添加并管理管理员帐户

适用于:带灰色 X 号的白色圆圈。 员工租户 带白色对号的绿色圆圈。 外部租户(了解详细信息

在 Microsoft Entra 外部 ID 中,外部租户表示使用者和来宾帐户的目录。 使用管理员角色,工作帐户和来宾帐户可以管理租户。

先决条件

  • 如果尚未创建自己的 Microsoft Entra 外部租户,请立即创建一个。
  • 了解 Microsoft Entra 外部 ID 中的用户帐户。
  • 了解控制资源访问的用户角色。

添加管理员帐户

若要创建管理员帐户,请执行以下步骤:

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户

  3. 浏览到“标识”>“用户”>“所有用户”。

  4. 选择“新建用户”>“创建新用户”。

  5. 在“新建用户”页面的“选择模板”下,选择“创建用户”。

  6. 在“标识”下,输入此管理员的信息:

    • 用户名。 “必需”。 新用户的用户名。 例如,mary@contoso.com
    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 名字。 新用户的名字。 例如 Mary。
    • 姓氏。 新用户的姓氏。 例如 Parker。
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 角色:若要为用户添加管理权限,请将其添加到 Microsoft Entra 角色。 可以在 Microsoft Entra ID 中为用户分配一个或多个管理员角色
    • 设置:使用“是”或“否”开关设置“阻止登录”,并在“使用位置”列表中选择管理员的主要位置。
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  7. 复制“密码”框中提供的自动生成的密码。 需将此密码提供给管理员,供其在首次登录时使用。

  8. 选择创建

管理员随即创建并添加到外部租户。

邀请管理员(来宾帐户)

你还可以邀请新的来宾用户管理你的租户。 若要邀请管理员,请执行以下步骤:

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户

  3. 浏览到“标识”>“用户”>“所有用户”。

  4. 选择“新建用户”>“邀请外部用户”。

  5. 在“新建用户”页面的“选择模板”下,选择“邀请用户”。

  6. 在“标识”下,输入管理员的信息:

    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 电子邮件地址。 “必需”。 你要邀请的用户的电子邮件地址。
    • 名字。 新用户的名字。 例如 Mary。
    • 姓氏。 新用户的姓氏。 例如 Parker。
    • 个人消息:添加将包含在邀请电子邮件中的个人消息。
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 角色:若要为用户添加管理权限,请将其添加到 Microsoft Entra 角色。 可以在 Microsoft Entra ID 中为用户分配一个或多个管理员角色
    • 设置:使用“是”或“否”开关设置“阻止登录”,并在“使用位置”列表中选择管理员的主要位置。
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  7. 选择“邀请”。

将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。

添加角色分配

你可以在创建用户或邀请来宾用户时分配角色。 可以为用户添加角色、更改角色或删除角色:

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到“标识”>“用户”>“所有用户”。
  4. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  5. 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”

删除角色分配

如果你需要删除用户角色分配,请执行以下步骤:

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到“标识”>“用户”>“所有用户”。
  4. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  5. 选择要移除的角色,例如“应用程序管理员”,然后选择“移除分配”

审阅管理员帐户角色分配

在审核过程中,通常会检查为哪些用户分配了客户目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到“标识”>“角色和管理员”>“角色和管理员”
  4. 选择一个角色,如“用户管理员”。 “分配”页将列出具有该角色的用户。

删除管理员帐户

若要删除现有用户,你必须至少获得用户管理员角色分配。 特权身份验证管理员可以删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。

  1. 至少以特权身份验证管理员的身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到“标识”>“用户”>“所有用户”。
  4. 选择要删除的用户。
  5. 选择“删除”,然后选择“是”,确认进行删除。

该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户

保护管理帐户

建议使用多重身份验证 (MFA) 保护所有管理员帐户,以提高安全性。 MFA 是在登录期间提示用户输入一次性密码的身份验证过程。

Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限用于紧急情况或“救火式”情况,在这种情况下,普通帐户无法使用,或者所有其他管理员均已被意外锁定。应按照紧急访问帐户建议创建这些帐户。