Rozwiązywanie problemów z tworzeniem i usuwaniem użytkowników w identyfikatorze Entra firmy Microsoft

Artykuł
11/19/2024

W tym artykule opisano metody w usłudze Microsoft Entra ID, których można użyć do:

Utwórz użytkownika.
Usuń użytkownika.
Zbiorcze tworzenie użytkowników.

Wymagania wstępne

Jedno z następujących przypisań ról:
- Globalny administrator usługi
- Administrator użytkowników

Metody tworzenia i usuwania użytkowników

Identyfikator Entra firmy Microsoft ma wiele metod tworzenia i usuwania użytkowników, takich jak:

Te metody odnoszą się do użytkowników, którzy są tworzone bezpośrednio w usłudze Microsoft Entra ID. Artykuł nie obejmuje użytkowników, którzy są tworzone gdzie indziej, a następnie synchronizowane z identyfikatorem Entra firmy Microsoft lub scenariuszami biznesowymi.

Tworzenie użytkownika

Wybierz metodę, aby utworzyć użytkownika w usłudze Microsoft Entra ID.

Aby dodać nowego użytkownika w witrynie Azure Portal:

W witrynie Azure Portal zaloguj się jako administrator globalny lub administrator użytkowników.
Wyszukaj i wybierz Tożsamość Microsoft Entra.
Wybierz pozycję Użytkownicy, a następnie pozycję Nowy użytkownik.
Na stronie Użytkownik wprowadź nazwę użytkownika, nazwę użytkownika, grupy, rolę katalogu i informacje o zadaniu.
Skopiuj automatycznie wygenerowane hasło podane w polu Hasło. To hasło należy podać użytkownikowi, aby zalogował się po raz pierwszy.
Wybierz pozycję Utwórz.

Aby uzyskać więcej informacji, zobacz Dodawanie lub usuwanie użytkowników — Microsoft Entra ID.

Aby dodać użytkownika w programie Microsoft Graph, użyj interfejsu API tworzenia użytkownika:

POST https://graph.microsoft.com/v1.0/users 
Content-type: application/json { 
  "accountEnabled": true, 
  "displayName": "<New User>", 
  "mailNickname": "<Newuser>", 
  "userPrincipalName": "<NewUser@contoso.onmicrosoft.com>", 
  "passwordProfile" : { 
    "forceChangePasswordNextSignIn": true, 
    "password": "xWwvJ]6NMw+bWH-d" 
  }
}

Aby dodać użytkownika w programie Azure PowerShell, uruchom polecenie cmdlet New-AzureADUser :

Uwaga 16.

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-AzureADUser -AccountEnabled $true `
    -DisplayName "<New User>" `
    -MailNickName "<Newuser>" `
    -PasswordProfile $PasswordProfile `
    -UserPrincipalName "<NewUser@contoso.onmicrosoft.com>"

Aby dodać użytkownika w interfejsie wiersza polecenia platformy Azure, uruchom polecenie az ad user create :

az ad user create --display-name "<New User>" \
    --password "xWwvJ]6NMw+bWH-d" \
    --user-principal-name "<NewUser@contoso.onmicrosoft.com>" \
    [--force-change-password-next-login {false, true}] \
    [--immutable-id "<base64-string-representation-of-object-guid>"] \
    [--mail-nickname "<Newuser>"]

Usuwanie użytkownika

Wybierz metodę, aby usunąć użytkownika w usłudze Microsoft Entra ID.

Aby usunąć użytkownika w witrynie Azure Portal:

W witrynie Azure Portal zaloguj się jako administrator globalny lub administrator użytkowników.
Wyszukaj i wybierz Tożsamość Microsoft Entra.
Wybierz Użytkowników.
Wyszukaj i wybierz użytkownika, który chcesz usunąć z dzierżawy firmy Microsoft Entra (na przykład Mary Parker).
Wybierz pozycję Usuń użytkownika.

Użytkownik zostanie usunięty i nie będzie już wyświetlany na stronie Użytkownicy — wszyscy użytkownicy. Możesz wyświetlić użytkownika na stronie Usuniętych użytkowników przez następne 30 dni. W tym czasie możesz również przywrócić usuniętego użytkownika. Aby uzyskać więcej informacji na temat przywracania użytkownika, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.

Po usunięciu użytkownika wszystkie licencje używane przez użytkownika zostaną udostępnione innym użytkownikom.

Aby usunąć użytkownika w programie Microsoft Graph, użyj interfejsu API usuwania użytkownika:

DELETE https://graph.microsoft.com/v1.0/users/{user-id-or-user-principal-name}

Jeśli na przykład chcesz usunąć użytkownika, który ma główną nazwę NewUser@contoso.onmicrosoft.com, użyj następującego polecenia:

DELETE https://graph.microsoft.com/v1.0/users/NewUser@contoso.onmicrosoft.com

Aby usunąć użytkownika w programie Azure PowerShell, uruchom polecenie cmdlet Remove-AzureADUser :

Remove-AzureADUser -ObjectId "<NewUser@contoso.onmicrosoft.com>"

Aby usunąć użytkownika w interfejsie wiersza polecenia platformy Azure, uruchom polecenie az ad user delete :

az ad user delete --id "<NewUser@contoso.onmicrosoft.com>"

Zbiorcze tworzenie użytkowników

Aby uzyskać więcej informacji na temat zbiorczego tworzenia lub usuwania użytkowników, zobacz Zbiorcze tworzenie użytkowników w identyfikatorze Entra firmy Microsoft.

Uprawnienia wymagane do zarządzania użytkownikami przy użyciu jednostki usługi

Jeśli chcesz zautomatyzować tworzenie i usuwanie użytkowników usługi Microsoft Entra w programie Microsoft Graph, aplikacja musi mieć następujące uprawnienia:

Aby uzyskać więcej informacji o tym, kto może zarządzać poszczególnymi aspektami zarządzania użytkownikami, zobacz Najmniej uprzywilejowane role według zadania w temacie Microsoft Entra ID — Users (Użytkownicy).

Komunikaty o błędach i akcje korygowania

Poniższa tabela zawiera listę typowych komunikatów o błędach podczas próby utworzenia lub usunięcia użytkownika w usłudze Microsoft Entra ID i opisuje odpowiednie akcje korygujące dla nich. Komunikaty o błędach są wyświetlane dla interfejsu API REST programu Microsoft Graph, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Podobnie, ale w witrynie Azure Portal są wyświetlane krótkie komunikaty o błędach, a akcje naprawcze są identyczne.

Komunikat o błędzie	Akcja
Inny obiekt o tej samej wartości właściwości userPrincipalName już istnieje.	Określ unikatową główną nazwę użytkownika (UPN). Ten błąd występuje, gdy administrator próbuje utworzyć użytkownika z istniejącą nazwą użytkownika w usłudze Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Zasady nazw użytkowników.
Niewystarczające uprawnienia do ukończenia operacji.	Znajdź administratora globalnego lub administratora użytkowników, aby dodać lub usunąć użytkownika. Ten błąd występuje, gdy podmiot zabezpieczeń próbuje utworzyć lub usunąć użytkowników, ale nie ma wymaganych uprawnień. Administrator globalny może utworzyć lub usunąć dowolnego użytkownika, w tym innych administratorów. Administrator użytkownika może tworzyć użytkowników i usuwać wszystkich użytkowników niebędących administratorami, administratorami pomocy technicznej i innymi administratorami użytkowników.
Właściwość userPrincipalName jest nieprawidłowa.	Zobacz Zasady nazw użytkowników, aby uzyskać listę dozwolonych i niedozwolonych znaków. Ten błąd występuje podczas tworzenia nowego użytkownika, którego nazwa UPN zawiera niedozwolone znaki. Właściwości nazwy użytkownika i adresu e-mail także nie mogą zawierać znaków akcentu.
Określone hasło nie spełnia wymagań dotyczących złożoności hasła. Podaj inne hasło.	Unikaj używania hasła, które: Nie jest zgodne z zasadami haseł usługi Microsoft Entra. Jest na liście niestandardowych zabronionych haseł. Zawiera nazwę danego użytkownika.
Część domeny właściwości userPrincipalName jest nieprawidłowa. Należy użyć jednej ze zweryfikowanych nazw domen w organizacji.	Upewnij się, że domena używana do tworzenia użytkownika znajduje się na liście zweryfikowanych domen w centrum administratora Microsoft Entra. Stan domeny musi mieć wartość Zweryfikowano. Jeśli zweryfikowano stan domeny, sprawdź, czy domena jest federacyjna (ma znacznik wyboru), czy też zarządzana (nie ma znacznika wyboru). Dla domen zarządzanych można tworzyć tylko użytkowników w usłudze Microsoft Entra ID. W przypadku domen federacyjnych należy utworzyć użytkownika u dostawcy tożsamości (IdP), a następnie przeprowadzić synchronizację z usługą Microsoft Entra ID. Nie można przypisać domeny federacyjnej do użytkownika.

Przydziały katalogów

W przypadku bezpłatnej wersji microsoft Entra ID można domyślnie utworzyć maksymalnie 50 000 zasobów firmy Microsoft Entra w jednej dzierżawie. Jeśli używasz co najmniej jednej zweryfikowanej domeny, domyślny limit przydziału usługi Microsoft Entra dla organizacji zostanie przedłużony do 300 000 zasobów firmy Microsoft Entra. W przypadku organizacji utworzonych przez rejestrację samoobsługową limit przydziału usługi Microsoft Entra pozostaje 50 000 zasobów firmy Microsoft Entra. Ten limit ma zastosowanie nawet w przypadku przejęcia przez administratora wewnętrznego i przekonwertowania organizacji na dzierżawę zarządzaną z co najmniej jedną zweryfikowaną domeną. Ten limit usługi nie jest związany z limitem warstwy cenowej 500 000 zasobów na stronie cennika usługi Microsoft Entra. Aby przejść poza domyślny limit przydziału, musisz skontaktować się z pomoc techniczna firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Microsoft Entra).

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.

Udostępnij za pośrednictwem