nebo více adresářů, synchronizace hodnot hash hesel, předávací ověřování nebo federace). Průvodce nasadí a nakonfiguruje všechny součásti potřebné k zprovoznění připojení. Patří sem synchronizační služby, Active Directory Federation Services (AD FS) (AD FS) a modul Microsoft Graph PowerShell.

Tip

Microsoft Entra Connect zahrnuje funkce, které byly dříve vydány jako Dirsync a Azure AD Sync. Přečtěte si další informace o integraci adresářů. Informace o synchronizaci uživatelských účtů z místního adresáře do Entra ID najdete v tématu Podobnosti mezi službou Active Directory a ID Microsoft Entra.

Odstranit uživatele

Jakmile uživatel opustí vaši organizaci, můžete ho z Microsoft Entra odstranit pomocí Centra pro správu Intune, které ho také odebere z Intune. Můžete také odstranit více uživatelů pomocí hromadných operací.

Pokud chcete odstranit uživatele z Entra, musí mít váš účet správce oprávnění rovnající se Microsoft Entra roli Správce uživatelů.

Odstranění jednotlivého uživatele z Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.
2. Přejděte na Uživatelé>Všichni uživatelé.
3. Vyberte uživatele, kterého chcete odstranit.
4. Vyberte Odstranit.

Odstranění více uživatelů z Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Přejděte na Uživatelé>Všichni uživatelé>Hromadné operace>Hromadné odstranění. Zobrazí se podokno Hromadné odstranění uživatelů s možností Stáhnout šablonu CSV, kterou můžete použít.

3. Až bude šablona CSV připravená, vyhledejte a nahrajte soubor pomocí funkce procházení. Výběrem možnosti Odeslat zahájíte odstraňování.

   Související informace najdete v tématu Hromadné odstranění uživatelů v id Microsoft Entra.

Tip

Jako uživatel s dostatečnými oprávněními ke správě uživatelských účtů některé účty možná nebudete moct odstranit. Mezi důvody, proč nemůžete odstranit konkrétní účet, patří:

• Účty synchronizované z místní Active Directory.
• Účty, kterým je přiřazena vyšší privilegovaná role Entra, než je váš účet.

• jaké prostředky můžou změnit.

• Účty, které při použití Centra pro správu Intune spadají mimo vaši aktuální oborovou skupinu Intune.

Související obsah

• Přidání skupin pro uspořádání uživatelů a zařízení
• Přiřazení uživatelských licencí k Intune