使用我的員工管理您的使用者

我的員工可讓您將許可權委派給授權單位的數位，例如商店經理或小組負責人，以確保其員工能夠存取其 Microsoft Entra 帳戶。 組織可以委派一般工作，例如重設密碼或將電話號碼變更為本機小組經理，而不是依賴中央技術服務人員。 使用 「我的員工」時，無法存取其帳戶的使用者只要按幾下滑鼠，就不需要技術服務人員或IT人員即可重新取得存取權。

在您為組織設定 My Staff 之前，建議您先檢閱這份檔以及 用戶檔 ，以確保您了解其運作方式，以及影響使用者的方式。 您可以利用使用者文件來訓練和準備使用者以取得新的體驗，並協助確保成功推出。

我的員工的運作方式

我的員工是以系統管理單位為基礎，這是資源容器，可用來限制角色指派的系統管理控制範圍。 如需詳細資訊，請參閱 Microsoft Entra ID 中的 管理員 單位管理。 在 [我的員工] 中，系統管理單位可用來在市集或部門中包含一組使用者。 然後，可以將小組管理員指派給一或多個單位範圍內的系統管理角色。

開始之前

若要完成本文，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。

  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶。

• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者。

  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶的關聯。

• 您需要 Microsoft Entra 租使用者中的全域 管理員 istrator 許可權，才能啟用 SMS 型驗證。

• 在簡訊驗證方法原則中啟用的每個用戶都必須獲得授權，即使他們未使用它也一樣。 每個啟用的使用者都必須具有下列其中一個 Microsoft Entra ID 或 Microsoft 365 授權：

  • Microsoft Entra ID P1 或 P2
  • Microsoft 365 F1 或 F3
  • Enterprise Mobility + Security （EMS） E3 或 E5 或 Microsoft 365 E3 或 E5

如何啟用我的員工

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

設定系統管理單位之後，您可以將此範圍套用至存取「我的員工」的使用者。 只有獲派系統管理角色的使用者才能存取「我的員工」。 若要啟用 [我的員工]，請完成下列步驟：

1. 以至少使用者 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別用戶使用者>設定]。

3. 在 [使用者功能] 底下，選取 [管理使用者功能設定]。

4. 在 [管理員 istrators 可以存取我的員工] 底下，您可以選擇為所有使用者、選取的使用者或沒有使用者存取權啟用。

注意

只有已獲指派系統管理員角色的使用者才能存取「我的員工」。 如果您為未獲指派系統管理員角色的用戶啟用 「我的員工」，他們將無法存取「我的員工」。

條件式存取

您可以使用 Microsoft Entra 條件式存取原則來保護 My Staff 入口網站。 在存取 「我的員工」之前，請先將它用於需要多重要素驗證等工作。

強烈建議您使用 Microsoft Entra 條件式存取原則來保護 My Staff。 若要將條件式存取原則套用至「我的員工」，您必須先流覽一次「我的員工」網站幾分鐘，才能在租用戶中自動布建服務主體，以供條件式存取使用。

當您建立適用於 My Staff 雲端應用程式的條件式存取原則時，您會看到服務主體。

使用我的員工

當使用者前往「我的員工」時，會顯示其具有系統管理許可權的系統 管理單位 名稱。 在 [ 我的員工] 用戶檔中，我們使用「位置」一詞來參考系統管理單位。 如果系統管理員的許可權沒有系統管理單位範圍，則許可權會套用到整個組織。 啟用 [我的員工] 之後，已啟用且已獲指派系統管理角色的使用者可以透過 https://mystaff.microsoft.com加以存取。 他們可以選取系統管理單位來檢視該單位中的使用者，然後選取使用者以開啟其配置檔。

重設使用者密碼

您必須先符合下列必要條件，才能重設內部部署用戶的密碼。 如需詳細指示，請參閱 啟用自助式密碼重設 教學課程。

• 設定密碼回寫的許可權
• 在 Microsoft Entra 連線 中啟用密碼回寫
• 在 Microsoft Entra 自助式密碼重設中啟用密碼回寫 （SSPR）

下列角色具有重設使用者密碼的許可權：

• 驗證管理員
• 特殊許可權驗證 管理員 istrator
• 全域管理員
• 服務台系統管理員
• 使用者管理員
• 密碼管理員

從 [我的員工] 開啟使用者的配置檔。 選取 [ 重設密碼]。

• 如果使用者僅限雲端，您可以看到您可以提供給用戶的暫時密碼。

• 如果使用者從 內部部署的 Active Directory 同步處理，您可以輸入符合內部部署 AD 原則的密碼。 然後，您可以將該密碼提供給使用者。

  

下次登入時，用戶必須變更其密碼。

管理電話號碼

從 [我的員工] 開啟使用者的配置檔。

• 選取 [新增電話號碼 ] 區段以新增用戶的電話號碼
• 選取 [編輯電話號碼 ] 以變更電話號碼
• 選取 [移除電話號碼 ] 以移除使用者的電話號碼

視您的設定而定，用戶接著可以使用您設定的電話號碼來使用SMS登入、執行多重要素驗證，以及執行自助式密碼重設。

若要管理使用者的電話號碼，您必須獲指派下列其中一個角色：

• 驗證管理員
• Privileged Authentication 管理員 istrator
• 全域管理員

搜尋​​

您可以使用 [我的員工] 中的搜尋列，搜尋組織中的系統管理單位和使用者。 您可以搜尋組織中所有系統管理單位和使用者，但只能對已獲授與系統管理員許可權之系統管理單位的使用者進行變更。

稽核記錄

您可以在 Microsoft Entra 系統管理中心檢視 [我的員工] 中所採取的動作稽核記錄。 如果稽核記錄是由「我的員工」中採取的動作所產生，您將會在稽核事件中的其他詳細數據底下看到此記錄。

下一步

我的員工用戶檔 管理員 單元檔