Добавление пользователей и предоставление административных разрешений для Intune

  • Статья

Как администратор вы можете добавлять пользователей напрямую или синхронизировать их из локальной службы Active Directory. После добавления пользователи могут регистрировать устройства и получать доступ к ресурсам организации. Вы также можете предоставить пользователям дополнительные разрешения, включая разрешения глобального администратора и администратора служб .

Добавление пользователей в Intune

Вы можете вручную добавить пользователей в подписку Intune с помощью Центр администрирования Microsoft 365 или Центра администрирования Microsoft Intune. Администратор может изменять учетные записи пользователей, назначая им лицензии Intune. Вы можете назначить лицензии в Центр администрирования Microsoft 365 или в Центре администрирования Microsoft Intune. Дополнительные сведения об использовании Центра администрирования Microsoft 365 см. в статье Индивидуальное или массовое добавление пользователей в Центре администрирования Microsoft 365.

Добавление пользователей Intune в Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365 с помощью учетной записи глобального администратора или администратора управления пользователями.
  2. В меню Microsoft 365 последовательно выберите Пользователи>Активные пользователи>Добавить пользователя.
  3. Укажите следующие сведения о пользователе:
    • Имя
    • Фамилия
    • Отображаемое имя
    • Имя пользователя — имя универсального принципа (UPN), хранящееся в Microsoft Entra идентификаторе, используемом для доступа к службе.
    • Пароль — укажите или создайте автоматически.
  4. Нажмите кнопку Далее.
  5. На странице Назначение лицензий на продукт выберите Расположение , а затем выберите лицензию для этого пользователя. Требуется лицензия, включающая Intune.
  6. Нажмите кнопку Далее.
  7. На странице Необязательные параметры можно
    • Назначьте новому пользователю дополнительные роли (по умолчанию новому пользователю назначена роль Пользователь).
    • Ввести данные профиля.
  8. Нажмите кнопку Далее.
  9. На странице Проверка и завершение выберите Завершить добавление, чтобы добавить пользователя. Щелкните Закрыть, чтобы закрыть страницу Добавление пользователя.

Примечание.

Если вы переходите на Microsoft 365 из подписки на Office 365, ваши пользователи и группы уже находятся в Microsoft Entra идентификаторе. Intune использует один и тот же идентификатор Microsoft Entra, а также может использовать существующих пользователей и группы.

Добавление отдельных пользователей Intune в Центр администрирования Microsoft Intune

  1. В центре администрирования Microsoft Intune выберите Пользователи>Все пользователи>Новый пользователь>Создать пользователя.
  2. Укажите следующие сведения о пользователе.
    • Имя пользователя — новое имя, которое пользователь будет использовать для входа в Microsoft Entra идентификатор.
    • Имя — личное имя пользователя.
    • Имя — имя пользователя.
    • Фамилия — фамилия пользователя.
  3. Выберите, хотите ли вы ввести пароль для нового пользователя или предпочитаете создать его автоматически.
  4. Чтобы назначить новому пользователю членство в группах (необязательно), щелкните строку Выбрано групп: 0, чтобы открыть область Группы. Здесь вы можете выбрать группы для назначения пользователю. Завершив выбор групп, щелкните Выбрать.
  5. По умолчанию новому пользователю назначается роль Пользователь. Если вы хотите добавить ему дополнительные роли, щелкните Пользователь в разделе Группы и роли. В области Роли каталога выберите роли, которые нужно назначить этому пользователю, а затем щелкните Выбрать.
  6. Если вы хотите запретить пользователю вход в систему, выберите значение Да в поле Блокировать вход. Укажите здесь значение Нет, если снова захотите разрешить пользователю входить в систему.
  7. Выберите Расположение использования для нового пользователя. Место использования нужно задать до назначения лицензии Intune новому пользователю.
  8. При желании здесь можно заполнить поля Должность, Отдел, Название компании и Руководитель.
  9. Выберите Создать, чтобы добавить нового пользователя в Intune.

Добавление нескольких пользователей Intune в Центр администрирования Microsoft Intune

Вы можете массово добавлять пользователей Intune, отправив CSV-файл, содержащий полный список пользователей. Следующие действия позволяют добавить несколько пользователей в Intune.

  1. В Центре администрирования Microsoft Endpoint Manager выберите Пользователи>Все пользователи>Массовые операции>Массовое создание. Откроется панель Массовое создание пользователя .
  2. Скачайте, измените и отправьте шаблон CSV , содержащий список пользователей, которые нужно добавить в Intune.

CSV-файл представляет собой разделенный запятыми список значений, который можно изменить в Блокноте или Excel. Дополнительные сведения об использовании CSV-файла для добавления пользователей Intune см. в статье Массовое создание пользователей в Microsoft Entra идентификаторе.

Предоставление административных разрешений

После добавления пользователей в подписку Intune рекомендуется назначить некоторым из них административные разрешения. Чтобы предоставить административные разрешения, выполните следующие действия.

Предоставление административных разрешений в Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365 с учетной записью > глобального администратора выберите Пользователи>Активные пользователи> выберите пользователя, чтобы предоставить разрешения администратора.
  2. В области сведений о пользователе выберите Управление ролями из раздела Роли.
  3. В области Управление ролями выберите в списке доступных ролей нужное административное разрешение.
  4. Выберите Сохранить изменения.

Предоставление разрешений администратора в Центре администрирования Microsoft Intune

  1. Войдите в Центр администрирования Microsoft Intune с учетной записью > глобального администратора Пользователи>, а затем выберите пользователя, которому вы хотите предоставить разрешения администратора.
  2. Выберите Назначенные роли>Добавить назначения.
  3. В области Роли каталога выберите роли, которые нужно назначить пользователю >Добавить.

Типы администраторов

Назначьте пользователям одно или несколько разрешений администратора. Эти разрешения определяют область администрирования для пользователей и задачи, которыми они могут управлять. Разрешения администратора одинаковы для разных облачных служб Майкрософт, но некоторые службы могут не поддерживать некоторые разрешения. На портале Azure и в Центре администрирования Microsoft 365 представлен список ограниченных ролей администратора, которые не используются в Intune. Intune использует следующие разрешения администратора.

  • Глобальный администратор (Microsoft 365 и Intune) имеет доступ ко всем административным функциям в Intune. По умолчанию пользователь, который регистрируется для получения Intune, становится глобальным администратором. Только глобальные администраторы могут назначать другие роли администратора. В организации может быть несколько глобальных администраторов. В целях снижения рисков рекомендуется назначать эту роль всего нескольким сотрудникам организации.
  • Администратор паролей (Microsoft 365 и Intune) сбрасывает пароли, управляет запросами на обслуживание и следит за работоспособностью служб. Администраторы паролей могут сбрасывать пароли только для пользователей.
  • Администратор поддержки служб (Microsoft 365 и Intune) отправляет запросы в службу поддержки корпорации Майкрософт, а также просматривает панель мониторинга служб и центр сообщений. У таких администраторов есть разрешения только на просмотр (за исключением открытия запросов в службу поддержки и их чтения).
  • Администратор выставления счетов (Microsoft 365 и Intune) совершает покупки, управляет подписками и запросами в службу поддержки, а также следит за работоспособностью служб.
  • Администратор пользователей (Microsoft 365 и Intune) сбрасывает пароли, отслеживает работоспособность службы, добавляет и удаляет учетные записи пользователей, а также управляет запросами на обслуживание. Администратор управления пользователями не может удалить глобального администратора, создавать другие роли администратора или сбрасывать пароли для других администраторов.
  • Администратор Intune имеет все разрешения глобального администратора Intune, за исключением разрешения на создание администраторов с разрешениями Роли каталога.

Учетная запись, используемая для создания подписки на Microsoft Intune, обладает правами глобального администратора. Права глобального администратора не рекомендуется использовать для выполнения повседневных задач управления. Хотя администратору не требуется лицензия Intune для доступа к Intune на портал Azure, для выполнения определенных задач управления, таких как настройка соединителя службы Exchange, требуется лицензия Intune.

Чтобы получить доступ к Центру администрирования Microsoft 365, для учетной записи должен быть задан параметр Вход разрешен. В разделе Профиль портала Azure установите для параметра Заблокировать вход значение Нет, чтобы разрешить доступ. Это состояние не обозначает наличия лицензии на подписку. По умолчанию все учетные записи пользователей разрешены. Пользователи без прав администратора могут использовать Центр администрирования Microsoft 365 для сброса паролей Intune.

Синхронизация Active Directory и добавление пользователей в Intune

Синхронизацию каталогов можно настроить для импорта учетных записей пользователей из локальная служба Active Directory в Microsoft Entra, включая пользователей Intune. Подключение службы локальная служба Active Directory ко всем службам на основе идентификаторов Microsoft Entra упрощает управление удостоверениями пользователей. Можно также настроить единый вход, чтобы взаимодействие с пользователями при проверке подлинности происходило просто и привычно. При связывании одного и того же Microsoft Entra клиента с несколькими службами учетные записи пользователей, которые вы ранее синхронизировали, становятся доступными для всех облачных служб.

Убедитесь, что администраторы AD имеют доступ к вашей Microsoft Entra подписке и обучены выполнению общих задач AD и Microsoft Entra.

Синхронизация локальных пользователей с идентификатором Microsoft Entra

  • Чтобы переместить существующих пользователей с локальная служба Active Directory на идентификатор Microsoft Entra, можно настроить гибридное удостоверение. Гибридные удостоверения существуют в обеих службах — локальной службе AD и идентификаторе Microsoft Entra.

  • Вы также можете экспортировать пользователей Active Directory с помощью пользовательского интерфейса или скрипта. Поиск в Интернете поможет вам найти оптимальный вариант для вашей организации.

  • Чтобы синхронизировать учетные записи пользователей с идентификатором Microsoft Entra, используйте мастер подключения Microsoft Entra. Мастер Microsoft Entra Connect предоставляет упрощенный и интерактивный интерфейс для подключения локальной инфраструктуры удостоверений к облаку. Выберите топологию и требования (один или несколько каталогов, синхронизация хэша паролей, сквозная проверка подлинности или федерация). Мастер развернет и настроит все компоненты, необходимые для работы вашего подключения. В том числе: службы синхронизации, службы федерации Active Directory (AD FS) (AD FS) и модуль Microsoft Graph PowerShell.

Совет

Microsoft Entra Connect включает функции, которые ранее были выпущены как Dirsync и Azure AD Sync. Дополнительные сведения об интеграции каталогов. Сведения о синхронизации учетных записей пользователей из локального каталога с идентификатором Microsoft Entra см. в статье Сходство между Active Directory и идентификатором Microsoft Entra.