管理 Azure AD 目錄

  • 發行項

更新日期:2015 年 9 月 15 日

適用于:Azure、Office 365、Windows Intune

注意

本主題提供雲端服務的線上說明內容,例如Microsoft Intune和Office 365,其依賴身分識別和目錄服務的Microsoft Azure Active Directory。

Azure Active Directory (AD) 提供大部分 Microsoft 雲端服務背後的核心目錄和身分識別管理功能。 這些服務包括但不限於:

  • Azure

  • Microsoft Office 365

  • Microsoft Dynamics CRM Online

  • Windows Intune

管理目錄資料

身為一或多個 Microsoft 雲端服務訂用帳戶的系統管理員,您可以使用 Azure 管理入口網站、Microsoft Intune 帳戶入口網站或 Office 365 系統管理中心來管理組織的目錄資料。 您也可以使用適用于 Windows PowerShell Cmdlet 的可下載Microsoft Azure Active Directory模組,協助您管理儲存在 Azure AD 中的資料。 如需目錄的詳細資訊,請參閱 什麼是 Azure AD 目錄?

從上述其中一個入口網站 (或 Cmdlet),您可以:

  • 建立和管理使用者和群組帳戶

  • 管理您組織所訂閱的相關雲端服務

  • 設定內部部署與目錄服務的整合

Azure 管理入口網站、Office 365 系統管理員中心、Microsoft Intune帳戶入口網站和 Cmdlet 全都會讀取和寫入與組織目錄相關聯的單一 Azure AD 共用實例,如下圖所示。 因此,入口網站 (或 Cmdlet) 可做為提取和 (或) 修改您目錄資料的前端介面。

How portals work with Windows Azure AD

上述列出的帳戶入口網站和用來管理使用者和群組的相關聯 Azure AD PowerShell Cmdlet 是建置在 Azure AD 平臺之上。

警告

如果利用其中一個服務身分登入時使用任何入口網站 (或 Cmdlet) 變更組織資料,則變更也會在您下次使用該服務身分登入時顯示在其他入口網站中,因為這項資料會在您所訂閱的 Microsoft 雲端服務之間共用。

例如,如果您已使用 Office 365 系統管理中心封鎖使用者登入,該動作將封鎖使用者登入您組織目前所訂閱的任何其他服務。 如果您是使用 Microsoft Intune 帳戶入口網站身分提取該相同使用者的帳戶,則會封鎖該使用者。

使用 Azure 管理入口網站

Azure 管理入口網站通常用來管理與 Azure 訂閱相關聯的服務。 Active Directory 服務是其中一項較新的 Azure 服務,您可以將它用於身分識別管理和目錄租用戶等功能。 如果您是系統管理員,可以在管理入口網站中按一下 [Active Directory] 延伸模組來管理這些功能。

如果您擁有使用 Microsoft 帳戶的現有 Azure 訂閱,還可以使用管理入口網站來管理目錄。 若要再管理入口網站中建立新目錄,請依序按一下 [Active Directory] 和 [新增],接著指定要使用的 [網域名稱]、[國家/地區] 及 [組織名稱]

如果您沒有 Azure 訂用帳戶,您可以將 Azure 註冊為組織,以便開始使用 Azure 管理入口網站來建立、散發和管理使用者帳戶和其他身分識別管理功能,以供組織使用。 當您以組織身分建立註冊 Azure 時,系統會根據註冊期間提供的 [組織名稱] 欄位值為您自動建立目錄。

使用Office 365或Microsoft Intune帳戶入口網站

您可以使用帳戶入口網站來管理您的Office 365或Microsoft Intune訂用帳戶,並指定可存取其各種服務的使用者。 透過帳戶入口網站,您可以執行下列工作:手動新增使用者帳戶和安全性群組、設定和管理服務設定、檢查服務狀態,以及存取線上說明。

Azure AD 目前支援使用下列一或多個帳戶入口網站的組織訂用帳戶資料的前端存取,視您是否訂閱其對應的服務而定:

  • Office 365帳戶入口網站

  • Microsoft Intune 帳戶入口網站

使用者也可以存取這些帳戶入口網站,但只能變更其密碼或存取已獲得授權的各種服務。

使用 Windows Intune 和 Office 365 的授權考量

目前當您註冊Microsoft Intune或Office 365服務時,您能夠將服務特定授權指派給該服務帳戶入口網站中的使用者。 這表示,如果您最終要在某個時間點將這兩個服務新增至相同的目錄,您必須移至Microsoft Intune帳戶入口網站來管理Microsoft Intune授權,而Office 365授權必須在Office 365帳戶入口網站中個別管理。

在某些情況下,您無法刪除先前已在不同服務內容中指派授權的任何使用者帳戶。 若要在此情況下刪除使用者帳戶,您必須登出在嘗試刪除時所用的帳戶入口網站、登入第一次指派授權時的適當帳戶入口網站、移除相關聯的授權,然後再次嘗試刪除使用者。

使用 Azure AD PowerShell Cmdlet

您可以使用適用於 Windows PowerShell 的 Azure Active Directory 模組 Cmdlet 來完成許多有關 Azure AD 租用戶的系統管理工作。 如需詳細資訊,請參閱使用 Windows PowerShell管理Azure Active Directory

目錄管理員的職責為何?

不論您用來管理目錄的方法為何,都能指派不同類型的系統管理員來執行如建立和編輯使用者、管理計費作業及重設密碼等各種工作。 全域管理員可根據管理員角色,將權限授與您組織內的不同管理員。 如需詳細資訊,請參閱 指派系統管理員角色

除了執行其角色特定的工作之外,我們建議所有系統管理員具有下列領域的經驗:

  • 組織的 IT 環境、網路和網際網路連線能力等知識

  • 支援及管理個人電腦之作業系統和應用程式的經驗

  • 提供使用者協助或訓練的經驗

  • 疑難排解使用者問題的能力

下列是系統管理員可能擔負之職責的範例:

  • 建立、變更或刪除使用者帳戶

  • 監控服務授權和服務健康狀況

  • 管理密碼

  • 透過電子郵件和其他服務解決使用者的問題

  • 管理網站和網站集合

  • 支付訂閱費用

  • 從現有的組織環境移轉至雲端

  • 訓練工作者使用雲端服務及提供支援

  • 向 Microsoft 支援人員呈報問題

社群資源

另請參閱

概念

Active Directory 與 Azure AD 之間的相似性

其他資源

什麼是 Azure Active Directory?