Udostępnij za pośrednictwem

Dodawanie użytkowników Microsoft Intune i zarządzanie nimi

Tożsamość Microsoft Entra, część Microsoft Entra, to usługa tożsamości dla Microsoft Intune co oznacza, że konta użytkowników widoczne w Intune istnieją w Microsoft Entra. Jako administrator z wystarczającymi uprawnieniami kontroli dostępu na podstawie ról (RBAC) w Microsoft Entra możesz zarządzać Microsoft Entra kontem użytkownika Intune za pomocą centrum administracyjnego Intune. Te same uprawnienia Entra umożliwiają również administratorowi zarządzanie użytkownikami z poziomu Centrum administracyjne platformy Microsoft 365 lub bezpośrednio za pośrednictwem centrum administracyjne Microsoft Entra.

Intune obsługuje również korzystanie z kont użytkowników synchronizowanych z usługi Active Directory z dowolną usługą opartą na chmurze, która udostępnia dzierżawę Intune i dzierżawą usługi Entra.

Po dodaniu lub zsynchronizowanym użytkowniku do aplikacji Entra i przypisaniu licencji do Intune użytkownik może zarejestrować urządzenia z Intune i zacząć uzyskiwać dostęp do zasobów firmy. Intune administratorzy mogą również przypisywać Intune role RBAC i uprawnienia do dyskretnych grup użytkowników, aby umożliwić tym użytkownikom administrowanie subskrypcją Intune.

W pozostałej części tego artykułu skupiono się na zarządzaniu kontami użytkowników przy użyciu centrum administracyjnego Intune.

Kontrola dostępu oparta na rolach do zarządzania kontami użytkowników

Aby można było zarządzać użytkownikami za pomocą centrum administracyjnego Intune, konto musi mieć uprawnienia RBAC w ramach Microsoft Entra do zarządzania kontami użytkowników. Microsoft Entra uprawnienia są wymagane, ponieważ Intune RBAC jest podzbiorem rbac Entra. Jako podzbiór uprawnienia rbac tylko Intune nie są wystarczające do zarządzania kontami w Microsoft Entra. Istnieją jednak pewne role Microsoft Entra, które obejmują uprawnienia w Intune.

Podczas pracy z funkcją RBAC firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień przy użyciu tylko kont, które mają minimalne wymagane uprawnienia do zadania, oraz ograniczenie użycia i przypisania uprzywilejowanych ról administracyjnych, takich jak administrator Intune.

Następująca Microsoft Entra wbudowana rola RBAC jest najmniej uprzywilejowaną rolą wbudowaną, która zawiera wystarczające uprawnienia do dodawania kont użytkowników i zarządzania nimi:

  • Administrator użytkowników — ta rola zapewnia uprawnienia wystarczające do dodawania i edytowania kont użytkowników z centrów administracyjnych dla Microsoft Intune, Microsoft Entra i Microsoft 365.

Porada

Rola administratora użytkowników Microsoft Entra zapewnia również wystarczające uprawnienia do przypisywania licencji do Intune i innych produktów użytkownikom. Jednak zarządzanie licencjami to zadanie, które można zarządzać tylko w przypadku korzystania z Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Przypisywanie licencji Intune użytkownikom.

Dodawanie użytkowników do Intune

Za pomocą centrum administracyjnego Intune możesz ręcznie dodać nowe konta użytkowników do Tożsamość Microsoft Entra gdzie będą one następnie dostępne dla Twojej subskrypcji. Można dodawać użytkowników indywidualnie, a także używać operacji zbiorczej, aby dodać wielu użytkowników w tym samym czasie, gdy są one zdefiniowane w pliku csv.

Dodawanie poszczególnych użytkowników

Poniższe kroki proceduralne mogą służyć do dodawania poszczególnych użytkowników do subskrypcji Intune. Aby uzyskać bardziej kompletny przegląd tworzenia nowych kont użytkowników, zobacz Jak tworzyć, zapraszać i usuwać użytkowników w dokumentacji Microsoft Entra.

  1. W centrum administracyjnym Intune przejdź do pozycji Użytkownicy>Wszyscy użytkownicy> wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.

  2. Na karcie Podstawy skonfiguruj następujące szczegóły użytkownika:

    • Główna nazwa użytkownika — główna nazwa użytkownika (UPN) jest przechowywana w Tożsamość Microsoft Entra i służy do uzyskiwania dostępu do usług, w tym Microsoft Entra, Microsoft 365 i Microsoft Intune.
    • Pseudonim poczty — aby wprowadzić nazwę e-mail inną niż główna nazwa użytkownika, usuń zaznaczenie opcji Pochodne od głównej nazwy użytkownika , a następnie wprowadź pseudonim poczty.
    • Nazwa wyświetlana — jak jest wyświetlana nazwa użytkownika. Na przykład Chris Green lub Chris A. Green.
    • Hasło — dodaj hasło dla nowego użytkownika lub wybierz jego automatyczne wygenerowanie. Wszyscy nowi użytkownicy są kierowani do utworzenia nowego hasła podczas pierwszego logowania.
    • Włączone konto — jeśli konto nie jest włączone, logowanie użytkownika jest blokowane. To ustawienie można zaktualizować po utworzeniu konta.

Możesz wybrać pozycję Przejrzyj i utwórz , aby utworzyć nowe konto użytkownika, korzystając tylko z informacji podstawowych, lub wybrać pozycję Dalej: Właściwości , aby ukończyć dodatkowe, ale opcjonalne konfiguracje.

  1. Na karcie Właściwości skonfiguruj następujące szczegóły, które są opcjonalne. Wartości, które nie są określone, pozostają puste podczas tworzenia konta i mogą być edytowane później.

    • Tożsamość:
      • Imię
      • Nazwisko
      • Typ użytkownika — wybierz członka lub gościa. Oba typy użytkowników są wewnętrzne dla Twojej organizacji. Członkowie są często pełnoetatowymi pracownikami w organizacji. Goście mają konto w dzierżawie, ale mają uprawnienia na poziomie gościa.
      • Informacje o autoryzacji — jeśli używasz uwierzytelniania opartego na certyfikatach dla użytkowników, możesz użyć tego pola, aby dodać maksymalnie pięć identyfikatorów użytkownika certyfikatu. Aby uzyskać więcej informacji, zobacz Mapowanie atrybutu certificateUserIds w Tożsamość Microsoft Entra.
    • Informacje o zadaniu: określ informacje związane z zadaniem, takie jak stanowisko użytkownika, dział lub menedżer.
    • Informacje kontaktowe: dodaj informacje kontaktowe użytkownika.
    • Kontrola rodzicielska: W przypadku organizacji takich jak okręgi szkolne K-12 może być konieczne dostarczenie grupy wiekowej użytkownika. Osoby niepełnoletnie mają 12 lat i mniej, nie są dorosłe w wieku 13-18 lat, a dorośli mają 18 lat i więcej. Kombinacja grupy wiekowej i zgody udzielonej przez opcje nadrzędne określa klasyfikację legalnej grupy wiekowej. Klasyfikacja legalnej grupy wiekowej może ograniczyć dostęp i uprawnienia użytkownika.
    • Ustawienia: możesz użyć lokalizacji użycia , aby zidentyfikować lokalizację globalną użytkownika.

    Wybierz pozycję Przejrzyj i utwórz lub przejdź do pozycji Dalej: Przypisania.

  2. Na karcie Przypisania można przypisać użytkownika do jednej jednostki administracyjnej oraz do 20 grup lub Microsoft Entra ról w momencie utworzenia konta. Można również skonfigurować przypisania po utworzeniu użytkownika.

    Porada

    Niektóre opcje mogą nie być dostępne do skonfigurowania na podstawie poziomu uprawnień kont w Microsoft Entra. Jeśli na przykład masz przypisaną tylko rolę administratora użytkownika, możesz przypisać użytkowników do grup, ale nie masz uprawnień do przypisania jednostki administracyjnej lub przypisania użytkownikowi roli Microsoft Entra. Aby uzyskać informacje o uprawnieniach udostępnianych przez różne role, zobacz Microsoft Entra role wbudowane.

    Aby przypisać grupę do nowego użytkownika:

    1. Wybierz pozycję + Dodaj grupę.
    2. Z wyświetlonego menu wybierz maksymalnie 20 grup z listy i wybierz przycisk Wybierz .
    3. Wybierz przycisk Przejrzyj + tworzenie .

    Aby przypisać rolę Microsoft Entra do nowego użytkownika:
    Gdy użytkownik wymaga uprawnień w aplikacji Entra, możesz użyć tej opcji, aby przypisać mu odpowiednią rolę. Aby przypisać role Entra do innych kont, konto musi mieć uprawnienia równe Microsoft Entra Administrator ról uprzywilejowanych.

    Porada

    Większość użytkowników dodana do Intune nie będzie wymagać przypisania roli Microsoft Entra. Zamiast tego dla użytkowników, którzy zarządzają tylko Intune, należy zaplanować przypisanie Intune roli RBAC po utworzeniu konta.

    1. Wybierz pozycję + Dodaj rolę.
    2. Z wyświetlonego menu wybierz maksymalnie 20 ról z listy i wybierz przycisk Wybierz .
    3. Wybierz przycisk Przejrzyj i utwórz .

    Aby dodać jednostkę administracyjną do nowego użytkownika:
    Większość użytkowników dodanych do Intune nigdy nie będzie wymagać jednostek administracyjnych (AU), które w Tożsamość Microsoft Entra to zaawansowany sposób delegowania kontroli administracyjnej nad podzestawami użytkowników, grup lub urządzeń w organizacji.

    Zamiast tego w ramach Intune można używać tagów zakresu i grup zakresów.

    Aby przypisać jednostkę administracyjną do użytkownika, twoje konto musi mieć uprawnienia równe administratorowi ról uprzywilejowanych Entra.

    1. Wybierz pozycję + Dodaj jednostkę administracyjną.
    2. Z wyświetlonego menu wybierz jedną jednostkę administracyjną, a następnie przycisk Wybierz .
    3. Wybierz pozycję Przejrzyj i utwórz.

  3. Na karcie Przeglądanie i tworzenie przejrzyj szczegóły, aby upewnić się, że informacje są poprawne, a szczegóły przeszły weryfikację. Przejrzyj szczegóły i wybierz przycisk Utwórz , jeśli wszystko wygląda dobrze.

Uwaga

Możesz również zaprosić użytkowników-gości do dzierżawy Intune. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy B2B Microsoft Entra w centrum administracyjne Microsoft Entra.

Dodawanie wielu użytkowników

Możesz zbiorczo dodawać Intune użytkowników, przekazując plik csv zawierający pełną listę użytkowników. Plik csv to rozdzielana przecinkami lista wartości, którą można edytować w Notatniku lub programie Excel.

Aby dodać wielu użytkowników do Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy>— zbiorcze operacje>tworzenia zbiorczego. Zostanie wyświetlone okienko Zbiorcze tworzenie użytkowników , które umożliwia pobranie szablonu CVS, którego można użyć.
  3. Gdy szablon CVS jest gotowy, użyj funkcji przeglądania, aby zlokalizować i przekazać plik. Wybierz pozycję Prześlij , aby rozpocząć importowanie.

Aby uzyskać więcej informacji na temat dodawania użytkowników Intune przy użyciu pliku csv, zobacz Zbiorcze tworzenie użytkowników w Tożsamość Microsoft Entra.

Uwaga

Możesz również zaprosić wielu użytkowników-gości do dzierżawy Intune. Aby uzyskać więcej informacji, zobacz Samouczek: zbiorcze zapraszanie Microsoft Entra użytkowników współpracy B2B.

Synchronizuj usługę Active Directory i dodaj użytkowników do Intune

Synchronizację katalogów można skonfigurować w celu zaimportowania kont użytkowników z lokalna usługa Active Directory do Microsoft Entra obejmującej Intune użytkowników. Połączenie usługi lokalna usługa Active Directory ze wszystkimi usługami opartymi na Tożsamość Entra ułatwia zarządzanie tożsamością użytkownika. Możesz również skonfigurować funkcje logowania jednokrotnego, aby ułatwić i ułatwić środowisko uwierzytelniania dla użytkowników. Po połączeniu tej samej dzierżawy entra z wieloma usługami konta użytkowników, które zostały wcześniej zsynchronizowane, są dostępne dla wszystkich usług w chmurze.

Upewnij się, że administratorzy usługi Active Directory mają dostęp do subskrypcji Entra i są przeszkoleni do wykonywania typowych zadań usługi Active Directory i Microsoft Entra.

Jak synchronizować użytkowników lokalnych z Tożsamość Microsoft Entra

  • Aby przenieść istniejących użytkowników z lokalna usługa Active Directory do Tożsamość Entra, możesz skonfigurować tożsamość hybrydową. Tożsamości hybrydowe istnieją w obu usługach — lokalna usługa Active Directory i Tożsamość Microsoft Entra.
  • Możesz również wyeksportować użytkowników usługi Active Directory przy użyciu interfejsu użytkownika lub skryptu. Wyszukiwanie w Internecie może pomóc w znalezieniu najlepszej opcji dla twojej organizacji.
  • Aby zsynchronizować konta użytkowników z Tożsamość Entra, użyj kreatora Microsoft Entra Connect. Kreator Microsoft Entra Connect zapewnia uproszczone i z przewodnikiem środowisko do łączenia lokalnej infrastruktury tożsamości z chmurą. Wybierz topologię i potrzeby (pojedynczy lub wiele katalogów, synchronizację skrótów haseł, uwierzytelnianie przekazywane lub federację). Kreator wdraża i konfiguruje wszystkie składniki wymagane do uruchomienia połączenia. W tym: usługi synchronizacji, Active Directory Federation Services (AD FS) i moduł Programu PowerShell programu Microsoft Graph.

Porada

Microsoft Entra Connect obejmuje funkcje, które zostały wcześniej wydane jako Dirsync i Azure AD Sync. Dowiedz się więcej o integracji katalogów. Aby dowiedzieć się więcej o synchronizowaniu kont użytkowników z katalogu lokalnego do Tożsamość Entra, zobacz Podobieństwa między usługą Active Directory i Tożsamość Microsoft Entra.

Usuwanie użytkowników

Po opuszczeniu organizacji przez użytkownika możesz użyć centrum administracyjnego Intune, aby usunąć je z Microsoft Entra, co również spowoduje usunięcie ich z Intune. Można również usunąć wielu użytkowników przy użyciu operacji zbiorczych.

Aby usunąć użytkowników z aplikacji Entra, konto administracyjne musi mieć uprawnienia równe Microsoft Entra roli administratora użytkownika.

Aby usunąć pojedynczego użytkownika z Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz użytkownika, który chcesz usunąć.
  4. Wybierz pozycję Usuń.

Aby usunąć wielu użytkowników z Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy>Zbiorcze operacje zbiorcze>usuwania. Zostanie wyświetlone okienko Zbiorcze usuwanie użytkowników , które umożliwia pobranie szablonu CVS, którego możesz użyć.
  3. Gdy szablon CVS jest gotowy, użyj funkcji przeglądania, aby zlokalizować i przekazać plik. Wybierz pozycję Prześlij , aby rozpocząć usuwanie.

Aby uzyskać powiązane informacje, zobacz Zbiorcze usuwanie użytkowników w Tożsamość Microsoft Entra.

Porada

Jako użytkownik z wystarczającymi uprawnieniami do zarządzania kontami użytkowników niektóre konta mogą nie być możliwe do usunięcia. Przyczyny, dla których nie można usunąć określonego konta, mogą obejmować:

  • Konta synchronizowane z lokalna usługa Active Directory.
  • Konta, do których przypisano rolę Entra o wyższych uprawnieniach niż twoje konto.
  • Konta, które nie należą do bieżącej grupy zakresów Intune podczas korzystania z centrum administracyjnego Intune.

Zawartość pokrewna