新增使用者並將系統管理許可權授與 Intune

身為系統管理員，您可以直接新增使用者，或從您的內部部署的 Active Directory同步處理使用者。 新增之後，使用者就可以註冊裝置並存取公司資源。 您也可以為使用者提供更多許可權，包括 全域管理員 和 服務管理員 許可權。

將使用者新增至 Intune

您可以透過Microsoft 365 系統管理中心或Microsoft Intune系統管理中心，手動將使用者新增至您的 Intune訂用帳戶。 系統管理員可以編輯使用者帳戶來指派 Intune 授權。 您可以在Microsoft 365 系統管理中心或Microsoft Intune系統管理中心指派授權。 如需使用Microsoft 365 系統管理中心的詳細資訊，請參閱將使用者個別或大量新增至Microsoft 365 系統管理中心。

在 Microsoft 365 系統管理中心 中新增 Intune 使用者

1. 使用全域管理員或使用者管理系統管理員帳戶登入Microsoft 365 系統管理中心。
2. 在 Microsoft 365 功能表中，選取 [使用者>] [作用中使用者>] [新增使用者]。
3. 提供下列使用者詳細資料：
   • 名字   使用此方塊輸入使用者的名字。
   • 姓氏   使用此方塊輸入使用者的姓氏。
   • 顯示名稱
   • 使用者名稱- 通用主體名稱 (UPN) 儲存在用來存取服務的Microsoft Entra識別碼中。
   • 密碼 - 自動產生或建立。
4. 選擇 [下一步]。
5. 在 [ 指派產品授權] 頁面中 ，選取 [位置 ]，然後為此使用者選擇授權。 需要包含 Intune 的授權。
6. 選擇 [下一步]。
7. 在 [選擇性設定] 頁面中 ，您可以
   • 根據預設，為新使用者指派更多 (角色給新的使用者角色) 。
   • 提供設定檔資訊。
8. 選擇 [下一步]。
9. 在 [ 檢閱並完成] 頁面上，選取 [ 完成新增 ] 以新增使用者。 選擇 [關閉 ] 以關閉 [ 新增使用者] 頁面。

注意事項

如果您要從Office 365訂用帳戶移至 Microsoft 365，您的使用者和群組已在Microsoft Entra識別碼中。 Intune 使用相同的Microsoft Entra識別碼，而且可以使用現有的使用者和群組。

在 Microsoft Intune 系統管理中心新增個別 Intune 使用者

1. 在[Microsoft Intune 系統管理中心] 中，選擇 [使用者>][所有使用者>][新增使用者>][建立使用者]。
2. 指定下列使用者詳細資料：
   • 使用者名稱- 使用者用來登入Microsoft Entra識別碼的新名稱。
   • 名稱 - 使用者的指定名稱。
   • 名字 - 使用者的名字。
   • 姓氏 - 使用者的姓氏。
3. 選擇您要為新使用者建立密碼，還是要自動產生密碼。
4. 若要將新的使用者指派給選擇性) (群組，請選擇 0 個選取的群組 來開啟 [ 群組 ] 窗格。 您可以在這裡選取要指派給使用者的群組。 選取群組完成後，選擇 [ 選取]。
5. 根據預設，會將使用者角色指派給新 使用者。 如果您想要將角色新增至使用者，請選取 [群組和角色] 下的 [使用者]。 在 [ 目錄角色] 窗格中，選取您要指派給使用者的角色，然後選擇 [ 選取]。
6. 如果您想要封鎖使用者登入，您可以針對 [封鎖登入] 選取 [是]。 當您準備好讓使用者登入時，請務必將此切換回 [否 ]。
7. 選擇新使用者的 [使用位置 ]。 需要使用位置，才能將 Intune 授權指派給新使用者。
8. 您可以選擇性地提供 [職稱]、[ 部門]、[ 公司名稱] 和 [ 經理] 欄位的資訊。
9. 選 取 [建立 ] 將新使用者新增至 Intune。

在 Microsoft Intune 系統管理中心新增多個 Intune 使用者

您可以上傳包含完整使用者清單的 csv 檔案，以大量新增 Intune 使用者。 下列步驟可讓您將多個使用者新增至 Intune：

1. 在Microsoft 端點管理員系統管理中心中，選擇 [使用者>][所有使用者>大量作業>大量建立]。 隨即顯示 [大量建立使用者 ] 窗格。
2. 下載、編輯及上傳 csv 範本，其中包含您想要新增至 Intune 的使用者清單。

csv檔案是以逗號分隔的值清單，可以在記事本或 Excel 中編輯。 如需使用csv檔案新增 Intune 使用者的詳細資訊，請參閱在Microsoft Entra識別碼中大量建立使用者。

授與系統管理員許可權

將使用者新增至 Intune 訂用帳戶之後，建議您授與一些使用者系統管理許可權。 若要授與系統管理員許可權，請遵循下列步驟：

在 Microsoft 365 中授與系統管理員許可權

1. 使用全域管理員帳戶 > 登入Microsoft 365 系統管理中心選取[使用者>][作用中使用者> ] 選擇要授與系統管理員許可權的使用者。
2. 在使用者窗格中，選擇 [ 角色] 底下的 [管理 角色]。
3. 在 [ 管理角色] 窗格中，從可用的角色清單中選擇要授與的系統管理員許可權。
4. 選取 [儲存變更]。

在系統管理中心Microsoft Intune授與系統管理員許可權

1. 使用全域系統管理員帳戶 > 登入 Microsoft Intune 系統管理中心使用者> 然後選擇您想要授與系統管理員許可權的使用者。
2. 選取 [指派的角色>][新增指派]。
3. 在 [目錄角色]窗格中，選取您要指派給使用者 > [新增] 的角色。

系統管理員的類型

為使用者指派一或多個系統管理員許可權。 這些許可權會定義使用者的系統管理範圍，以及他們可以管理的工作。 系統管理員許可權在不同的 Microsoft 雲端服務之間很常見，有些服務可能不支援某些許可權。 Azure 入口網站和Microsoft 365 系統管理中心列出 Intune 未使用的有限系統管理員角色。 Intune 系統管理員許可權包含下列選項：

• 全域管理員- (Microsoft 365 和 Intune) 存取 Intune 中的所有系統管理功能。 根據預設，註冊 Intune 的人員會成為全域系統管理員。全域系統管理員是唯一可以指派其他系統管理員角色的系統管理員。 You can have more than one global admin in your organization. 最佳做法是，我們建議公司中只有少數人具備此角色，以降低企業的風險。
• 密碼管理員 - (Microsoft 365 和 Intune) 重設密碼、管理服務要求，以及監視服務健康情況。 密碼系統管理員僅能重設使用者的密碼。
• 服務支援系統管理員 - (Microsoft 365 和 Intune) 向 Microsoft 開啟支援要求，並檢視服務儀表板和訊息中心。 除了可開啟和讀取支援票證以外，他們還擁有「僅供檢視」的權限。
• 計費管理員 - (Microsoft 365 和 Intune) 購買、管理訂用帳戶、管理支援票證，以及監視服務健康情況。
• 使用者系統管理員 - (Microsoft 365 和 Intune) 重設密碼、監視服務健康情況、新增和刪除使用者帳戶，以及管理服務要求。 使用者管理系統管理員無法刪除全域管理員、建立其他系統管理員角色，或重設其他系統管理員的密碼。
• Intune 系統管理員- 所有 Intune 全域管理員許可權，但使用目錄角色選項建立系統管理員的許可權除外。

您用來建立Microsoft Intune訂用帳戶的帳戶是全域管理員。 最佳做法是不要使用全域系統管理員來進行日常管理工作。 雖然系統管理員不需要 Intune 授權即可存取 Azure 入口網站 上的 Intune，但若要執行某些管理工作，例如設定 Exchange 服務連接器，則需要 Intune 授權。

若要存取Microsoft 365 系統管理中心，您的帳戶必須具有允許登入的集合。 在 [設定檔] 底下的Azure 入口網站中，將 [封鎖登入] 設定為[否] 以允許存取。 此狀態與擁有訂用帳戶的授權不同。 根據預設，所有使用者帳戶都是 允許的。 沒有系統管理員許可權的使用者可以使用Microsoft 365 系統管理中心重設 Intune 密碼。

同步 Active Directory 並將使用者新增至 Intune

您可以設定目錄同步處理，將使用者帳戶從內部部署的 Active Directory匯入至包含 Intune 使用者的Microsoft Entra。 讓您的內部部署的 Active Directory服務與所有Microsoft Entra識別碼型服務連線，可讓管理使用者身分識別變得更容易。 您也可以設定單一登入功能，讓使用者的驗證體驗變得熟悉且簡單。 當您將相同的Microsoft Entra租使用者與多個服務連結時，您先前已同步處理的使用者帳戶可供所有雲端式服務使用。

請確定您的 AD 系統管理員可以存取您的Microsoft Entra訂用帳戶，並已定型以完成一般 AD 和Microsoft Entra工作。

如何使用Microsoft Entra識別碼同步內部部署使用者

• 若要將現有使用者從內部部署的 Active Directory移至Microsoft Entra識別碼，您可以設定混合式身分識別。 混合式身分識別同時存在於內部部署 AD 和 Microsoft Entra 識別碼這兩個服務中。

• 您也可以使用 UI 或透過腳本匯出 Active Directory 使用者。 網際網路搜尋可協助您找到組織的最佳選項。

• 若要使用Microsoft Entra識別碼同步處理您的使用者帳戶，請使用[Microsoft Entra連線精靈]。 [Microsoft Entra連線精靈] 提供簡化且引導式的體驗，可讓您將內部部署身分識別基礎結構連線到雲端。 選擇您的拓撲，並 (單一或多個目錄、密碼雜湊同步處理、傳遞驗證或同盟) 。 精靈會部署並設定啟動並執行連線所需的所有元件。 包括：同步處理服務、Active Directory 同盟服務 (AD FS) ，以及Microsoft Graph PowerShell模組。

提示

Microsoft Entra Connect 包含先前發行為 Dirsync 和 Azure AD 同步 的功能。深入瞭解目錄整合。 若要瞭解如何將使用者帳戶從本機目錄同步至Microsoft Entra識別碼，請參閱Active Directory 與Microsoft Entra識別碼之間的相似性。