Поделиться через


Добавление пользователей и предоставление административных разрешений для Intune

Как администратор вы можете добавлять пользователей напрямую или синхронизировать их из локальной службы Active Directory. После добавления пользователи могут регистрировать устройства и получать доступ к ресурсам организации. Вы также можете предоставить пользователям дополнительные разрешения, включая разрешения глобального администратора и администратора служб .

Добавление пользователей в Intune

Вы можете вручную добавить пользователей в подписку Intune с помощью Центра администрирования Microsoft 365 или Центра администрирования Microsoft Intune. Администратор может изменять учетные записи пользователей, назначая им лицензии Intune. Вы можете назначить лицензии в Центре администрирования Microsoft 365 или Центре администрирования Microsoft Intune. Дополнительные сведения об использовании Центра администрирования Microsoft 365 см. в статье Индивидуальное или массовое добавление пользователей в Центре администрирования Microsoft 365.

Добавление пользователей Intune в Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365 с помощью учетной записи глобального администратора или администратора управления пользователями.
  2. В меню Microsoft 365 последовательно выберите Пользователи>Активные пользователи>Добавить пользователя.
  3. Укажите следующие сведения о пользователе:
    • Имя
    • Фамилия
    • Отображаемое имя
    • Имя пользователя — имя универсального принципа (UPN), хранящееся в идентификаторе Microsoft Entra, используемом для доступа к службе.
    • Пароль — укажите или создайте автоматически.
  4. Нажмите кнопку Далее.
  5. На странице Назначение лицензий на продукт выберите Расположение , а затем выберите лицензию для этого пользователя. Требуется лицензия, включающая Intune.
  6. Нажмите кнопку Далее.
  7. На странице Необязательные параметры можно
    • Назначьте новому пользователю дополнительные роли (по умолчанию новому пользователю назначена роль Пользователь).
    • Ввести данные профиля.
  8. Нажмите кнопку Далее.
  9. На странице Проверка и завершение выберите Завершить добавление, чтобы добавить пользователя. Щелкните Закрыть, чтобы закрыть страницу Добавление пользователя.

Примечание.

Если вы переходите на Microsoft 365 из подписки на Office 365, ваши пользователи и группы уже находятся в идентификаторе Microsoft Entra. Intune использует один и тот же идентификатор Microsoft Entra и может использовать существующих пользователей и группы.

Добавление отдельных пользователей Intune в Центр администрирования Microsoft Intune

  1. В Центре администрирования Microsoft Intune выберите ПользователиВсе пользователи>>Новый пользователь>Создать пользователя.
  2. Укажите следующие сведения о пользователе.
    • Имя пользователя — новое имя, которое пользователь будет использовать для входа в Microsoft Entra ID.
    • Имя — личное имя пользователя.
    • Имя — имя пользователя.
    • Фамилия — фамилия пользователя.
  3. Выберите, хотите ли вы ввести пароль для нового пользователя или предпочитаете создать его автоматически.
  4. Чтобы назначить новому пользователю членство в группах (необязательно), щелкните строку Выбрано групп: 0, чтобы открыть область Группы. Здесь вы можете выбрать группы для назначения пользователю. Завершив выбор групп, щелкните Выбрать.
  5. По умолчанию новому пользователю назначается роль Пользователь. Если вы хотите добавить ему дополнительные роли, щелкните Пользователь в разделе Группы и роли. В области Роли каталога выберите роли, которые нужно назначить этому пользователю, а затем щелкните Выбрать.
  6. Если вы хотите запретить пользователю вход в систему, выберите значение Да в поле Блокировать вход. Укажите здесь значение Нет, если снова захотите разрешить пользователю входить в систему.
  7. Выберите Расположение использования для нового пользователя. Место использования нужно задать до назначения лицензии Intune новому пользователю.
  8. При желании здесь можно заполнить поля Должность, Отдел, Название компании и Руководитель.
  9. Выберите Создать, чтобы добавить нового пользователя в Intune.

Примечание.

Вы также можете пригласить гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Добавление пользователей совместной работы Microsoft Entra B2B в Центре администрирования Microsoft Entra.

Добавление нескольких пользователей Intune в Центр администрирования Microsoft Intune

Вы можете массово добавлять пользователей Intune, отправив CSV-файл, содержащий полный список пользователей. Следующие действия позволяют добавить несколько пользователей в Intune.

  1. В Центре администрирования Microsoft Intune выберите Пользователи>Все пользователи>Массовые операции>Массовое создание. Откроется панель Массовое создание пользователя .
  2. Скачайте, измените и отправьте шаблон CSV , содержащий список пользователей, которые нужно добавить в Intune.

CSV-файл представляет собой разделенный запятыми список значений, который можно изменить в Блокноте или Excel. Дополнительные сведения об использовании CSV-файла для добавления пользователей Intune см. в статье Массовое создание пользователей в Идентификаторе Microsoft Entra.

Примечание.

Вы также можете пригласить нескольких гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Руководство. Массовое приглашение пользователей совместной работы Microsoft Entra B2B.

Предоставление административных разрешений

После добавления пользователей в подписку Intune рекомендуется назначить некоторым из них административные разрешения. Чтобы предоставить административные разрешения, выполните следующие действия.

Предоставление административных разрешений в Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365 с учетной записью > глобального администратора , выберите Пользователи>Активные пользователи> выбирают пользователя, чтобы предоставить разрешения администратора.
  2. В области сведений о пользователе выберите Управление ролями из раздела Роли.
  3. В области Управление ролями выберите в списке доступных ролей нужное административное разрешение.
  4. Выберите Сохранить изменения.

Предоставление разрешений администратора в Центре администрирования Microsoft Intune

  1. Войдите в Центр администрирования Microsoft Intune с учетной записью > глобального администратора Пользователи>, а затем выберите пользователя, которому вы хотите предоставить разрешения администратора.
  2. Выберите Назначенные роли>Добавить назначения.
  3. В области Роли каталога выберите роли, которые нужно назначить пользователю >Добавить.

Типы администраторов

Назначьте пользователям одно или несколько разрешений администратора. Эти разрешения определяют область администрирования для пользователей и задачи, которыми они могут управлять. Разрешения администратора одинаковы для разных облачных служб Майкрософт, но некоторые службы могут не поддерживать некоторые разрешения. На портале Azure и в Центре администрирования Microsoft 365 представлен список ограниченных ролей администратора, которые не используются в Intune. Intune использует следующие разрешения администратора.

  • Глобальный администратор (Microsoft 365 и Intune) имеет доступ ко всем административным функциям в Intune. По умолчанию пользователь, который регистрируется для получения Intune, становится глобальным администратором. Только глобальные администраторы могут назначать другие роли администратора. В организации может быть несколько глобальных администраторов. В целях снижения рисков рекомендуется назначать эту роль всего нескольким сотрудникам организации.
  • Администратор паролей (Microsoft 365 и Intune) сбрасывает пароли, управляет запросами на обслуживание и следит за работоспособностью служб. Администраторы паролей могут сбрасывать пароли только для пользователей.
  • Администратор поддержки служб (Microsoft 365 и Intune) отправляет запросы в службу поддержки корпорации Майкрософт, а также просматривает панель мониторинга служб и центр сообщений. У таких администраторов есть разрешения только на просмотр (за исключением открытия запросов в службу поддержки и их чтения).
  • Администратор выставления счетов (Microsoft 365 и Intune) совершает покупки, управляет подписками и запросами в службу поддержки, а также следит за работоспособностью служб.
  • Администратор пользователей (Microsoft 365 и Intune) сбрасывает пароли, отслеживает работоспособность службы, добавляет и удаляет учетные записи пользователей, а также управляет запросами на обслуживание. Администратор управления пользователями не может удалить глобального администратора, создавать другие роли администратора или сбрасывать пароли для других администраторов.
  • Администратор Intune имеет все разрешения глобального администратора Intune, за исключением разрешения на создание администраторов с разрешениями Роли каталога.

Учетная запись, используемая для создания подписки на Microsoft Intune, обладает правами глобального администратора. Права глобального администратора не рекомендуется использовать для выполнения повседневных задач управления. Хотя администратору не требуется лицензия Intune для доступа к Intune на портале Azure, для выполнения определенных задач управления, таких как настройка соединителя службы Exchange, требуется лицензия Intune.

Чтобы получить доступ к Центру администрирования Microsoft 365, для учетной записи должен быть задан параметр Вход разрешен. В разделе Профиль портала Azure установите для параметра Заблокировать вход значение Нет, чтобы разрешить доступ. Это состояние не обозначает наличия лицензии на подписку. По умолчанию все учетные записи пользователей разрешены. Пользователи без прав администратора могут использовать Центр администрирования Microsoft 365 для сброса паролей Intune.

Синхронизация Active Directory и добавление пользователей в Intune

Вы можете настроить синхронизацию каталогов для импорта учетных записей пользователей из локальной службы Active Directory в Microsoft Entra, которая включает пользователей Intune. Подключение локальной службы Active Directory ко всем службам на основе идентификаторов Microsoft Entra упрощает управление удостоверениями пользователей. Можно также настроить единый вход, чтобы взаимодействие с пользователями при проверке подлинности происходило просто и привычно. При связывании одного клиента Microsoft Entra с несколькими службами учетные записи пользователей, которые вы ранее синхронизировали, становятся доступными для всех облачных служб.

Убедитесь, что администраторы AD имеют доступ к вашей подписке Microsoft Entra и обучены выполнению распространенных задач AD и Microsoft Entra.

Синхронизация локальных пользователей с идентификатором Microsoft Entra

  • Чтобы переместить существующих пользователей из локальной службы Active Directory в Microsoft Entra ID, можно настроить гибридное удостоверение. Гибридные удостоверения существуют в обеих службах — локальной службе AD и идентификаторе Microsoft Entra.

  • Вы также можете экспортировать пользователей Active Directory с помощью пользовательского интерфейса или скрипта. Поиск в Интернете поможет вам найти оптимальный вариант для вашей организации.

  • Чтобы синхронизировать учетные записи пользователей с идентификатором Microsoft Entra ID, используйте мастер Microsoft Entra Connect. Мастер Microsoft Entra Connect предоставляет упрощенный и интерактивный интерфейс для подключения локальной инфраструктуры удостоверений к облаку. Выберите топологию и требования (один или несколько каталогов, синхронизация хэша паролей, сквозная проверка подлинности или федерация). Мастер развернет и настроит все компоненты, необходимые для работы вашего подключения. В том числе: службы синхронизации, службы федерации Active Directory (AD FS) и модуль Microsoft Graph PowerShell .

Совет

Microsoft Entra Connect включает функции, которые ранее были выпущены как Dirsync и Azure AD Sync. Дополнительные сведения об интеграции каталогов. Сведения о синхронизации учетных записей пользователей из локального каталога с Идентификатором Microsoft Entra см. в статье Сходство между Active Directory и Идентификатором Microsoft Entra.