Udostępnij za pośrednictwem

Dodawanie użytkowników i udzielanie uprawnień administracyjnych do Intune

  • Artykuł

Jako administrator możesz dodawać użytkowników bezpośrednio lub synchronizować użytkowników z lokalna usługa Active Directory. Po dodaniu i włączeniu użytkownicy mogą rejestrować urządzenia i uzyskiwać dostęp do zasobów firmy. Możesz również przyznać użytkownikom więcej uprawnień, w tym uprawnienia administratora globalnego i administratora usługi .

Dodawanie użytkowników do Intune

Możesz ręcznie dodać użytkowników do subskrypcji Intune za pośrednictwem Centrum administracyjne platformy Microsoft 365, centrum administracyjne Microsoft Entra lub centrum administracyjnego Microsoft Intune. Ponadto administrator może edytować konta użytkowników w celu przypisania Intune licencji. Licencje można przypisać w Centrum administracyjne platformy Microsoft 365 lub w centrum administracyjnym Microsoft Intune. Aby uzyskać więcej informacji na temat korzystania z Centrum administracyjne platformy Microsoft 365, zobacz Dodawanie użytkowników pojedynczo lub zbiorczo do Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji na temat korzystania z centrum administracyjne Microsoft Entra, zobacz Jak tworzyć, zapraszać i usuwać użytkowników.

Dodawanie poszczególnych użytkowników Intune w centrum administracyjnym Microsoft Intune

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Użytkownicy>Wszyscy użytkownicy>Nowy użytkownik>Utwórz nowego użytkownika.

  2. Na karcie Podstawy dodaj następujące szczegóły użytkownika:

    • Główna nazwa użytkownika — uniwersalna nazwa zasady (UPN) przechowywana w Tożsamość Microsoft Entra używana do uzyskiwania dostępu do usługi.
    • Pseudonim poczty — jeśli musisz wprowadzić nazwę e-mail inną niż wprowadzona główna nazwa użytkownika, usuń zaznaczenie opcji Pochodne od głównej nazwy użytkownika , a następnie wprowadź pseudonim poczty.
    • Nazwa wyświetlana — nazwa użytkownika, na przykład Chris Green lub Chris A. Green.
    • Hasło — dodaj hasło dla nowego użytkownika lub wybierz jego automatyczne wygenerowanie.
    • Konto włączone — wybierz, aby włączyć konto po jego utworzeniu. Jeśli nie zostanie to zaznaczone, ten użytkownik nie będzie mógł się zalogować. Tę wartość można zaktualizować po utworzeniu użytkownika.

    Wybierz przycisk Przeglądanie i tworzenie , aby utworzyć nowego użytkownika, lub przycisk Dalej: Właściwości , aby ukończyć następną sekcję.

  3. Na karcie Właściwości dodaj następujące szczegóły:

    • Tożsamość:
      • FirstName
      • Nazwisko
      • Typ użytkownika — wybierz członka lub gościa. Oba te typy użytkowników są wewnętrzne dla Twojej organizacji. Członkowie są często pełnoetatowymi pracownikami w organizacji. Goście mają konto w dzierżawie, ale mają uprawnienia na poziomie gościa. Możliwe, że zostały one utworzone w ramach dzierżawy przed dostępnością współpracy B2B.
      • Informacje o autoryzacji — możesz dodać maksymalnie 5 identyfikatorów użytkowników certyfikatów. Są one używane jako część uwierzytelniania opartego na certyfikatach i wymagają określonego formatu. Aby uzyskać więcej informacji, zobacz Mapowanie atrybutu certificateUserIds w Tożsamość Microsoft Entra.
    • Informacje o zadaniu: Dodaj wszelkie informacje związane z zadaniem, takie jak stanowisko użytkownika, dział lub menedżer.
    • Informacje kontaktowe: Dodaj odpowiednie informacje kontaktowe dla użytkownika.
    • Kontrola rodzicielska: W przypadku organizacji takich jak okręgi szkolne K-12 może być konieczne dostarczenie grupy wiekowej użytkownika. Osoby niepełnoletnie mają 12 lat i mniej, nie są dorosłe w wieku 13-18 lat, a dorośli mają 18 lat i więcej. Kombinacja grupy wiekowej i zgody udzielonej przez opcje nadrzędne określa klasyfikację legalnej grupy wiekowej. Klasyfikacja legalnej grupy wiekowej może ograniczyć dostęp użytkownika i uprawnienia.
    • Ustawienia:Lokalizacja użycia określa lokalizację globalną użytkownika.

    Wybierz przycisk Przejrzyj i utwórz , aby utworzyć nowego użytkownika, lub Dalej: Przypisania , aby ukończyć następną sekcję.

  4. Na karcie Przypisania dodaj następujące szczegóły: Możesz przypisać użytkownika do jednostki administracyjnej, grupy lub roli Microsoft Entra podczas tworzenia konta. Możesz przypisać użytkownika do maksymalnie 20 grup lub ról. Użytkownik można przypisać tylko do jednej jednostki administracyjnej. Przypisania można dodać po utworzeniu użytkownika.

    Aby przypisać grupę do nowego użytkownika:

    1. Wybierz pozycję + Dodaj grupę.
    2. Z wyświetlonego menu wybierz maksymalnie 20 grup z listy i wybierz przycisk Wybierz .
    3. Wybierz przycisk Przejrzyj i utwórz .

    Aby przypisać rolę do nowego użytkownika:

    1. Wybierz pozycję + Dodaj rolę.
    2. Z wyświetlonego menu wybierz maksymalnie 20 ról z listy i wybierz przycisk Wybierz .
    3. Wybierz przycisk Przejrzyj i utwórz .

    Aby dodać jednostkę administracyjną do nowego użytkownika:

    1. Wybierz pozycję + Dodaj jednostkę administracyjną.
    2. Z wyświetlonego menu wybierz jedną jednostkę administracyjną z listy i wybierz przycisk Wybierz .
    3. Wybierz przycisk Przejrzyj i utwórz .

  5. Na karcie Przeglądanie i tworzenie przejrzyj szczegóły, aby upewnić się, że informacje są poprawne, a szczegóły przeszły weryfikację. Przejrzyj szczegóły i wybierz przycisk Utwórz , jeśli wszystko wygląda dobrze.

Uwaga

Jeśli przechodzisz na platformę Microsoft 365 z subskrypcji Office 365, użytkownicy i grupy są już w Tożsamość Microsoft Entra. Intune używa tego samego Tożsamość Microsoft Entra i może korzystać z istniejących użytkowników i grup.

Możesz również zaprosić użytkowników-gości do dzierżawy Intune. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy B2B Microsoft Entra w centrum administracyjne Microsoft Entra.

Dodawanie wielu użytkowników Intune w centrum administracyjnym Microsoft Intune

Możesz zbiorczo dodawać Intune użytkowników, przekazując plik csv zawierający pełną listę użytkowników. Poniższe kroki umożliwiają dodanie wielu użytkowników do Intune:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune co najmniej jako administrator użytkowników.
  2. Wybierz pozycję Użytkownicy>Wszyscy użytkownicy>Operacje zbiorcze>utwórz zbiorczo. Zostanie wyświetlone okienko Zbiorcze tworzenie użytkowników .
  3. Pobierz, edytuj i przekaż szablon csv zawierający listę użytkowników, których chcesz dodać do Intune.

Plik csv to rozdzielana przecinkami lista wartości, którą można edytować w Notatniku lub programie Excel. Aby uzyskać więcej informacji na temat używania pliku csv do dodawania użytkowników Intune, zobacz Zbiorcze tworzenie użytkowników w Tożsamość Microsoft Entra.

Uwaga

Możesz również zaprosić wielu użytkowników-gości do dzierżawy Intune. Aby uzyskać więcej informacji, zobacz Samouczek: zbiorcze zapraszanie Microsoft Entra użytkowników współpracy B2B.

Usuwanie użytkownika z Intune

Po opuszczeniu organizacji przez użytkownika można usunąć go z dzierżawy Intune. W razie potrzeby można usunąć wielu użytkowników przy użyciu operacji zbiorczych.

Aby usunąć pojedynczego użytkownika z Intune:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune co najmniej jako administrator użytkowników.
  2. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz użytkownika, który chcesz usunąć.
  4. Wybierz pozycję Usuń.

Aby usunąć wielu użytkowników z Intune:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune co najmniej jako administrator użytkowników.
  2. Wybierz pozycję Użytkownicy>Wszyscy użytkownicy>Zbiorcze operacje zbiorcze>usuń. Zostanie wyświetlone okienko Zbiorcze usuwanie użytkowników .
  3. Pobierz, edytuj i przekaż szablon csv zawierający listę użytkowników, których chcesz usunąć z Intune.

Aby uzyskać powiązane informacje, zobacz Zbiorcze usuwanie użytkowników w Tożsamość Microsoft Entra.

Udzielanie uprawnień administratora

Po dodaniu użytkowników do subskrypcji Intune zalecamy przyznanie kilku użytkownikom uprawnień administracyjnych. Aby udzielić uprawnień administratora, wykonaj następujące kroki:

Udzielanie uprawnień administratora na platformie Microsoft 365

  1. Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta > administratora globalnego wybierz pozycję Użytkownicy>Aktywni użytkownicy> wybierają użytkownika, aby przyznać uprawnienia administratora.
  2. W okienku użytkownika wybierz pozycję Zarządzaj rolami w obszarze Role.
  3. W okienku Zarządzanie rolami wybierz uprawnienia administratora do udzielenia z listy dostępnych ról.
  4. Wybierz pozycję Zapisz zmiany.

Udzielanie uprawnień administratora w centrum administracyjnym Microsoft Intune

  1. Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta > administratora globalnego Użytkownicy>, a następnie wybierz użytkownika, który chcesz nadać uprawnienia administratora.
  2. Wybierz pozycję Przypisane role>Dodaj przypisania.
  3. W okienku Role katalogu wybierz role, które chcesz przypisać do użytkownika >Dodaj.

Typy administratorów

Przypisz użytkownikom co najmniej jedno uprawnienie administratora. Te uprawnienia definiują zakres administracyjny dla użytkowników i zadania, które mogą zarządzać. Uprawnienia administratora są wspólne dla różnych usług firmy Microsoft w chmurze, a niektóre usługi mogą nie obsługiwać niektórych uprawnień. Zarówno Azure Portal, jak i Centrum administracyjne platformy Microsoft 365 wyświetlają ograniczone role administratorów, które nie są używane przez Intune. uprawnienia administratora Intune obejmują następujące opcje:

  • administrator globalny — (microsoft 365 i Intune) uzyskuje dostęp do wszystkich funkcji administracyjnych w Intune. Domyślnie osoba, która rejestruje się w Intune, staje się administratorem globalnym. Administratorzy globalni są jedynymi administratorami, którzy mogą przypisywać inne role administratora. W organizacji może istnieć więcej niż jeden administrator globalny. Jako najlepsze rozwiązanie zalecamy, aby tylko kilka osób w firmie miało tę rolę, aby zmniejszyć ryzyko dla Twojej firmy.
  • Administrator haseł — (Microsoft 365 i Intune) Resetuje hasła, zarządza żądaniami obsługi i monitoruje kondycję usługi. Możliwości administratorów haseł są ograniczone do resetowania haseł użytkowników.
  • Administrator pomocy technicznej usługi — (Microsoft 365 i Intune) Otwiera żądania pomocy technicznej z firmą Microsoft i wyświetla pulpit nawigacyjny usługi i centrum komunikatów. Ma uprawnienia „tylko do wyświetlania" z wyjątkiem otwierania biletów pomocy technicznej i ich czytania.
  • Administrator rozliczeń — (Microsoft 365 i Intune) Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.
  • Administrator użytkowników — (Microsoft 365 i Intune) Resetuje hasła, monitoruje kondycję usługi, dodaje i usuwa konta użytkowników oraz zarządza żądaniami obsługi. Administrator zarządzania użytkownikami nie może usunąć administratora globalnego, utworzyć innych ról administratora ani zresetować haseł dla innych administratorów.
  • administrator Intune — wszystkie uprawnienia Intune administrator globalny z wyjątkiem uprawnień do tworzenia administratorów z opcjami roli katalogu.

Konto używane do tworzenia subskrypcji Microsoft Intune jest administratorem globalnym. Najlepszym rozwiązaniem jest nie używanie administratora globalnego do codziennych zadań zarządzania. Administrator nie wymaga licencji Intune w celu uzyskania dostępu do Intune na Azure Portal, ale w celu wykonania pewnych zadań zarządzania, takich jak konfigurowanie łącznika usługi Exchange, wymagana jest licencja Intune.

Aby uzyskać dostęp do Centrum administracyjne platformy Microsoft 365, twoje konto musi mieć zestaw dozwolonych logowań. W Azure Portal w obszarze Profil ustaw pozycję Blokuj logowanie na wartość Nie, aby zezwolić na dostęp. Ten stan różni się od posiadania licencji na subskrypcję. Domyślnie wszystkie konta użytkowników są dozwolone. Użytkownicy bez uprawnień administratora mogą używać Centrum administracyjne platformy Microsoft 365 do resetowania Intune haseł.

Synchronizuj usługę Active Directory i dodaj użytkowników do Intune

Synchronizację katalogów można skonfigurować w celu zaimportowania kont użytkowników z lokalna usługa Active Directory do Microsoft Entra obejmującej Intune użytkowników. Połączenie usługi lokalna usługa Active Directory ze wszystkimi usługami opartymi na Tożsamość Microsoft Entra ułatwia zarządzanie tożsamością użytkownika. Możesz również skonfigurować funkcje logowania jednokrotnego, aby ułatwić i ułatwić środowisko uwierzytelniania dla użytkowników. Po połączeniu tej samej dzierżawy Microsoft Entra z wieloma usługami konta użytkowników, które zostały wcześniej zsynchronizowane, są dostępne dla wszystkich usług w chmurze.

Upewnij się, że administratorzy usługi AD mają dostęp do twojej subskrypcji Microsoft Entra i są przeszkoleni do wykonywania typowych zadań usługi AD i Microsoft Entra.

Jak synchronizować użytkowników lokalnych z Tożsamość Microsoft Entra

  • Aby przenieść istniejących użytkowników z lokalna usługa Active Directory do Tożsamość Microsoft Entra, możesz skonfigurować tożsamość hybrydową. Tożsamości hybrydowe istnieją w obu usługach — lokalnej usłudze AD i Tożsamość Microsoft Entra.

  • Możesz również wyeksportować użytkowników usługi Active Directory przy użyciu interfejsu użytkownika lub skryptu. Wyszukiwanie w Internecie może pomóc w znalezieniu najlepszej opcji dla twojej organizacji.

  • Aby zsynchronizować konta użytkowników z Tożsamość Microsoft Entra, użyj kreatora Microsoft Entra Connect. Kreator Microsoft Entra Connect zapewnia uproszczone i z przewodnikiem środowisko do łączenia lokalnej infrastruktury tożsamości z chmurą. Wybierz topologię i potrzeby (pojedynczy lub wiele katalogów, synchronizację skrótów haseł, uwierzytelnianie przekazywane lub federację). Kreator wdraża i konfiguruje wszystkie składniki wymagane do uruchomienia połączenia. W tym: usługi synchronizacji, Active Directory Federation Services (AD FS) i moduł Programu PowerShell programu Microsoft Graph.

Porada

Microsoft Entra Connect obejmuje funkcje, które zostały wcześniej wydane jako Dirsync i Azure AD Sync. Dowiedz się więcej o integracji katalogów. Aby dowiedzieć się więcej na temat synchronizowania kont użytkowników z katalogu lokalnego do Tożsamość Microsoft Entra, zobacz Podobieństwa między usługą Active Directory i Tożsamość Microsoft Entra.