Tworzenie i zarządzanie użytkownikami

8 min

Korzystanie z zasobów platformy Azure wymaga konta użytkownika platformy Azure. Konto użytkownika zawiera wszystkie informacje potrzebne do uwierzytelnienia użytkownika podczas procesu logowania. Po uwierzytelnieniu identyfikator Entra firmy Microsoft tworzy token dostępu, aby autoryzować Użytkownika, określić, do jakich zasobów masz dostęp, i określić, co możesz zrobić z tymi zasobami.

Centrum administracyjne firmy Microsoft Entra to internetowy portal tożsamości dla produktów Firmy Microsoft Entra. Zapewnia ujednolicone środowisko administracyjne dla organizacji i administratorów w celu konfigurowania rozwiązań firmy Microsoft Entra i zarządzania nimi w centralnej lokalizacji.

W tym ćwiczeniu użyjesz centrum administracyjnego firmy Microsoft Entra do pracy z obiektami użytkownika. Pamiętaj, że w danym momencie można pracować tylko z jednym katalogiem, ale do przełączania katalogów można użyć okienka Katalog i subskrypcja .

Wyświetlanie użytkowników

Aby wyświetlić użytkowników firmy Microsoft Entra, wybierz pozycję Użytkownicy w okienku po lewej stronie, a następnie wybierz pozycję Wszyscy użytkownicy. Zostanie wyświetlone okienko Wszyscy użytkownicy . Zwróć uwagę na kolumny Typ użytkownika i Tożsamości , jak pokazano na poniższym zrzucie ekranu:

Zrzut ekranu przedstawiający okienko Wszyscy użytkownicy z zanotowaną kolumną Typ użytkownika i Tożsamości.

Zazwyczaj identyfikator Entra firmy Microsoft definiuje użytkowników na trzy sposoby:

Tożsamości w chmurze: ci użytkownicy istnieją tylko w identyfikatorze Entra firmy Microsoft. Przykłady obejmują konta administratorów i użytkowników, którymi zarządzasz samodzielnie. Ich źródłem jest identyfikator Entra firmy Microsoft lub zewnętrzny identyfikator entra firmy Microsoft, jeśli użytkownik jest zdefiniowany w innym wystąpieniu firmy Microsoft Entra, ale wymaga dostępu do zasobów subskrypcji kontrolowanych przez ten katalog. Gdy te konta zostaną usunięte z katalogu podstawowego, zostaną usunięte.
Tożsamości synchronizowane z katalogami: ci użytkownicy istnieją w lokalna usługa Active Directory. Działanie synchronizacji wykonywane za pośrednictwem programu Microsoft Entra Connect powoduje przeniesienie tych użytkowników na platformę Azure. Źródłem tych tożsamości jest usługa AD systemu Windows Server.
Użytkownicy-goście: ci użytkownicy istnieją poza platformą Azure. Przykłady to konta innych dostawców usług w chmurze i kont Microsoft (takich jak konto Xbox LIVE). Źródłem tych tożsamości jest konto Zaproszony użytkownik. Ten typ konta jest przydatny, jeśli zewnętrzni dostawcy lub wykonawcy potrzebują dostępu do zasobów platformy Azure. Gdy podmioty te zakończą działania w zakresie pomocy, możesz usunąć ich konta wraz ze wszystkimi uprawnieniami dostępu.

Dodaj użytkowników

Tożsamości w chmurze można dodać do identyfikatora Entra firmy Microsoft na wiele sposobów:

Synchronizowanie lokalnej usługi Active Directory systemu Windows Server
Korzystanie z centrum administracyjnego Microsoft Entra
Korzystanie z witryny Azure Portal
Za pomocą wiersza polecenia
Inne opcje

Synchronizowanie lokalnej usługi Active Directory z systemem Windows Server

Microsoft Entra Connect to oddzielna usługa, która umożliwia synchronizowanie tradycyjnej usługi Active Directory z wystąpieniem firmy Microsoft Entra. Właśnie tak większość klientów korporacyjnych dodaje użytkowników do katalogu. Zaleta tej metody polega na tym, że użytkownicy mogą korzystać z logowania jednokrotnego w celu uzyskiwania dostępu do zasobów lokalnych i opartych na chmurze.

Korzystanie z centrum administracyjnego firmy Microsoft Entra

Nowych użytkowników można dodać ręcznie za pośrednictwem centrum administracyjnego firmy Microsoft Entra. To najprostszy sposób dodawania małej grupy użytkowników. Aby wykonać to działanie, musisz mieć rolę Administrator użytkowników.

Aby dodać nowego użytkownika, wybierz pozycję Nowy użytkownik na górnym pasku menu, a następnie wybierz pozycję Utwórz nowego użytkownika.
Oprócz nazwy i nazwy użytkownika można dodawać informacje o profilu, takie jak Stanowisko i Dział, na karcie Właściwości.

Domyślne działanie polega na utworzeniu nowego użytkownika w organizacji. Użytkownik będzie miał nazwę użytkownika z domyślną nazwą domeny przypisaną do katalogu, taką jak alice@staracoustics.onmicrosoft.com.
Można również zaprosić użytkownika do katalogu. W takim przypadku wiadomość e-mail jest wysyłana na znany adres e-mail, a konto zostanie utworzone i skojarzone z tym adresem e-mail, jeśli użytkownik zaakceptuje zaproszenie.

Zaproszony użytkownik będzie musiał utworzyć skojarzone konto Microsoft (MSA), jeśli ten konkretny adres e-mail nie jest skojarzony z nim, a konto zostanie dodane do identyfikatora Microsoft Entra jako użytkownik-gość.

Korzystanie z wiersza polecenia

Jeśli trzeba dodać wielu użytkowników, lepiej jest użyć narzędzia wiersza polecenia. Możesz uruchomić polecenie New-MgUser programu PowerShell, aby dodać użytkowników opartych na chmurze.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Polecenie zwraca utworzony obiekt nowego użytkownika.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Jeśli wolisz bardziej standardowy interfejs wiersza polecenia, możesz użyć interfejsu wiersza polecenia platformy Azure:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Narzędzia wiersza polecenia umożliwiają zbiorcze dodawanie użytkowników za pomocą skryptów. Najczęstsza metoda polega na użyciu pliku wartości rozdzielanych przecinkami (CSV). Możesz ręcznie utworzyć taki plik lub wyeksportować go z istniejącego źródła danych.

Jeśli zamierzasz użyć pliku CSV, pamiętaj o kilku kwestiach:

Konwencje nazewnictwa: ustanów lub zaimplementuj konwencję nazewnictwa dla nazw użytkowników, nazw wyświetlanych i aliasów. Na przykład nazwa użytkownika może składać się z nazwiska, po którym następuje kropka (.), po której następuje imię; na przykład Smith.John@contoso.com.
Hasła: zaimplementuj konwencję początkowego hasła nowo utworzonego użytkownika. Określ, w jaki sposób nowi użytkownicy będą bezpiecznie otrzymywać hasła. Najczęściej używaną metodą jest generowanie losowego hasła i wysyłanie go do nowego użytkownika lub jego menedżera w wiadomości e-mail.

Aby użyć pliku CSV z programem Azure PowerShell:

Uruchom polecenie Connect-MgGraph, aby utworzyć połączenie programu PowerShell z katalogiem. Połącz się przy użyciu konta administratora, które ma uprawnienia w katalogu.
Utwórz profile haseł dla nowych użytkowników. Hasła dla nowych użytkowników muszą być zgodne z regułami złożoności haseł ustawionymi dla katalogu.
Zaimportuj plik CSV za pomocą polecenia Import-CSV. Musisz podać nazwę pliku CSV i ścieżkę do niego.
Przeiteruj dane użytkowników w pliku, tworząc parametry dla poszczególnych użytkowników. Przykładowe parametry to główna nazwa użytkownika, nazwa wyświetlana, imię, dział i stanowisko.
Uruchom polecenie , New-MgUser aby utworzyć każdego użytkownika. Pamiętaj o włączeniu każdego konta.

Inne opcje

Możesz również programowo dodawać użytkowników do identyfikatora Entra firmy Microsoft przy użyciu interfejsu API programu Microsoft Graph lub za pośrednictwem centrum Administracja Microsoft 365 i konsoli administracyjnej usługi Microsoft Intune, jeśli udostępniasz ten sam katalog.