Устранение неполадок при создании и удалении пользователей в идентификаторе Microsoft Entra

Статья
2024-11-19

В этой статье описаны методы в идентификаторе Microsoft Entra, которые можно использовать для:

Создание пользователя.
Удаление пользователя.
Создание пользователей в массовом режиме.

Предварительные требования

Одно из следующих назначений ролей:
- Глобальный администратор
- Администратор пользователей

Методы для создания и удаления пользователей

Идентификатор Microsoft Entra id имеет множество методов для создания и удаления пользователей, таких как:

Эти методы ссылаются на пользователей, которые создаются непосредственно в идентификаторе Microsoft Entra. В этой статье не рассматриваются пользователи, созданные в другом месте, а затем синхронизированы с идентификатором Microsoft Entra или бизнес-сценариями.

Создание пользователя

Выберите метод для создания пользователя в идентификаторе Microsoft Entra.

Чтобы добавить нового пользователя в портал Azure, выполните следующие действия.

В портал Azure войдите в качестве глобального администратора или администратора пользователя.
Найдите и выберите Microsoft Entra ID.
Выберите пункт Пользователи, а затем нажмите Новый пользователь.
На странице "Пользователь" введите имя пользователя, имя пользователя, группы, роль каталога и сведения о задании.
Скопируйте автоматически созданный пароль в поле Пароль. Передайте этот пароль пользователю для первого входа в систему.
Нажмите кнопку создания.

Дополнительные сведения см. в разделе "Добавление или удаление пользователей" — идентификатор Microsoft Entra.

Чтобы добавить пользователя в Microsoft Graph, используйте API создания пользователей:

POST https://graph.microsoft.com/v1.0/users 
Content-type: application/json { 
  "accountEnabled": true, 
  "displayName": "<New User>", 
  "mailNickname": "<Newuser>", 
  "userPrincipalName": "<NewUser@contoso.onmicrosoft.com>", 
  "passwordProfile" : { 
    "forceChangePasswordNextSignIn": true, 
    "password": "xWwvJ]6NMw+bWH-d" 
  }
}

Чтобы добавить пользователя в Azure PowerShell, выполните командлет New-AzureADUser :

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-AzureADUser -AccountEnabled $true `
    -DisplayName "<New User>" `
    -MailNickName "<Newuser>" `
    -PasswordProfile $PasswordProfile `
    -UserPrincipalName "<NewUser@contoso.onmicrosoft.com>"

Чтобы добавить пользователя в Azure CLI, выполните команду az ad user create :

az ad user create --display-name "<New User>" \
    --password "xWwvJ]6NMw+bWH-d" \
    --user-principal-name "<NewUser@contoso.onmicrosoft.com>" \
    [--force-change-password-next-login {false, true}] \
    [--immutable-id "<base64-string-representation-of-object-guid>"] \
    [--mail-nickname "<Newuser>"]

Удаление пользователя

Выберите метод для удаления пользователя в идентификаторе Microsoft Entra.

Чтобы удалить пользователя в портал Azure, выполните следующие действия.

В портал Azure войдите в качестве глобального администратора или администратора пользователя.
Найдите и выберите Microsoft Entra ID.
Выберите Пользователи.
Найдите и выберите пользователя, которого вы хотите удалить из клиента Microsoft Entra (например, Мэри Паркер).
Выберите Удалить пользователя.

Пользователь удален и больше не отображается на странице Пользователи — Все пользователи. Вы можете просмотреть пользователя на странице "Удаленные пользователи " в течение следующих 30 дней. Вы также можете восстановить удаленного пользователя в течение этого времени. Дополнительные сведения о восстановлении пользователя см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

После удаления пользователя все лицензии, используемые пользователем, становятся доступными для других пользователей.

Чтобы удалить пользователя в Microsoft Graph, используйте API удаления пользователя:

DELETE https://graph.microsoft.com/v1.0/users/{user-id-or-user-principal-name}

Например, если вы хотите удалить пользователя, у которого есть имя NewUser@contoso.onmicrosoft.comучастника, используйте следующую команду:

DELETE https://graph.microsoft.com/v1.0/users/NewUser@contoso.onmicrosoft.com

Чтобы удалить пользователя в Azure PowerShell, выполните командлет Remove-AzureADUser :

Remove-AzureADUser -ObjectId "<NewUser@contoso.onmicrosoft.com>"

Чтобы удалить пользователя в Azure CLI, выполните команду az ad user delete :

az ad user delete --id "<NewUser@contoso.onmicrosoft.com>"

Массовое создание пользователей

Дополнительные сведения о создании или удалении пользователей в массовом режиме см. в разделе массового создания пользователей в идентификаторе Microsoft Entra.

Разрешения, необходимые для управления пользователями с помощью субъекта-службы

Если вы хотите автоматизировать создание и удаление пользователей Microsoft Entra в Microsoft Graph, ваше приложение должно иметь следующие разрешения:

Дополнительные сведения о том, кто может управлять каждым аспектом управления пользователями, см. в разделе "Наименее привилегированные роли по задачам" в идентификаторе Microsoft Entra — Users.

Сообщения об ошибках и действия по исправлению

В следующей таблице содержится список распространенных сообщений об ошибках при попытке создать или удалить пользователя в идентификаторе Microsoft Entra ID, а также описаны соответствующие действия по исправлению. Сообщения об ошибках показаны для REST API Microsoft Graph, Azure PowerShell или Azure CLI. Аналогичные, но более краткие сообщения об ошибках отображаются в портал Azure, а действия по исправлению идентичны.

Сообщение об ошибке	Действие
Другой объект с тем же значением для свойства userPrincipalName уже существует.	Сделайте имя участника-пользователя уникальным. Эта ошибка возникает, когда администратор пытается создать пользователя с существующим именем пользователя в Microsoft Entra ID. Дополнительные сведения см. в разделе Политики имен пользователей.
Недостаточно привилегий для завершения операции.	Найдите глобального администратора или администратора пользователя, чтобы добавить или удалить пользователя. Эта ошибка возникает, когда субъект безопасности пытается создать или удалить пользователей, но не имеет необходимых разрешений. Глобальный администратор может создать или удалить любого пользователя, включая других администраторов. Администратор пользователя может создавать пользователей и удалять всех пользователей, не являющихся администраторами, администраторами helpdesk и другими администраторами пользователей.
Свойство userPrincipalName недопустимо.	Список разрешенных и запрещенных символов см. в разделе Политики имен пользователей. Эта ошибка возникает при создании пользователя с недопустимыми символами в имени участника-пользователя. Свойства имени пользователя и адреса электронной почты также не могут содержать диакритические знаки.
Указанный пароль не соответствует требованиям к сложности паролей. Укажите другой пароль.	Избегайте использования пароля, который: нарушает политики Microsoft Entra в отношении паролей; включен в список заданных запрещенных паролей; содержит имя пользователя.
Недопустимая часть домена свойства userPrincipalName. Необходимо использовать одно из проверенных доменных имен в организации.	Убедитесь, что домен, который вы используете для создания пользователя, находится в списке проверенных доменов в центре администрирования Microsoft Entra. Домен должен находиться в состоянии Проверено. Если вы проверили состояние домена, посмотрите, является ли он федеративным (с флажком) или управляемым (без флажка). Создавать пользователей можно только в Microsoft Entra ID для управляемых доменов. Для федеративных доменов необходимо создать пользователя в поставщике удостоверений (IdP), а затем выполнить синхронизацию с Microsoft Entra ID. Вы не можете назначить пользователю федеративный домен.

Квоты каталога

Для бесплатного выпуска идентификатора Microsoft Entra можно создать не более 50 000 ресурсов Microsoft Entra в одном клиенте по умолчанию. Если вы используете по крайней мере один проверенный домен, квота службы Microsoft Entra по умолчанию для вашей организации расширена до 300 000 ресурсов Microsoft Entra. Для организаций, созданных с помощью самостоятельной регистрации, квота службы Microsoft Entra остается 50 000 ресурсов Microsoft Entra. Это ограничение применяется, даже если вы сделали переход внутреннего администратора и преобразовали организацию в управляемый клиент с одним или несколькими проверенными доменами. Это ограничение службы не связано с ограничением ценовой категории 500 000 ресурсов на странице ценообразования Microsoft Entra. Чтобы не выйти за пределы квоты по умолчанию, необходимо обратиться в службу поддержки Майкрософт.

Дополнительные сведения см. в разделе об ограничениях и ограничениях службы Microsoft Entra.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.