Opprette og administrere brukere

  • 8 minutter

Alle brukere som trenger tilgang til Azure-ressurser, trenger en Azure-brukerkonto. Brukerkontoen inneholder all informasjonen som kreves for å godkjenne deg under påloggingsprosessen. Når den er godkjent, bygger Microsoft Entra ID et tilgangstoken for å godkjenne deg, bestemme hvilke ressurser du kan få tilgang til, og bestemme hva du kan gjøre med disse ressursene.

Administrasjonssenteret for Microsoft Entra er en nettbasert identitetsportal for Microsoft Entra-produkter. Det gir en enhetlig administrativ opplevelse for organisasjoner og administratorer for å konfigurere og administrere Microsoft Entra-løsningene sine på en sentralisert plassering.

I denne øvelsen skal du bruke administrasjonssenteret for Microsoft Entra til å arbeide med brukerobjekter. Husk at du bare kan arbeide med én enkelt katalog om gangen, men du kan bruke ruten Directory + Subscription til å bytte kataloger.

Vis brukere

Hvis du vil vise Microsoft Entra-brukere, velger du Brukere i ruten til venstre, og deretter velger du Alle brukere. Ruten Alle brukere vises. Legg merke til brukertype og identiteter kolonner, som vist i følgende skjermbilde:

skjermbilde som viser Alle brukere-ruten, med kolonnene Brukertype og Identiteter angitt.

Vanligvis definerer Microsoft Entra ID brukere på tre måter:

  • skyidentiteter: Disse brukerne finnes bare i Microsoft Entra ID. Eksempler er administratorkontoer og brukere som du administrerer selv. Kilden er Microsoft Entra ID- eller ekstern Microsoft Entra ID hvis brukeren er definert i en annen Microsoft Entra-forekomst, men trenger tilgang til abonnementsressurser kontrollert av denne katalogen. Når disse kontoene fjernes fra primærkatalogen, slettes de.

  • Katalogsynkroniserte identiteter: Disse brukerne finnes i en lokal Active Directory. En synkroniseringsaktivitet som skjer via Microsoft Entra Connect bringer disse brukerne inn i Azure. Kilden er Windows Server AD-.

  • Gjestebrukere: Disse brukerne finnes utenfor Azure. Eksempler er kontoer fra andre skyleverandører og Microsoft-kontoer (for eksempel en Xbox LIVE-konto). Kilden er invitert bruker. Denne typen konto er nyttig når eksterne leverandører eller entreprenører trenger tilgang til Azure-ressursene dine. Når hjelpen ikke lenger er nødvendig, kan du fjerne kontoen og all tilgang til dem.

Legg til brukere

Du kan legge til skyidentiteter i Microsoft Entra ID på flere måter:

  • Synkronisere en lokal Windows Server Active Directory
  • Bruke administrasjonssenteret for Microsoft Entra
  • Bruke Azure-portalen
  • Bruke kommandolinjen
  • Andre alternativer

Synkronisere en lokal Windows Server Active Directory

Microsoft Entra Connect er en egen tjeneste som lar deg synkronisere en tradisjonell Active Directory med Microsoft Entra-forekomsten. Slik legger de fleste bedriftskunder til brukere i katalogen. Fordelen med denne tilnærmingen er at brukere kan bruke enkel pålogging (SSO) for å få tilgang til lokale og skybaserte ressurser.

Bruk administrasjonssenteret for Microsoft Entra

Du kan legge til nye brukere manuelt via administrasjonssenteret for Microsoft Entra. Dette er den enkleste måten å legge til et lite sett med brukere på. Du må være i brukeradministrator rolle for å utføre denne funksjonen.

  1. Hvis du vil legge til en ny bruker, velger du Ny bruker i den øverste menylinjen, og deretter velger du Opprett ny bruker.

    Skjermbilde som viser Ny bruker-knappen uthevet i administrasjonssenteret for Microsoft Entra.

  2. I tillegg til å navn og brukernavn, kan du legge til profilinformasjon, for eksempel stilling og avdeling, på fanen egenskaper.

    Skjermbilde som viser dialogboksen Ny bruker.

    Standard virkemåte er å opprette en ny bruker i organisasjonen. Brukeren har et brukernavn med standard domenenavn tilordnet katalogen, for eksempel alice@staracoustics.onmicrosoft.com.

  3. Du kan også invitere en bruker til katalogen. I dette tilfellet sendes en e-postadresse til en kjent e-postadresse, og en konto opprettes og knyttes til denne e-postadressen hvis brukeren godtar invitasjonen.

    skjermbilde som viser invitasjonsskjermen.

    Den inviterte brukeren må opprette en tilknyttet Microsoft-konto (MSA) hvis den bestemte e-postadressen ikke er knyttet til en, og kontoen legges til Microsoft Entra-ID-en som gjestebruker.

Bruke kommandolinjen

Hvis du har mange brukere å legge til, er et bedre alternativ å bruke et kommandolinjeverktøy. Du kan kjøre kommandoen New-MgUser PowerShell for å legge til skybaserte brukere.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Kommandoen returnerer det nye brukerobjektet du opprettet.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Hvis du foretrekker et mer standard kommandolinjegrensesnitt, kan du bruke Azure CLI:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Kommandolinjeverktøy gjør det mulig å legge til brukere i bulk gjennom skripting. Den vanligste fremgangsmåten for dette er å bruke en kommadelt fil (CSV). Du kan enten opprette denne filen manuelt eller eksportere filen fra en eksisterende datakilde.

Hvis du planlegger å bruke en CSV, kan du tenke på følgende:

  • Navnekonvensjoner: Etablere eller implementere en navnekonvensjon for brukernavn, visningsnavn og aliaser. Et brukernavn kan for eksempel bestå av etternavnet, etterfulgt av et punktum (.), etterfulgt av fornavnet. for eksempel Smith.John@contoso.com.

  • passord: Implementere en konvensjon for det opprinnelige passordet til en nyopprettet bruker. Bestem hvordan nye brukere vil motta passordene sine på en sikkerhetsforbedret måte. En vanlig metode genererer et tilfeldig passord og sender det deretter til den nye brukeren eller lederen.

Slik bruker du en CSV med Azure PowerShell:

  1. Kjør kommandoen Connect-MgGraph for å opprette en PowerShell-tilkobling til katalogen. Koble til en administratorkonto som har rettigheter i katalogen.

  2. Opprett nye passordprofiler for de nye brukerne. Passordene for de nye brukerne må samsvare med reglene for passordkompleksitet som du har angitt for katalogen.

  3. Bruk Import-CSV til å importere CSV. Du må angi banen og filnavnet til CSV.

  4. Gå gjennom brukerne i filen, og konstruer brukerparameterne som kreves for hver bruker. Eksempelparametere er brukerhovednavn, visningsnavn, gitt navn, avdeling og stilling.

  5. Kjør kommandoen New-MgUser for å opprette hver bruker. Pass på at du aktiverer hver konto.

Andre alternativer

Du kan også legge til brukere i Microsoft Entra ID programmatisk ved hjelp av Microsoft Graph-API-en, eller via administrasjonssenteret for Microsoft 365 og administrasjonskonsollen for Microsoft Intune hvis du deler samme katalog.