Skapa och hantera användare

  • 8 minuter

Alla användare som behöver åtkomst till Azure-resurser måste ha ett Azure-användarkonto. Ditt användarkonto innehåller all information som behövs för att autentisera dig under inloggningsprocessen. När du har autentiserats skapar Microsoft Entra-ID en åtkomsttoken för att auktorisera dig, fastställa vilka resurser du kan komma åt och avgöra vad du kan göra med dessa resurser.

Administrationscentret för Microsoft Entra är en webbaserad identitetsportal för Microsoft Entra-produkter. Det ger en enhetlig administrativ upplevelse för organisationer och administratörer att konfigurera och hantera sina Microsoft Entra-lösningar på en central plats.

I den här övningen använder du administrationscentret för Microsoft Entra för att arbeta med användarobjekt. Tänk på att du bara kan arbeta med en enda katalog i taget, men du kan använda fönstret Katalog + prenumeration för att växla kataloger.

Visa användare

Om du vill visa Microsoft Entra-användare väljer du Användare i den vänstra rutan och sedan Alla användare. Fönstret Alla användare visas. Lägg märke till kolumnerna Användartyp och Identiteter enligt följande skärmbild:

Skärmbild som visar fönstret Alla användare med kolumnerna Användartyp och Identiteter antecknade.

Vanligtvis definierar Microsoft Entra ID användare på tre sätt:

  • Molnidentiteter: Dessa användare finns bara i Microsoft Entra-ID. Några exempel är administratörskonton och användare du hanterar själv. Källan är Microsoft Entra-ID eller externt Microsoft Entra-ID om användaren har definierats i en annan Microsoft Entra-instans, men behöver åtkomst till prenumerationsresurser som styrs av den här katalogen. När dessa konton tas bort från den primära katalogen tas de bort.

  • Katalogsynkroniserade identiteter: Dessa användare finns i en lokal Active Directory. En synkroniseringsaktivitet som sker via Microsoft Entra Connect för dessa användare till Azure. Källan är Windows Server AD.

  • Gästanvändare: Dessa användare finns utanför Azure. Exempel är konton från andra molnleverantörer och Microsoft-konton (till exempel ett Xbox LIVE-konto). Källan är Inbjuden användare. Den här typen av konto är användbar när externa leverantörer eller entreprenörer behöver åtkomst till dina Azure-resurser. När hjälpen inte längre behövs kan du ta bort kontot och alla åtkomst.

Lägg till användare

Du kan lägga till molnidentiteter i Microsoft Entra-ID på flera sätt:

  • Synkronisera en lokal Windows Server Active Directory
  • Använda Microsoft Entra administrationscenter
  • Med hjälp av Azure-portalen
  • Använda kommandoraden
  • Andra alternativ

Synkronisera en lokal Windows Server Active Directory

Microsoft Entra Connect är en separat tjänst som gör att du kan synkronisera en traditionell Active Directory med din Microsoft Entra-instans. Det är så här som de flesta företagskunder lägger till användare i katalogen. Fördelen med den här metoden är att användarna kan komma åt lokala och molnbaserade resurser via enkel inloggning (SSO).

Använda administrationscentret för Microsoft Entra

Du kan lägga till nya användare manuellt via administrationscentret för Microsoft Entra. Det här är det enklaste sättet att lägga till ett litet antal användare. Du måste ha rollen som Användaradministratör för att kunna utföra den här funktionen.

  1. Om du vill lägga till en ny användare väljer du Ny användare i den översta menyraden och väljer sedan Skapa ny användare.

    Skärmbild som visar knappen Ny användare markerad i administrationscentret för Microsoft Entra.

  2. Förutom Namn och Användarnamn kan du lägga till profilinformation, till exempel jobbtitel och avdelning, på fliken Egenskaper.

    Skärmbild som visar dialogrutan Ny användare.

    Standardbeteendet är att skapa en ny användare i organisationen. Användaren har ett användarnamn med standarddomännamnet tilldelat till katalogen, till exempel alice@staracoustics.onmicrosoft.com.

  3. Du kan också bjuda in användare till katalogen. I det här fallet skickas ett e-postmeddelande till en känd e-postadress och ett konto skapas och associeras med den e-postadressen om användaren accepterar inbjudan.

    Skärmbild som visar inbjudningsskärmen.

    Den inbjudna användaren måste skapa ett associerat Microsoft-konto (MSA) om den specifika e-postadressen inte är associerad med ett och kontot läggs till i Microsoft Entra-ID:t som gästanvändare.

Använda kommandoraden

Om du ska lägga till många användare är det bättre att använda ett kommandoradsverktyg. Du kan köra PowerShell-kommandot New-MgUser för att lägga till molnbaserade användare.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Kommandot returnerar det nya användarobjekt du skapar.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Om du föredrar ett mer standardkommandoradsgränssnitt kan du använda Azure CLI:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Med kommandoradsverktyg kan du lägga till användare i grupp med hjälp av skript. Den vanligaste metoden är att använda en fil med kommaavgränsade värden (CSV). Du kan antingen skapa den här filen manuellt eller exportera filen från en befintlig datakälla.

Här är några saker att tänka på om du planerar att använda en CSV-fil:

  • Namngivningskonventioner: Upprätta eller implementera en namngivningskonvention för användarnamn, visningsnamn och alias. Ett användarnamn kan till exempel bestå av efternamnet följt av en punkt (.), följt av förnamnet. till exempel Smith.John@contoso.com.

  • Lösenord: Implementera en konvention för det första lösenordet för en nyskapade användare. Fastställ hur nya användare ska få sina lösenord på ett säkert sätt. En vanlig metod är att generera ett slumpmässigt lösenord och skicka det till användaren eller dennes chef via e-post.

Använda en CSV-fil med Azure PowerShell:

  1. Kör kommandot Connect-MgGraph för att skapa en PowerShell-anslutning till din katalog. Anslut med ett administratörskonto som har behörigheter för katalogen.

  2. Skapa nya lösenordsprofiler för de nya användarna. Lösenorden för de nya användarna måste överensstämma med de regler för lösenordskomplexitet som du har angett för din katalog.

  3. Använd Import-CSV för att importera CSV-filen. Du måste ange CSV-filens sökväg och filnamn.

  4. Bearbeta användarna i filen en och en och konstruera de användarparametrar som behövs för varje användare. Några exempel på parametrar är användarens huvudnamn, visningsnamn, tilldelade namn, avdelning och befattning.

  5. New-MgUser Kör kommandot för att skapa varje användare. Se till att aktivera kontona.

Andra alternativ

Du kan också lägga till användare i Microsoft Entra-ID programmatiskt med hjälp av Microsoft Graph API eller via Administrationscenter för Microsoft 365 och Microsoft Intune-administratörskonsolen om du delar samma katalog.