Поделиться через

Добавление пользователей и предоставление административных разрешений для Intune

  • Статья

Как администратор вы можете добавлять пользователей напрямую или синхронизировать их из локальной службы Active Directory. После добавления и включения пользователи могут регистрировать устройства и получать доступ к ресурсам компании. Вы также можете предоставить пользователям дополнительные разрешения, включая разрешения глобального администратора и администратора служб .

Добавление пользователей в Intune

Вы можете вручную добавить пользователей в подписку на Intune с помощью Центр администрирования Microsoft 365, Центр администрирования Microsoft Entra или Центра администрирования Microsoft Intune. Кроме того, администратор может изменять учетные записи пользователей, чтобы назначить Intune лицензии. Вы можете назначить лицензии в Центр администрирования Microsoft 365 или в Центре администрирования Microsoft Intune. Дополнительные сведения об использовании Центра администрирования Microsoft 365 см. в статье Индивидуальное или массовое добавление пользователей в Центре администрирования Microsoft 365. Дополнительные сведения об использовании Центр администрирования Microsoft Entra см. в статье Создание, приглашение и удаление пользователей.

Добавление отдельных пользователей Intune в Центр администрирования Microsoft Intune

  1. В центре администрирования Microsoft Intune выберите Пользователи>Все пользователи>Новый пользователь>Создать пользователя.

  2. На вкладке Основные сведения добавьте следующие сведения о пользователе:

    • Имя субъекта-пользователя — имя универсального принципа (UPN), хранящееся в Microsoft Entra ID, используемое для доступа к службе.
    • Почтовый псевдоним . Если вам нужно ввести псевдоним электронной почты, отличный от введенного имени участника-пользователя, снимите флажок Наследовать от имени участника-пользователя , а затем введите псевдоним почты.
    • Отображаемое имя — имя пользователя, например Крис Грин или Крис А. Грин.
    • Пароль . Добавьте пароль для нового пользователя или выберите его автоматическое создание.
    • Учетная запись включена . Выберите, чтобы включить учетную запись после ее создания. Если этот флажок не установлен, этот пользователь будет заблокирован для входа. Это можно обновить после создания пользователя.

    Нажмите кнопку Проверить и создать , чтобы создать пользователя, или Далее: свойства , чтобы завершить работу со следующим разделом.

  3. На вкладке Свойства добавьте следующие сведения:

    • Тождество:
      • FirstName
      • Фамилия
      • Тип пользователя — выберите Элемент или Гость. Оба этих типа пользователей являются внутренними для вашей организации. Участники обычно являются штатными сотрудниками в вашей организации. Гости имеют учетную запись в вашем клиенте, но имеют права гостевого уровня. Возможно, они были созданы в клиенте до начала совместной работы B2B.
      • Сведения об авторизации . Вы можете добавить до 5 идентификаторов пользователей сертификатов. Они используются в рамках проверки подлинности на основе сертификатов и требуют определенного формата. Дополнительные сведения см. в разделе Сопоставление с атрибутом certificateUserIds в Microsoft Entra ID.
    • Сведения о задании: Добавьте любую информацию, связанную с заданием, например должность пользователя, отдел или руководитель.
    • Контактные данные: Добавьте все необходимые контактные данные для пользователя.
    • Родительский контроль: Для таких организаций, как школьные округа K-12, может потребоваться предоставить возрастную группу пользователя. Несовершеннолетние 12 лет и младше, не взрослые 13-18 лет, а взрослые 18 лет и старше. Сочетание возрастной группы и согласия, предоставляемого вариантами родителей, определяет категорию возрастных групп по юридическим параметрам. Классификация по юридическим возрастным группам может ограничить доступ и полномочия пользователя.
    • Параметры: Расположение использования указывает глобальное расположение пользователя.

    Нажмите кнопку Проверить и создать , чтобы создать пользователя, или Далее: назначения , чтобы завершить работу со следующим разделом.

  4. На вкладке Назначения добавьте следующие сведения: Вы можете назначить пользователя административной единице, группе или Microsoft Entra роли при создании учетной записи. Пользователю можно назначить до 20 групп или ролей. Вы можете назначить пользователя только одной административной единице. Назначения можно добавлять после создания пользователя.

    Чтобы назначить группу новому пользователю, выполните следующие действия:

    1. Выберите + Добавить группу.
    2. В появившемся меню выберите до 20 групп из списка и нажмите кнопку Выбрать .
    3. Нажмите кнопку Проверить и создать .

    Чтобы назначить роль новому пользователю, выполните следующие действия:

    1. Выберите + Добавить роль.
    2. В появившемся меню выберите до 20 ролей в списке и нажмите кнопку Выбрать .
    3. Нажмите кнопку Проверить и создать .

    Чтобы добавить административную единицу для нового пользователя, выполните следующие действия:

    1. Выберите + Добавить административную единицу.
    2. В появившемся меню выберите одну административную единицу из списка и нажмите кнопку Выбрать .
    3. Нажмите кнопку Проверить и создать .

  5. На вкладке Рецензирование и создание просмотрите сведения, чтобы убедиться, что информация является правильной, а сведения прошли проверку. Просмотрите сведения и нажмите кнопку Создать , если все выглядит хорошо.

Примечание.

Если вы переходите на Microsoft 365 из Office 365 подписки, пользователи и группы уже находятся в Microsoft Entra ID. Intune использует одну и ту же Microsoft Entra ID и может использовать существующих пользователей и группы.

Вы также можете пригласить гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Добавление Microsoft Entra пользователей службы совместной работы B2B в Центр администрирования Microsoft Entra.

Добавление нескольких пользователей Intune в Центр администрирования Microsoft Intune

Вы можете массово добавлять Intune пользователей, отправив CSV-файл, содержащий полный список пользователей. Следующие действия позволяют добавить несколько пользователей в Intune.

  1. Войдите в Центр администрирования Microsoft Intune как минимум администратор пользователей.
  2. Выберите Пользователи>Все пользователи>Массовые операции>Массовое создание. Откроется панель Массовое создание пользователей .
  3. Скачайте, измените и отправьте шаблон CSV, содержащий список пользователей, которые нужно добавить в Intune.

CSV-файл представляет собой разделенный запятыми список значений, который можно изменить в Блокноте или Excel. Дополнительные сведения об использовании CSV-файла для добавления Intune пользователей см. в статье Массовое создание пользователей в Microsoft Entra ID.

Примечание.

Вы также можете пригласить нескольких гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Руководство по массовому приглашению Microsoft Entra пользователей службы совместной работы B2B.

Удаление пользователя из Intune

Когда пользователь покинул вашу организацию, его можно удалить из клиента Intune. При необходимости можно удалить несколько пользователей с помощью массовых операций.

Чтобы удалить отдельного пользователя из Intune:

  1. Войдите в Центр администрирования Microsoft Intune как минимум администратор пользователей.
  2. Выберите Пользователи>Все пользователи.
  3. Выберите пользователя, которого нужно удалить.
  4. Выберите Удалить.

Чтобы удалить несколько пользователей из Intune, выполните приведенные далее действия.

  1. Войдите в Центр администрирования Microsoft Intune как минимум администратор пользователей.
  2. Выберите Пользователи>Все пользователи>Массовые операции>Массового удаления. Откроется панель Массовое удаление пользователей .
  3. Скачайте, измените и отправьте шаблон CSV, содержащий список пользователей, которые нужно удалить из Intune.

Дополнительные сведения см. в разделе Массовое удаление пользователей в Microsoft Entra ID.

Предоставление административных разрешений

После добавления пользователей в подписку Intune рекомендуется назначить некоторым из них административные разрешения. Чтобы предоставить административные разрешения, выполните следующие действия.

Предоставление административных разрешений в Microsoft 365

  1. Войдите в Центр администрирования Microsoft Intune с учетной записью > глобального администратора выберите Пользователи>Активные пользователи> выберите пользователя, чтобы предоставить разрешения администратора.
  2. В области сведений о пользователе выберите Управление ролями из раздела Роли.
  3. В области Управление ролями выберите в списке доступных ролей нужное административное разрешение.
  4. Выберите Сохранить изменения.

Предоставление разрешений администратора в Центре администрирования Microsoft Intune

  1. Войдите в Центр администрирования Microsoft Intune с учетной записью > глобального администратора Пользователи>, а затем выберите пользователя, которому вы хотите предоставить разрешения администратора.
  2. Выберите Назначенные роли>Добавить назначения.
  3. В области Роли каталога выберите роли, которые нужно назначить пользователю >Добавить.

Типы администраторов

Назначьте пользователям одно или несколько разрешений администратора. Эти разрешения определяют область администрирования для пользователей и задачи, которыми они могут управлять. Разрешения администратора одинаковы для разных облачных служб Майкрософт, но некоторые службы могут не поддерживать некоторые разрешения. На портале Azure и в Центре администрирования Microsoft 365 представлен список ограниченных ролей администратора, которые не используются в Intune. Intune использует следующие разрешения администратора.

  • Глобальный администратор (Microsoft 365 и Intune) имеет доступ ко всем административным функциям в Intune. По умолчанию пользователь, который регистрируется для получения Intune, становится глобальным администратором. Только глобальные администраторы могут назначать другие роли администратора. В организации может быть несколько глобальных администраторов. В целях снижения рисков рекомендуется назначать эту роль всего нескольким сотрудникам организации.
  • Администратор паролей (Microsoft 365 и Intune) сбрасывает пароли, управляет запросами на обслуживание и следит за работоспособностью служб. Администраторы паролей могут сбрасывать пароли только для пользователей.
  • Администратор поддержки служб (Microsoft 365 и Intune) отправляет запросы в службу поддержки корпорации Майкрософт, а также просматривает панель мониторинга служб и центр сообщений. У таких администраторов есть разрешения только на просмотр (за исключением открытия запросов в службу поддержки и их чтения).
  • Администратор выставления счетов (Microsoft 365 и Intune) совершает покупки, управляет подписками и запросами в службу поддержки, а также следит за работоспособностью служб.
  • Администратор пользователей (Microsoft 365 и Intune) сбрасывает пароли, отслеживает работоспособность службы, добавляет и удаляет учетные записи пользователей, а также управляет запросами на обслуживание. Администратор управления пользователями не может удалить глобального администратора, создавать другие роли администратора или сбрасывать пароли для других администраторов.
  • Администратор Intune имеет все разрешения глобального администратора Intune, за исключением разрешения на создание администраторов с разрешениями Роли каталога.

Учетная запись, используемая для создания подписки на Microsoft Intune, обладает правами глобального администратора. Права глобального администратора не рекомендуется использовать для выполнения повседневных задач управления. Хотя администратору не требуется лицензия на Intune для доступа к Intune на портал Azure, для выполнения определенных задач управления, таких как настройка соединителя службы Exchange, требуется лицензия Intune.

Чтобы получить доступ к Центру администрирования Microsoft 365, для учетной записи должен быть задан параметр Вход разрешен. В разделе Профиль портала Azure установите для параметра Заблокировать вход значение Нет, чтобы разрешить доступ. Это состояние не обозначает наличия лицензии на подписку. По умолчанию все учетные записи пользователей разрешены. Пользователи без прав администратора могут использовать Центр администрирования Microsoft 365 для сброса паролей Intune.

Синхронизация Active Directory и добавление пользователей в Intune

Синхронизацию каталогов можно настроить для импорта учетных записей пользователей из локальная служба Active Directory в Microsoft Entra, включая Intune пользователей. Подключение службы локальная служба Active Directory ко всем службам на основе Microsoft Entra ID упрощает управление удостоверениями пользователей. Можно также настроить единый вход, чтобы взаимодействие с пользователями при проверке подлинности происходило просто и привычно. При связывании одного и того же Microsoft Entra клиента с несколькими службами учетные записи пользователей, которые вы ранее синхронизировали, становятся доступными для всех облачных служб.

Убедитесь, что администраторы AD имеют доступ к вашей Microsoft Entra подписке и обучены выполнению общих задач AD и Microsoft Entra.

Синхронизация локальных пользователей с Microsoft Entra ID

  • Чтобы переместить существующих пользователей из локальная служба Active Directory в Microsoft Entra ID, можно настроить гибридное удостоверение. Гибридные удостоверения существуют в обеих службах — локальной ad и Microsoft Entra ID.

  • Вы также можете экспортировать пользователей Active Directory с помощью пользовательского интерфейса или скрипта. Поиск в Интернете поможет вам найти оптимальный вариант для вашей организации.

  • Чтобы синхронизировать учетные записи пользователей с Microsoft Entra ID, используйте мастер подключения Microsoft Entra. Мастер Microsoft Entra Connect предоставляет упрощенный и интерактивный интерфейс для подключения локальной инфраструктуры удостоверений к облаку. Выберите топологию и требования (один или несколько каталогов, синхронизация хэша паролей, сквозная проверка подлинности или федерация). Мастер развернет и настроит все компоненты, необходимые для работы вашего подключения. В том числе: службы синхронизации, службы федерации Active Directory (AD FS) (AD FS) и модуль Microsoft Graph PowerShell.

Совет

Microsoft Entra Connect включает функции, которые ранее были выпущены как Dirsync и Azure AD Sync. Дополнительные сведения об интеграции каталогов. Сведения о синхронизации учетных записей пользователей из локального каталога с Microsoft Entra ID см. в статье Сходство между Active Directory и Microsoft Entra ID.