建立和管理使用者

  • 8 分鐘

需要存取 Azure 資源的每位使用者都需要 Azure 使用者帳戶。 您的使用者帳戶中包含登入程序中用於驗證使用者所需的所有資訊。 通過驗證之後,Microsoft Entra ID 即會建置可授權使用者的存取權杖、判斷使用者可存取的資源,以及判斷那些資源的使用方式。

您可以在 Azure 入口網站中,使用 Microsoft Entra ID 儀表板來處理使用者物件。 請記住,一次只能使用一個目錄。但您可以使用 [目錄 + 訂閱] 面板來切換目錄。 儀表板在工具列中也有一個 [管理租用戶] 按鈕,可讓您輕鬆地檢視所有目錄,以及切換至另一個可用的目錄。

檢視使用者

若要檢視 Microsoft Entra 使用者,在左側功能表窗格中的 [管理] 下,選取 [使用者]。 隨即會出現 [所有使用者] 窗格。 您會看到 [使用者類型] 與 [身分識別] 資料行,如下方螢幕擷取畫面所示:

Screenshot that depicts the All users pane, with the User type and Identities columns noted.

Microsoft Entra ID 通常會以三種方式定義使用者:

  • 雲端身分識別:這些使用者僅存在於 Microsoft Entra ID 中。 範例包括系統管理員帳戶和您自己管理的使用者。 如果使用者定義於另一個 Microsoft Entra 執行個體中,但需要存取此目錄所控制的訂用帳戶資源,則其來源為 Microsoft Entra ID外部 Microsoft Entra ID。 從主要目錄中移除這些帳戶時,即會將其刪除。

  • 目錄已同步的身分識別:這些使用者存在於內部部署 Active Directory 中。 透過 Microsoft Entra Connect 發生的同步活動,會將這些使用者帶入 Azure。 其來源為 Windows Server AD

  • 來賓使用者:這些使用者存在於 Azure 外部。 範例包括來自其他雲端提供者的帳戶和 Microsoft 帳戶,例如 Xbox LIVE 帳戶。 其來源為已邀請的使用者。 當外部廠商或承包商需要存取您的 Azure 資源時,此類型的帳戶就很實用。 一旦不再需要其協助之後,即可移除該帳戶及其所有存取權。

新增使用者

您可以使用多種方式來將雲端身分識別新增至 Microsoft Entra ID:

  • 同步處理內部部署 Windows Server Active Directory
  • 使用 Azure 入口網站
  • 使用命令列
  • 其他選項

同步處理內部部署 Windows Server Active Directory

Microsoft Entra Connect 是一項個別的服務,可讓您將傳統的 Active Directory 與您的 Microsoft Entra 執行個體同步。 這是大多數企業客戶將使用者新增至目錄的方式。 此方法的優點是使用者可以使用單一登入 (SSO) 來存取本機和雲端式資源。

使用 Azure 入口網站

您可以透過 Azure 入口網站手動新增使用者。 這是新增一小組使用者最簡單的方式。 您必須具備使用者系統管理員角色,才能執行此功能。

  1. 若要使用 Azure 入口網站新增使用者,請選取頂端功能表列中的 [新增使用者],然後選取 [建立新使用者]。

    Screenshot showing the New User button highlighted in the Microsoft Entra admin center.

  2. 除了名稱使用者名稱,您還可以新增設定檔資訊,例如 [屬性] 索引標籤上的職稱部門

    Screenshot showing the New user dialog.

    預設行為是在組織中建立新的使用者。 使用者將會有一個使用者名稱,其中具有指派給目錄的預設網域名稱 (例如 alice@staracoustics.onmicrosoft.com)。

  3. 您也可以「邀請」使用者加入目錄。 在此案例中,系統會將電子郵件傳送到已知的電子郵件地址,然後建立帳戶並與該電子郵件地址建立關聯 (如果使用者接受邀請)。

    Screenshot showing the invite screen.

    如果該特定電子郵件地址並未與任何 Microsoft 帳戶 (MSA) 帳戶相關聯,則受邀的使用者必須建立一個相關聯的帳戶,而該帳戶將會以來賓使用者的身分新增至 Microsoft Entra ID。

使用命令列

如果您有很多要新增的使用者,較好的選項是使用命令列工具。 您可以執行 New-MgUser PowerShell 命令,新增雲端式使用者。

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

此命令將傳回您所建立的新使用者物件。

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

如果偏好更標準的命令列介面,您可以使用 Azure CLI:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

命令列工具可讓您透過指令碼大量新增使用者。 最常見的方法是使用逗點分隔值 (CSV) 檔案。 您可以手動建立此檔案,或從現有的資料來源匯出檔案。

如果您打算使用 CSV,以下提供一些要考慮的事項:

  • 命名慣例:建立或實作適用於使用者名稱、顯示名稱和別名的命名慣例。 例如,使用者名稱的組成方式可能是姓氏,後面加上一個句點 (.),之後接著名字,例如 Smith.John@contoso.com。

  • 密碼:實作適用於新建立使用者的初始密碼慣例。 以更安全的方式判斷新的使用者將如何接收密碼。 常用的方法是產生隨機密碼,然後透過電子郵件傳送給新的使用者或其經理。

搭配使用 CSV 與 Azure PowerShell:

  1. 執行 Connect-MgGraph 命令,為您的目錄建立 Azure PowerShell 連線。 使用在您目錄上具有權限的系統管理員帳戶來連線。

  2. 為新的使用者建立新的密碼設定檔。 新使用者的密碼必須符合您為目錄所設定的密碼複雜性規則。

  3. 使用 Import-CSV 來匯入 CSV。 您必須指定 CSV 的路徑和檔案名稱。

  4. 對檔案中的使用者執行迴圈,建構每位使用者所需的使用者參數。 範例參數為使用者主體名稱、顯示名稱、指定名稱、部門及職稱。

  5. 執行 New-MgUser 命令,可建立一位使用者。 請務必啟用每個帳戶。

其他選項

您也可以使用 Microsoft Graph API,或透過 Microsoft 365 系統管理中心與 Microsoft Intune 管理主控台 (如果共用相同的目錄),以程式設計方式將使用者新增至 Microsoft Entra ID。