你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理 Azure Active Directory B2C 中的管理员帐户
在 Azure Active Directory B2C (Azure AD B2C) 中,租户表示使用者、工作和来宾帐户的目录。 使用管理员角色,工作帐户和来宾帐户可以管理租户。
在本文中,学习如何:
- 添加管理员(工作帐户)
- 邀请管理员(来宾帐户)
- 向用户帐户添加角色分配
- 从用户帐户移除角色分配
- 删除管理员帐户
- 保护管理帐户
先决条件
- 如果尚未创建自己的 Azure AD B2C 租户,请立即创建一个。 可以使用现有的 Azure AD B2C 租户。
- 了解 Azure AD B2C 中的用户帐户。
- 了解控制资源访问的用户角色。
添加管理员(工作帐户)
若要创建新的管理帐户,请执行以下步骤:
使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户。
如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
在“管理”下,选择“用户” 。
选择“新建用户”。
选择“创建用户”(可以通过选择“我想要批量创建用户”一次创建多个用户)。
在“用户”页上输入此用户的信息:
- 用户名。 “必需”。 新用户的用户名。 例如,
mary@contoso.com
。 用户名的域部分必须使用初始默认域名 <租户名称>.onmicrosoft.com 或自定义域(例如contoso.com
)。 - Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker。
- 组。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
- 目录角色:如果需要用户的 Microsoft Entra 管理权限,可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员或 Microsoft Entra ID 中一个或多个受限的管理员角色。 有关分配角色的详细信息,请参阅使用角色控制资源访问。
- 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
- 用户名。 “必需”。 新用户的用户名。 例如,
复制“密码”框中提供的自动生成的密码。 需将此密码提供给用户,供其在首次登录时使用。
选择“创建” 。
现已创建用户并将其添加到 Azure AD B2C 租户。 最好是在 Azure AD B2C 租户中至少有一个原生的工作帐户被分配为全局管理员角色。 可以将此帐户视为一个“破窗”帐户或紧急访问帐户。
邀请管理员(来宾帐户)
你还可以邀请新的来宾用户管理你的租户。 如果你的组织同时还有 Microsoft Entra ID,则来宾帐户是首选选项,因为可以从外部管理此标识的生命周期。
若要邀请用户,请执行以下步骤:
使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户。
如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
在“管理”下,选择“用户” 。
选择“新来宾帐户”。
在“用户”页上输入此用户的信息:
- Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker。
- 电子邮件地址。 “必需”。 要邀请的用户的电子邮件地址,必须是 Microsoft 帐户。 例如,
mary@contoso.com
。 - 个人消息:添加将包含在邀请电子邮件中的个人消息。
- 组。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
- 目录角色:如果需要用户的 Microsoft Entra 管理权限,可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员或 Microsoft Entra ID 中一个或多个受限的管理员角色。 有关分配角色的详细信息,请参阅使用角色控制资源访问。
- 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
选择“创建”。
将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。
重新发送邀请电子邮件
如果来宾未收到邀请电子邮件,或邀请已过期,你可以重新发送邀请。 作为邀请电子邮件的替代方法,你可以为来宾提供直接链接以接受邀请。 若要重新发送邀请并获取直接链接,请执行以下操作:
登录 Azure 门户。
如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
在“管理”下,选择“用户” 。
搜索并选择要向其重新发送邀请的用户。
在“用户 | 个人资料”页上的“标识”下,选择“(管理)”。
对于“重新发送邀请?”,请选择“是”。 当系统显示“是否确定要重新发送邀请?”时,选择“是”。
Azure AD B2C 将发送邀请。 你还可以复制邀请 URL,并将其直接提供给来宾。
添加角色分配
你可以在创建用户或邀请来宾用户时分配角色。 可以为用户添加角色、更改角色或删除角色:
- 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户。
- 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
- 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
- 在“管理”下,选择“用户” 。
- 选择要更改其角色的用户。 然后选择“已分配的角色”。
- 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”。
删除角色分配
如果你需要删除用户角色分配,请执行以下步骤:
- 选择“Azure AD B2C”,再选择“用户”,然后搜索并选择用户。
- 选择“分配的角色”。 选择要删除的角色,例如“应用程序管理员”,然后选择“删除分配”。
审阅管理员帐户角色分配
在审核过程中,通常会检查为哪些用户分配了 Azure AD B2C 目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。
- 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户。
- 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
- 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
- 在“管理”下,选择“角色和管理员”。
- 选择一个角色,如“全局管理员”。 “角色 | 分配”页将列出具有该角色的用户。
删除管理员帐户
若要删除现有用户,必须具有“全局管理员”角色分配。 全局管理员可以删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。
- 在 Azure AD B2C 目录中选择“用户”,然后选择要删除的用户。
- 选择“删除”,然后选择“是”,确认进行删除。
用户将被删除并且不再显示在“用户 - 所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户。
保护管理帐户
建议使用多重身份验证 (MFA) 保护所有管理员帐户,以提高安全性。 MFA 是登录过程中的一个身份验证过程,它提示用户提供更多形式的标识,例如他们移动设备上的验证码或 Microsoft Authenticator 应用中的请求。
如果不使用条件访问,可以启用 Microsoft Entra 安全默认值,以强制所有管理帐户均使用 MFA。