使用我的員工管理您的使用者

「我的員工」可讓您將權限委派給機構單位 (例如商店經理或小組負責人),以確保其員工成員能夠存取 Azure AD 帳戶。 組織可以將常見工作 (例如重設密碼或變更電話號碼) 委派給當地小組管理員,而不必由服務中心協助。 透過「我的員工」,無法存取帳戶的使用者只要按幾下,就可以重新取得存取權,而不需要服務中心或 IT 人員的幫忙。

為組織設定我的員工之前,建議您先參閱本文件以及使用者文件,確保您了解運作方式,以及會對您的使用者有何影響。 您可以利用使用者文件來訓練使用者,讓他們準備好使用新體驗,並協助確保新體驗能順利推出。

我的員工運作方式

我的員工是以管理單位為基礎,也就是資源的容器,可用來限制角色指派的系統管理控制範圍。 如需詳細資訊,請參閱 Azure Active Directory 中的管理單位管理。 在「我的員工」中,可以用系統管理單位在商店或部門中納入一群使用者。 然後,可以將小組管理員指派給一或多個單位範圍內的系統管理角色。

開始之前

若要完成本文章,您需要下列資源和權限:

如何啟用我的員工

設定管理單位之後,您可以將此範圍套用至存取「我的員工」的使用者。 只有獲派系統管理角色的使用者可以存取我的員工。 若要啟用我的員工,請完成下列步驟:

  1. 以全域管理員、使用者管理員或群組管理員的身分登入 Azure 入口網站Azure AD 系統管理中心

  2. 選取 [Azure Active Directory] > [使用者設定] > [使用者功能] > [管理使用者功能設定]。

  3. 在 [系統管理員可存取我的員工] 下,可以選擇啟用所有使用者、選取的使用者或無使用者存取等選項。

注意

只有獲派系統管理員角色的使用者可以存取我的員工。 如果您針對未獲指派系統管理員角色的使用者啟用「我的員工」,他們將無法存取「我的員工」。

條件式存取

您可以使用 Azure AD 條件式存取原則來保護「我的員工」入口網站。 需要多重要素驗證的工作才能存取我的員工。

強烈建議您使用 Azure AD 條件式存取原則來保護我的員工。 若要將條件式存取原則套用至「我的員工」,您必須先造訪「我的員工」網站一次,以在您的租用戶中自動佈建服務主體,以供條件式存取使用。

建立適用於「我的員工」雲端應用程式的條件式存取原則時,您會看到服務主體。

為「我的員工」應用程式建立條件式存取原則

使用我的員工

當使用者移至「我的員工」時,會顯示使用者具有系統管理權限的系統管理單位名稱。 在我的員工使用者文件中,我們使用「位置」一詞來指稱管理單位。 如果系統管理員的權限沒有管理單位範圍,就會將權限套用至整個組織。 啟用「我的員工」之後,已指派系統管理角色的使用者就可以透過 https://mystaff.microsoft.com 存取。 這些使用者可以選取管理單位來查看該單位中的使用者,並選取使用者來開啟其設定檔。

重設使用者的密碼

您必須先完成下列先決條件,才能重設內部部署使用者的密碼。 如需詳細指示,請參閱啟用自助式密碼重設教學課程。

  • 設定密碼回寫的權限
  • 在 Azure AD Connect 中啟用密碼回寫
  • 在 Azure AD 自助式密碼重設 (SSPR) 中啟用密碼回寫

下列角色具有重設使用者密碼的權限:

從 [我的員工] 開啟使用者的設定檔。 選取 [重設密碼]。

  • 如果使是僅限雲端的使用者,您可以看到可提供給使用者的暫時密碼。

  • 如果使用者是從內部部署 Active Directory 同步,您可以輸入符合內部部署 AD 原則的密碼。 然後,您可以將該密碼提供給使用者。

    密碼重設進度指示器和成功通知

設為 True 時,使用者必須在下次登入時變更其密碼。

管理電話號碼

從 [我的員工] 開啟使用者的設定檔。

  • 選取 [新增電話號碼] 區段以新增使用者的電話號碼
  • 選取 [編輯電話號碼] 來變更電話號碼
  • 選取 [移除電話號碼] 以移除使用者的電話號碼

視您的設定而定,使用者接著可以用您設定的電話號碼,以使用 SMS 登入、執行多重要素驗證,以及執行自助式密碼重設。

若要管理使用者的電話號碼,您必須獲指派下列其中一個角色:

您可以使用 [我的員工] 中的 [搜尋] 列,搜尋組織中的系統管理單位和使用者。 您可以搜尋組織中的所有管理單位和使用者,但只能對您已獲得系統管理權限之系統管理單位中的使用者進行變更。

您也可以在管理單位內搜尋使用者。 若要這樣做,請使用使用者清單頂端的 [搜尋] 列。

稽核記錄

您可以在 Azure Active Directory 入口網站中,針對在我的員工中所採取的動作,查看稽核記錄。 如果稽核記錄是由在「我的員工」中採取的動作所產生,您將會在稽核事件的 [其他詳細資料] 下看到這種情況。

後續步驟

我的員工使用者文件管理單位文件