在 Azure Active Directory B2C 中管理系統管理員帳戶

在 Azure Active Directory B2C（Azure AD B2C）中，租使用者代表您的取用者、工作和來賓帳戶目錄。 使用系統管理員角色，工作和來賓帳戶可以管理租使用者。

在本文中，您將學會如何：

• 新增系統管理員（工作帳戶）
• 邀請系統管理員（來賓帳戶）
• 將角色指派新增至用戶帳戶
• 從用戶帳戶移除角色指派
• 刪除系統管理員帳戶
• 保護系統管理帳戶

必要條件

• 如果您尚未建立自己的 Azure AD B2C 租使用者，請立即建立一個。 您可以使用現有的 Azure AD B2C 租使用者。
• 瞭解 Azure AD B2C 中的用戶帳戶。
• 了解 使用者角色以控制資源存取。

新增系統管理員（工作帳戶）

若要建立新的系統管理帳戶，請遵循下列步驟：

1. 使用全域 管理員 istrator 或 Privileged Role 管理員 istrator 許可權登入 Azure 入口網站。

2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。

3. 在 [Azure 服務] 底下，選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。

4. 在管理下方，選取使用者。

5. 選取 [ 新增使用者]。

6. 選取 [建立使用者] （您可以選取 [我想大量建立使用者] 來一次建立許多使用者）。

7. 在 [ 使用者] 頁面上，輸入此使用者的資訊：

   • 使用者名稱。 必要。 新使用者的用戶名稱。 例如： mary@contoso.com 。 使用者名稱的網域部分必須使用初始預設功能變數名稱、 <租使用者名稱>.onmicrosoft.com 或自定義 網域 ，例如 contoso.com。
   • 名稱. 必要。 新使用者的名字和姓氏。 例如， Mary Parker。
   • 群組。 選擇性。 您可以將使用者新增至一或多個現有的群組。 您也可以稍後將使用者新增至群組。
   • 目錄角色：如果您需要使用者的 Microsoft Entra 系統管理許可權，您可以將他們新增至 Microsoft Entra 角色。 您可以將使用者指派為全域管理員，或在 Microsoft Entra ID 中指派一或多個有限的系統管理員角色。 如需指派角色的詳細資訊，請參閱 使用角色來控制資源存取。
   • 作業資訊：您可以在這裡新增使用者的詳細資訊，或稍後再新增。

8. 複製 [密碼] 方塊中自動產生的密碼。 您需要提供此密碼給第一次登入的使用者。

9. 選取建立。

系統會建立使用者並新增至您的 Azure AD B2C 租使用者。 最好至少有一個工作帳戶原生到 Azure AD B2C 租使用者指派全域 管理員 istrator 角色。 此帳戶可視為斷層帳戶或緊急存取帳戶。

邀請系統管理員（來賓帳戶）

您也可以邀請新的來賓用戶來管理您的租使用者。 當您的組織也有 Microsoft Entra ID 時，來賓帳戶是慣用的選項，因為此身分識別的生命週期可以在外部管理。

若要邀請使用者，請遵循下列步驟：

1. 使用全域 管理員 istrator 或 Privileged Role 管理員 istrator 許可權登入 Azure 入口網站。

2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。

3. 在 [Azure 服務] 底下，選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。

4. 在管理下方，選取使用者。

5. 選取 [ 新增來賓帳戶]。

6. 在 [ 使用者] 頁面上，輸入此使用者的資訊：

   • 名稱. 必要。 新使用者的名字和姓氏。 例如， Mary Parker。
   • 電子郵件位址。 必要。 您想要邀請之使用者的電子郵件地址，必須是 Microsoft 帳戶。 例如： mary@contoso.com 。
   • 個人訊息：您新增將包含在邀請電子郵件中的個人訊息。
   • 群組。 選擇性。 您可以將使用者新增至一或多個現有的群組。 您也可以稍後將使用者新增至群組。
   • 目錄角色：如果您需要使用者的 Microsoft Entra 系統管理許可權，您可以將他們新增至 Microsoft Entra 角色。 您可以將使用者指派為全域管理員，或在 Microsoft Entra ID 中指派一或多個有限的系統管理員角色。 如需指派角色的詳細資訊，請參閱 使用角色來控制資源存取。
   • 作業資訊：您可以在這裡新增使用者的詳細資訊，或稍後再新增。

7. 選取建立。

邀請電子郵件會傳送給使用者。 用戶必須接受邀請才能登入。

重新傳送邀請電子郵件

如果來賓未收到邀請電子郵件或邀請已過期，您可以重新傳送邀請。 作為邀請電子郵件的替代方案，您可以為來賓提供直接連結以接受邀請。 若要重新傳送邀請並取得直接連結：

1. 登入 Azure 入口網站。

2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。

3. 在 [Azure 服務] 底下，選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。

4. 在管理下方，選取使用者。

5. 搜尋並選取您要重新傳送邀請的使用者。

6. 在 [使用者] |配置文件頁面，在 [身分識別] 底下，選取 [管理]。

7. 針對 [ 重新傳送邀請？]，選取 [ 是]。 當您確定要重新傳送邀請時出現時，請選取 [是]。

8. Azure AD B2C 會傳送邀請。 您也可以複製邀請 URL，並將它直接提供給來賓。

   

新增角色指派

您可以在建立使用者或邀請來賓使用者時指派角色。 您可以新增角色、變更角色，或移除使用者的角色：

1. 使用全域 管理員 istrator 或 Privileged Role 管理員 istrator 許可權登入 Azure 入口網站。
2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
3. 在 [Azure 服務] 底下，選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。
4. 在管理下方，選取使用者。
5. 選取您要變更角色的使用者。 然後選取 [ 指派的角色]。
6. 選取 [新增指派]，選取要指派的角色（例如 應用程式管理員），然後選擇 [ 新增]。

移除角色指派

如果您需要從使用者移除角色指派，請遵循下列步驟：

1. 選取 [Azure AD B2C]，選取 [使用者]，然後搜尋並選取使用者。
2. 選取 [指派的角色]。 選取您要移除的角色，例如 應用程式管理員，然後選取 [ 移除指派]。

檢閱系統管理員帳戶角色指派

在稽核程式中，您通常會檢閱哪些使用者指派給 Azure AD B2C 目錄中的特定角色。 使用下列步驟來稽核目前獲指派特殊許可權角色的使用者。

1. 使用全域 管理員 istrator 或 Privileged Role 管理員 istrator 許可權登入 Azure 入口網站。
2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 設定 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
3. 在 [Azure 服務] 底下，選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。
4. 在 [管理] 底下，選取 [角色和系統管理員]。
5. 選取角色，例如 全域管理員。 角色 |[指派] 頁面會列出具有該角色的使用者。

刪除系統管理員帳戶

若要刪除現有的使用者，您必須擁有 全域管理員 角色指派。 全域管理員可以刪除任何使用者，包括其他系統管理員。 使用者管理員可以 刪除任何非系統管理員使用者。

1. 在您的 Azure AD B2C 目錄中，選取 [ 使用者]，然後選取您想要刪除的使用者。
2. 選取 [刪除]，然後選取 [是] 以確認刪除。

使用者會被刪除，而且再也不會出現在 [使用者 - 所有使用者] 頁面上。 在接下來的 30 天，您可以在 [刪除的使用者] 頁面上看到該使用者，而且在此期間內可將該使用者還原。 如需還原使用者的詳細資訊，請參閱 使用 Microsoft Entra ID 還原或移除最近刪除的使用者。

保護系統管理帳戶

建議您使用多重要素驗證保護所有系統管理員帳戶，以取得更多安全性。 MFA 是登入期間的身分識別驗證程式，會提示使用者提供更形式的識別，例如其行動裝置上的驗證碼或 Microsoft Authenticator 應用程式中的要求。

如果您未使用 條件式存取，您可以啟用 Microsoft Entra 安全性預設值 ，強制所有系統管理帳戶使用 MFA。

下一步

• 管理 Azure Active Directory B2C 中的緊急存取帳戶