Přidání a správa uživatelů pro Microsoft Intune

Microsoft Entra ID, která je součástí Microsoft Entra, je služba identit pro Microsoft Intune což znamená, že uživatelské účty, které vidíte v Intune existují v Microsoft Entra. Jako správce s dostatečnými oprávněními řízení přístupu na základě role (RBAC) v rámci Microsoft Entra můžete ke správě Microsoft Entra uživatelského účtu použít Centrum pro správu Intune. Stejná oprávnění Entra také umožňují správci spravovat uživatele z Centrum pro správu Microsoftu 365 nebo přímo prostřednictvím Centrum pro správu Microsoft Entra.

Intune také podporuje použití uživatelských účtů, které se synchronizují z Active Directory do jakékoli cloudové služby, která sdílí tenanta s Intune a vaším tenantem Entra.

Po přidání nebo synchronizaci uživatele do Entra a přiřazení licence k Intune může tento uživatel zaregistrovat zařízení s Intune a začít přistupovat k prostředkům společnosti. Intune správci můžou také přiřadit Intune role a oprávnění RBAC diskrétním skupinám uživatelů, aby mohli těmto uživatelům pomoct se správou vašeho předplatného Intune.

Zbývající část tohoto článku se zaměřuje na použití Centra pro správu Intune ke správě uživatelských účtů.

• Informace o používání Centrum pro správu Microsoft Entra ke správě uživatelů najdete v tématu Jak vytvářet, zvát a odstraňovat uživatele v dokumentaci Microsoft Entra.
• Informace o používání Centrum pro správu Microsoftu 365 ke správě uživatelů najdete v tématech Přidání uživatelů a Přidání několika uživatelů v dokumentaci k Microsoftu 365.

Řízení přístupu na základě role pro správu uživatelských účtů

Abyste mohli spravovat uživatele pomocí Centra pro správu Intune, musí mít váš účet oprávnění RBAC v rámci Microsoft Entra, aby bylo možné spravovat uživatelské účty. Microsoft Entra oprávnění se vyžadují, protože Intune RBAC je podmnožinou RBAC Entra. Jako podmnožina oprávnění RBAC jenom Intune nestačí ke správě účtů v Microsoft Entra. Existují ale některé Microsoft Entra role, které zahrnují oprávnění v rámci Intune.

Při práci s řízením přístupu na základě role (RBAC) microsoft doporučuje postupovat podle principu nejnižších oprávnění a používat jenom účty, které mají minimální požadovaná oprávnění pro určitou úlohu, a omezit používání a přiřazení privilegovaných rolí správce, jako je správce Intune.

Následující Microsoft Entra předdefinovaná role RBAC je nejméně privilegovaná předdefinovaná role, která zahrnuje dostatečná oprávnění k přidávání a správě uživatelských účtů:

• Správce uživatelů – tato role poskytuje oprávnění dostatečná k přidávání a úpravám uživatelských účtů v centrech pro správu pro Microsoft Intune, Microsoft Entra a Microsoft 365.

Tip

Role správce uživatelů Microsoft Entra také poskytuje dostatečná oprávnění k přiřazení licencí k Intune a dalším produktům uživatelům. Správa licencí je ale úloha, kterou je možné spravovat pouze při použití Centrum pro správu Microsoftu 365. Další informace najdete v tématu Přiřazení licencí Intune uživatelům.

Přidání uživatelů do Intune

Pomocí Centra pro správu Intune můžete ručně přidat nové uživatelské účty do Microsoft Entra ID, kde pak budou k dispozici pro vaše předplatné. Uživatele můžete přidávat jednotlivě a pomocí hromadné operace můžete přidat více uživatelů najednou, když jsou definováni v souboru CSV.

Přidání jednotlivých uživatelů

Následující postup můžete použít k přidání jednotlivých uživatelů do předplatného Intune. Podrobnější informace o vytváření nových uživatelských účtů najdete v tématu Vytváření, zvát a odstraňovat uživatele v dokumentaci Microsoft Entra.

1. V Centru pro správu Intune přejděte na Uživatelé>Všichni uživatelé> a vyberte Nový uživatel>Vytvořit nového uživatele.

2. Na kartě Základy nakonfigurujte následující podrobnosti o uživateli:

   • Hlavní název uživatele – Hlavní název uživatele (UPN) je uložený v Microsoft Entra ID a používá se pro přístup ke službám, včetně Microsoft Entra, Microsoft 365 a Microsoft Intune.
   • Přezdívka pošty – Pokud chcete zadat e-mailovou přezdívku, která se liší od hlavního názvu uživatele, zrušte zaškrtnutí políčka Odvodit z hlavního názvu uživatele a zadejte e-mailovou přezdívku.
   • Zobrazované jméno – způsob zobrazení jména uživatele. Například Chris Green nebo Chris A. Green.
   • Heslo – přidejte heslo pro nového uživatele nebo ho zvolte, aby se vygenerovala automaticky. Všichni noví uživatelé budou přesměrováni na vytvoření nového hesla při prvním přihlášení.
   • Účet je povolený – Pokud účet není povolený, uživatel se zablokuje v přihlášení. Toto nastavení je možné po vytvoření účtu aktualizovat.

   Můžete vybrat Zkontrolovat a vytvořit a vytvořit a vytvořit nový uživatelský účet jenom pomocí základních informací, nebo můžete vybrat Další: Vlastnosti a dokončit další, ale volitelné konfigurace.

3. Na kartě Vlastnosti nakonfigurujte následující podrobnosti, které jsou všechny volitelné. Nezadané hodnoty zůstanou při vytvoření účtu prázdné a můžete je později upravit.

   • Identita:
     • Jméno
     • Příjmení
     • Typ uživatele – Zvolte člena nebo hosta. Oba typy uživatelů jsou interní pro vaši organizaci. Členové jsou ve vaší organizaci obvykle zaměstnanci na plný úvazek. Hosté mají ve vašem tenantovi účet, ale mají oprávnění na úrovni hosta.
     • Autorizační informace – Pokud pro uživatele použijete ověřování na základě certifikátů, můžete v tomto poli přidat až pět ID uživatelů certifikátů. Další informace najdete v tématu Mapování na atribut certificateUserIds v Microsoft Entra ID.
   • Informace o zaměstnání: Zadejte informace související s úlohou, jako je pracovní pozice uživatele, oddělení nebo manažer.
   • Kontaktní informace: Přidejte kontaktní informace pro uživatele.
   • Rodičovská kontrola: Pro organizace, jako jsou školní obvody K-12, může být potřeba poskytnout věkovou skupinu uživatele. Nezletilí jsou mladší 12 let, není dospělý 13–18 let a dospělí mají 18 let a více. Klasifikace právní věkové skupiny určuje kombinace věkové skupiny a souhlasu poskytnutého rodiči. Klasifikace právní věkové skupiny může omezit přístup a oprávnění uživatele.
   • Nastavení: Umístění použití můžete použít k identifikaci globální polohy uživatele.

   Vyberte Zkontrolovat a vytvořit nebo pokračujte na Další: Přiřazení.

4. Na kartě Přiřazení můžete přiřadit uživatele k jedné jednotce pro správu a až 20 skupinám nebo Microsoft Entra rolím v době vytvoření účtu. Přiřazení můžete nakonfigurovat také po vytvoření uživatele.

   Tip

   Některé možnosti nemusí být k dispozici pro konfiguraci na základě úrovně oprávnění vašich účtů v Microsoft Entra. Pokud máte například přiřazenou jenom roli Správce uživatelů, můžete přiřadit uživatele ke skupinám, ale nemáte oprávnění přiřadit jednotku pro správu nebo přiřadit uživateli roli Microsoft Entra. Informace o oprávněních poskytovaných různými rolemi najdete v tématu Microsoft Entra předdefinovaných rolí.

   Přiřazení skupiny novému uživateli:

   1. Vyberte + Přidat skupinu.
   2. V zobrazené nabídce vyberte ze seznamu až 20 skupin a vyberte tlačítko Vybrat .
   3. Vyberte tlačítko Zkontrolovat + vytvoření .

   Přiřazení role Microsoft Entra novému uživateli: Pokud uživatel vyžaduje oprávnění v rámci entra, můžete mu pomocí této možnosti přiřadit vhodnou roli. Pokud chcete přiřadit role Entra jiným účtům, musí mít váš účet oprávnění rovna Microsoft Entra správce privilegovaných rolí.

   Tip

   Většina uživatelů, které do Intune přidáte, nebude vyžadovat přiřazení role Microsoft Entra. Místo toho uživatelům, kteří spravují pouze Intune, plánujte přiřadit Intune roli RBAC po vytvoření účtu.

   1. Vyberte + Přidat roli.
   2. V zobrazené nabídce zvolte ze seznamu až 20 rolí a vyberte tlačítko Vybrat .
   3. Vyberte tlačítko Zkontrolovat a vytvořit .

   Přidání jednotky pro správu pro nového uživatele: Většina uživatelů, které přidáte do Intune, nikdy nebude vyžadovat jednotky pro správu, což je v Microsoft Entra ID účinný způsob, jak delegovat správu nad podmnožinou uživatelů, skupin nebo zařízení ve vaší organizaci.

   Místo toho můžete v rámci Intune použít značky oboru a skupiny oborů.

   Pokud chcete uživateli přiřadit jednotku pro správu, musí mít váš účet oprávnění rovna správci privilegovaných rolí Entra.

   1. Vyberte + Přidat jednotku pro správu.
   2. V zobrazené nabídce vyberte jednu jednotku pro správu a pak tlačítko Vybrat .
   3. Vyberte Zkontrolovat a vytvořit.

5. Na kartě Zkontrolovat a vytvořit zkontrolujte podrobnosti a ujistěte se, že jsou informace správné a že jsou podrobnosti úspěšně ověřeny. Zkontrolujte podrobnosti a vyberte tlačítko Vytvořit , pokud vše vypadá v pořádku.

Poznámka

Uživatele typu host můžete také pozvat do tenanta Intune. Další informace najdete v tématu Přidání uživatelů Microsoft Entra spolupráce B2B v Centrum pro správu Microsoft Entra.

Přidání více uživatelů

Uživatele Intune můžete přidat hromadně tak, že nahrajete soubor CSV obsahující úplný seznam uživatelů. Soubor CSV je seznam hodnot oddělených čárkami, který se dá upravovat v Poznámkovém bloku nebo Excelu.

Přidání více uživatelů do Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Přejděte na Uživatelé>Všichni uživatelé>Hromadné operace>hromadné vytvoření. Zobrazí se podokno Hromadné vytvoření uživatelů , které nabízí možnost Stáhnout šablonu CSV, kterou můžete použít.

3. Až bude šablona CSV připravená, vyhledejte a nahrajte soubor pomocí funkce procházení. Kliknutím na Odeslat zahajte import.

   Další informace o použití souboru CSV k přidání uživatelů Intune najdete v tématu Hromadné vytváření uživatelů v Microsoft Entra ID.

Poznámka

Do tenanta Intune můžete také pozvat více uživatelů typu host. Další informace najdete v tématu Kurz: Hromadné pozvání uživatelů Microsoft Entra spolupráce B2B.

Synchronizace služby Active Directory a přidání uživatelů do Intune

Synchronizaci adresářů můžete nakonfigurovat pro import uživatelských účtů z místní Active Directory do Microsoft Entra, která zahrnuje Intune uživatele. Díky propojení služby místní Active Directory se všemi službami založenými na Id Entra je správa identity uživatele jednodušší. Můžete také nakonfigurovat funkce jednotného přihlašování, které uživatelům usnadní a usnadní ověřování. Když propojíte stejného tenanta Entra s více službami, budou uživatelské účty, které jste dříve synchronizovali, dostupné pro všechny cloudové služby.

Ujistěte se, že vaši správci služby Active Directory mají přístup k vašemu předplatnému Entra a jsou vytrénování, aby mohli provádět běžné úlohy služby Active Directory a Microsoft Entra.

Synchronizace místních uživatelů s Microsoft Entra ID

• Pokud chcete přesunout stávající uživatele z místní Active Directory na Id Entra, můžete nastavit hybridní identitu. Hybridní identity existují v obou službách – místní Active Directory i Microsoft Entra ID.
• Uživatele služby Active Directory můžete také exportovat pomocí uživatelského rozhraní nebo skriptu. Vyhledávání na internetu vám může pomoct najít nejlepší možnost pro vaši organizaci.
• Pokud chcete synchronizovat uživatelské účty s Id Entra, použijte průvodce Microsoft Entra Connect. Průvodce Microsoft Entra Connect poskytuje zjednodušené a řízené prostředí pro připojení místní infrastruktury identit ke cloudu. Zvolte topologii a potřeby (jeden nebo více adresářů, synchronizace hodnot hash hesel, předávací ověřování nebo federace). Průvodce nasadí a nakonfiguruje všechny součásti potřebné k zprovoznění připojení. Patří sem synchronizační služby, Active Directory Federation Services (AD FS) (AD FS) a modul Microsoft Graph PowerShell.

Tip

Microsoft Entra Connect zahrnuje funkce, které byly dříve vydány jako Dirsync a Azure AD Sync. Přečtěte si další informace o integraci adresářů. Další informace o synchronizaci uživatelských účtů z místního adresáře do ID Entra najdete v tématu Podobnosti mezi službou Active Directory a Microsoft Entra ID.

Odstranit uživatele

Jakmile uživatel organizaci opustí, můžete ho z Microsoft Entra odstranit pomocí Centra pro správu Intune, čímž se odebere také z Intune. Můžete také odstranit více uživatelů pomocí hromadných operací.

Pokud chcete odstranit uživatele z Entra, musí mít váš účet správce oprávnění rovnající se Microsoft Entra roli Správce uživatelů.

Odstranění jednotlivého uživatele z Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.
2. Přejděte na Uživatelé>Všichni uživatelé.
3. Vyberte uživatele, kterého chcete odstranit.
4. Vyberte Odstranit.

Odstranění více uživatelů z Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Přejděte na Uživatelé>Všichni uživatelé>Hromadné operace>Hromadné odstranění. Zobrazí se podokno Hromadné odstranění uživatelů s možností Stáhnout šablonu CSV, kterou můžete použít.

3. Až bude šablona CSV připravená, vyhledejte a nahrajte soubor pomocí funkce procházení. Výběrem možnosti Odeslat zahájíte odstraňování.

   Související informace najdete v tématu Hromadné odstranění uživatelů v Microsoft Entra ID.

Tip

Jako uživatel s dostatečnými oprávněními ke správě uživatelských účtů některé účty možná nebudete moct odstranit. Mezi důvody, proč nemůžete odstranit konkrétní účet, patří:

• Účty synchronizované z místní Active Directory.
• Účty, kterým je přiřazena vyšší privilegovaná role Entra, než je váš účet.

• jaké prostředky můžou změnit.

• Účty, které při používání Centra pro správu Intune spadají mimo vaši aktuální skupinu Intune.

Související obsah

• Přidání skupin pro uspořádání uživatelů a zařízení
• Přiřazení uživatelských licencí k Intune