通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Active Directory B2C 中管理管理员帐户

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

在 Azure Active Directory B2C (Azure AD B2C) 中,租户表示使用者、工作和来宾帐户的目录。 使用管理员角色,工作帐户和来宾帐户可以管理租户。

在这篇文章中,你将学会如何:

  • 添加管理员(工作帐户)
  • 邀请管理员(来宾帐户)
  • 将角色分配添加到用户帐户
  • 从用户帐户中删除角色分配
  • 删除管理员帐户
  • 保护管理帐户

先决条件

添加管理员(工作帐户)

若要创建新的管理帐户,请执行以下步骤:

  1. 以至少特权角色管理员权限登录到 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 选择 “新建用户”。

  6. 选择“ 创建用户 ”(可以通过选择 “我想批量创建用户”来同时创建多个用户)。

  7. “用户 ”页上,输入此用户的信息:

    • 用户主体名称必需。 新用户的用户名。 例如,mary@contoso.com。 用户名的域部分必须使用初始默认域名、 <租户名称>.onmicrosoft.com自定义域 ,例如 contoso.com
    • 显示名称必需。 新用户的名字和姓氏。 例如,Mary Parker
    • 密码必需。 默认设置是自动生成密码,但可以选择输入所需的密码。
    • 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户具有 Microsoft Entra 管理权限,则可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员,或者分配为 Microsoft Entra ID 中有限的管理员角色中的一个或多个。 有关分配角色的详细信息,请参阅 “使用角色控制资源访问”。
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。

  8. 复制 密码 框中提供的自动生成的密码。 需要向用户提供此密码才能首次登录。

  9. 选择 创建

现已创建用户并将其添加到 Azure AD B2C 租户。 最好是在 Azure AD B2C 租户中至少有一个原生的工作帐户被分配为全局管理员角色。 此帐户可被视为 紧急解锁帐户紧急访问帐户

邀请管理员(来宾帐户)

你还可以邀请新的来宾用户管理你的租户。 当组织还具有Microsoft Entra ID 时,来宾帐户是首选选项,因为可以在外部管理此标识的生命周期。

若要邀请用户,请执行以下步骤:

  1. 以至少特权角色管理员权限登录到 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 选择 “新建来宾帐户”。

  6. “用户 ”页上,输入此用户的信息:

    • 电子邮件地址。 必需。 要邀请的用户的电子邮件地址,必须是Microsoft帐户。 例如,mary@contoso.com
    • 个人消息:您可以添加个人消息,该消息将包含在邀请邮件中。
    • 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户具有 Microsoft Entra 管理权限,则可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员,或者分配为 Microsoft Entra ID 中有限的管理员角色中的一个或多个。 有关分配角色的详细信息,请参阅 “使用角色控制资源访问”。
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。

  7. 选择 创建

将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。

重新发送邀请电子邮件

如果来宾未收到邀请电子邮件或邀请已过期,可以重新发送邀请。 作为邀请电子邮件的替代方法,你可以为来宾提供接受邀请的直接链接。 若要重新发送邀请并获取直接链接,

  1. 登录到 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 搜索并选择要重新发送邀请的用户。

  6. 用户 |配置文件页,在“标识”下,选择“管理”。 屏幕截图显示如何重新发送来宾帐户邀请电子邮件。

  7. 对于 重新发送邀请?,请选择“ ”。 确定是否要重新发送邀请?出现时,请选择“”。

  8. Azure AD B2C 发送邀请。 还可以复制邀请 URL 并将其直接提供给来宾。

    屏幕截图显示了如何获取邀请 URL。

添加角色分配

创建 用户邀请来宾用户时,可以分配角色。 可以为用户添加角色、更改角色或删除角色:

  1. 以至少特权角色管理员权限登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  4. 在“管理”下,选择“用户” 。
  5. 选择您要更改角色的用户。 然后选择“已分配的角色”
  6. 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”。

移除角色分配

如果你需要删除用户角色分配,请执行以下步骤:

  1. 选择 Azure AD B2C,选择 “用户”,然后搜索并选择该用户。
  2. 选择“分配的角色”。 选择要删除的角色,例如“应用程序管理员”,然后选择“删除分配”。

审阅管理员帐户角色分配

作为审核过程的一部分,通常会查看将哪些用户分配到 Azure AD B2C 目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。

  1. 特权角色管理员身份登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  4. 在“ 管理”下,选择“ 角色”和“管理员”。
  5. 选择一个角色,如“全局管理员”。 角色 |“分配”页列出具有该角色的用户。

删除管理员帐户

若要删除现有用户,必须具有“全局管理员”角色分配。 全局管理员可以删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。

  1. 在 Azure AD B2C 目录中,选择“ 用户”,然后选择要删除的用户。
  2. 选择“删除”,然后选择“是”,确认进行删除。

用户被删除,不再显示在 “用户 - 所有用户 ”页面上。 接下来的30天内,用户可以在已删除用户页面上看到,并且在此期间可以恢复。 有关恢复用户的更多信息,请参阅 使用 Microsoft Entra ID 恢复或删除最近删除的用户

保护管理帐户

建议使用多重身份验证 (MFA) 保护所有管理员帐户,以提高安全性。 MFA 是登录过程中的一个身份验证过程,提示用户输入更形式的标识,例如移动设备上的验证码或其Microsoft Authenticator 应用中的请求。

登录屏幕截图中使用的身份验证方法

如果不使用 条件访问,则可以启用 Microsoft Entra 安全默认设置 ,以强制所有管理帐户使用 MFA。

后续步骤