上一篇

下一步

Microsoft Entra ID 中的用户帐户是什么？

已完成

在 Microsoft Entra ID 中，所有用户帐户都被授予一组默认权限。 用户账户的访问权限由用户的类型、其角色分配及其对单个对象的所有权构成。

Microsoft Entra ID 中有不同类型的用户帐户。 每种用户帐户类型的访问级别都特定于为该类帐户预设的工作范围。 管理员具有最高级别的访问权限，其次是 Microsoft Entra 组织中的成员用户帐户。 来宾用户的访问权限最小。

权限和角色

Microsoft Entra ID 使用权限帮助你控制向用户或组授予的访问权限。 该操作通过角色来完成。 Microsoft Entra ID 设有多个拥有不同权限的角色。 向某个用户分配了某个特定角色后，用户会继承该角色的权限。 例如，分配了用户管理员角色的用户可以创建和删除用户帐户。

了解何时向正确的用户分配正确的角色类型是维护隐私和安全合规性基本且重要的一步。 如果将错误的角色分配给错误的用户，则该角色附带的权限可能导致用户对组织造成严重损害。

管理员角色

拥有 Microsoft Entra ID 中管理员角色的用户可拥有提升的权限，能控制其他用户的权限。 将这些角色分配给用户数量一定的用户组，用于管理 Microsoft Entra 组织中的标识任务。 可以分配管理员角色，该角色允许用户创建或编辑用户、向其他用户分配管理角色、重置用户密码、管理用户许可证等。

如果用户帐户具有“用户管理员”或“全局管理员”角色，则可以使用 Azure 门户、Azure CLI 或 PowerShell 在 Microsoft Entra ID 中创建新用户。 在 PowerShell 中，请运行 cmdlet New-MgUser。 在 Azure CLI 中使用 az ad user create。

成员用户

成员用户帐户是 Microsoft Entra 组织中的本机成员，该帐户有一组默认的权限，比如能够管理其配置文件信息。 当有新人加入你的组织时，他们通常会拥有这类为他们创建的用户帐户。

任何不是来宾用户或未分配为管理员角色的人员都拥有此类型的帐户。 成员用户角色是指被视为组织内部成员的用户，并且是 Microsoft Entra 组织的成员。 但是，这类用户应无权管理（比如，创建和删除用户）其他用户。 成员用户没有来宾用户的限制。

来宾用户

来宾用户的 Microsoft Entra 组织权限受到限制。 如果要邀请某人与你的组织协作，要将他们作为来宾用户添加到 Microsoft Entra 组织中。 然后，可发送包含兑换链接的邀请电子邮件，也可直接发送要共享的应用的链接。 来宾用户使用自己的工作、学校或社交标识进行登录。 默认情况下，Microsoft Entra 成员用户可以邀请来宾用户。 具有用户管理员角色的人可以禁用此默认设置。

你的组织可能需要与外部合作伙伴协作。 要与你的组织进行协作，这些合作伙伴通常需要对特定资源具有一定级别的访问权限。 对于这种情况，最好使用来宾用户帐户。 然后需要确保合作伙伴仅拥有适当的权限级别，而不具有超过其工作需要的更高级别的访问权限。

添加用户帐户

可以通过 Azure 门户、Azure PowerShell 或 Azure CLI 来添加个人用户帐户。

如果要使用 Azure CLI，请运行以下 cmdlet：

# create a new user
az ad user create

此命令使用 Azure CLI 创建新用户。

对于 Azure PowerShell，请运行以下 cmdlet：

# create a new user
New-MgUser

可以批量创建成员用户和来宾帐户。 下面的示例演示如何批量邀请来宾用户。

$invitations = import-csv c:\bulkinvite\invitations.csv

$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
   CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }

foreach ($email in $invitations)
   {New-MgInvitation `
      -InviteRedirectUrl https://myapps.microsoft.com ` 
      -InvitedUserDisplayName $email.Name `
      -InvitedUserEmailAddress $email.InvitedUserEmailAddress `
      -InvitedUserMessageInfo $messageInfo `
      -SendInvitationMessage 
   }

创建逗号分隔值 (CSV) 文件，其中包含想要添加的所有用户的列表。 向此 CSV 文件中的每个用户发送邀请。

删除用户帐户

还可以通过 Azure 门户、Azure PowerShell 或 Azure CLI 来删除用户帐户。 在 PowerShell 中，请运行 cmdlet Remove-MgUser。 在 Azure CLI 中，请运行 cmdlet az ad user delete。

删除用户后，帐户将保持挂起状态 30 天。 在此 30 天期间，可以还原用户帐户。

知识检查

1.

如果你不小心删除了某个用户帐户，能否将用户还原？

如果删除了某个用户帐户，该帐户就被永久删除且无法还原。

可以还原用户帐户，但前提是它是在最近 30 天内创建的。

可以还原用户帐户，但前提是它是在最近 30 天内删除的。

2.

如果要允许外部组织轻松访问，应创建哪种类型的帐户？

为外部团队中的每个成员创建一个来宾用户帐户。

为外部团队中的每个成员创建一个外部帐户。

为外部团队中的每个成员创建一个管理员帐户。

在检查工作前，必须回答所有问题。

继续