如何创建、邀请和删除用户

Microsoft Entra ID 允许你在租户中创建多种类型的用户,从而在管理组织用户的方式上具有更大的灵活性。

本文介绍了如何在工作人员租户中创建新用户、邀请外部来宾和删除用户。 本文还提供了有关针对 Microsoft Entra 外部 ID 场景在外部租户中创建用户的信息。

注意

若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

用户类型

在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 工作人员租户中的访问权限。 例如,你是需要创建内部来宾、内部用户还是外部来宾? 新用户是否需要来宾或成员特权?

工作人员租户中的用户

Microsoft Entra 工作人员租户具有以下用户类型:

  • 内部成员:这些用户很可能是组织中的全职员工。
  • 内部来宾:这些用户在租户中拥有帐户,但具有来宾级别特权。 这些用户可能是在 B2B 协作可用之前在租户中创建的。
  • 外部成员:这些用户使用外部帐户进行身份验证,但对租户具有成员访问权限。 这些类型的用户在多租户组织中是常见的。
  • 外部来宾:这些用户是租户的真正来宾,他们使用外部方法进行身份验证且具有来宾级别特权。

有关内部和外部来宾与成员之间的差异的详细信息,请参阅 B2B 协作属性

身份验证方法因所创建用户的类型而异。 内部来宾和成员在 Microsoft Entra 租户中具有可由管理员管理的凭据。 这些用户还可以重置自己的密码。 外部成员向其主 Microsoft Entra 租户进行身份验证,Microsoft Entra 租户则通过与外部成员的 Microsoft Entra 租户联合登录对用户进行身份验证。 如果外部成员忘记了密码,其 Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。

查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅设置默认用户权限

外部租户中的用户

外部配置中的 Microsoft Entra 租户专用于Microsoft Entra 外部 ID 方案。 外部租户可以包括以下用户类型:

  • 内部用户:这些用户在内部进行身份验证,通常是外部租户中分配有 Microsoft Entra 角色的管理员。
  • 外部用户:这些用户是外部租户中注册的应用的使用者和企业客户。 他们拥有具备默认用户权限的本地帐户,但在外部进行身份验证。 了解如何创建新的外部用户
  • 外部来宾:这些用户使用自己的外部凭据登录,通常是外部租户中分配有 Microsoft Entra 角色的管理员。

有关详细信息,请参阅默认用户权限了解外部租户。

先决条件

最低特权所需的角色因要添加的用户类型以及是否需要同时分配 Microsoft Entra 角色而异。 应尽可能地使用最低特权角色。

任务 角色
创建新用户 用户管理员
邀请外部来宾 来宾邀请者
分配 Microsoft Entra 角色 特权角色管理员

创建新用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”

    Microsoft Entra ID 中“所有用户”页的屏幕截图。

  3. 选择“新建用户”>“创建新用户”。

    Microsoft Entra ID 中新建用户菜单的屏幕截图。

  4. 完成“新建用户”页中的剩余选项卡。

    基础知识

    “基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前,请查看有关用户名属性的指导

    • 用户主体名称:输入唯一用户名,然后从菜单中的 @ 符号后选择一个域。 如果需要创建新域,请选择“未列出的域”。 有关详细信息,请参阅添加自定义域名
    • 邮件昵称:如果需要输入与已输入的用户主体名称不同的电子邮件昵称,请取消选中“从用户主体名称派生”选项,然后输入邮件昵称。
    • 显示名称:输入用户的姓名,例如 Chris Green 或 Chris A. Green
    • 密码:为用户提供在初始登录期间使用的密码。 取消选中“自动生成密码”选项以输入不同的密码。
    • 已启用帐户:默认情况下选中此选项。 取消选中可阻止新用户登录。 可以在创建用户后更改此设置。 此设置称为在旧版创建用户过程中称为“阻止登录”。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

    创建新用户“基本信息”选项卡的屏幕截图。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

    属性

    可以提供六个类别的用户属性。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到“标识”>“用户”>“所有用户”,然后选择要更新的用户。

    • 标识:输入用户的名和姓。 将“用户类型”设置为“成员”或“来宾”。
    • 工作信息:添加与工作相关的任何信息(如用户的职务、部门或经理)。
    • 联系人信息:为用户添加任何相关的联系人信息。
    • 家长控制:对于 K-12 学区之类的组织,可能需要提供用户的年龄组。 少年人是指 12 岁及以下,未成年人是指 13-18 岁,成人是指 18 岁及以上。 父母选项提供的年龄组和同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问和授权。
    • 设置:指定用户的全局位置。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。

    分配

    创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 可以在创建用户后添加分配。

    若要向新用户分配组,请执行以下操作

    1. 选择“+ 添加组”。
    2. 在显示的菜单中,从列表中选择最多 20 个组,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    添加组分配过程的屏幕截图。

    若要向新用户分配角色,请执行以下操作

    1. 选择“+ 添加角色”。
    2. 在显示的菜单中,从列表中选择最多 20 个角色,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    若要向新用户添加管理单元,请执行以下操作

    1. 选择“+ 添加管理单元”。
    2. 在显示的菜单中,从列表中选择一个管理单元,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    查看和创建

    最后一个选项卡会捕获用户创建过程中的几个关键详细信息。 查看详细信息,如果一切正常,请选择“创建”按钮。

创建新的外部用户

重要

这些步骤仅适用于 Microsoft Entra 外部 ID 外部租户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 确保已登录到外部租户。 使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到外部租户

  3. 浏览到“标识”>“用户”>“所有用户”

  4. 选择“新建用户”>“新建外部用户”

    Microsoft Entra ID 中“新建外部用户”菜单的屏幕截图。

  5. 在“新建用户”页上,按照本文前面所述填写“基本信息”选项卡,但有以下变动:

    • 指定用户的登录电子邮件,而不是用户主体名称和邮件别名。 在“标识”旁边,在“登录方法”下,选择“电子邮件”。 在“值”下,输入用户的电子邮件地址。
    • 若要为用户添加多个电子邮件,请选择“添加”按钮
  6. (可选)选择“下一步: 属性”。 按照本文前面所述填写“属性”选项卡,但请注意以下变动:

    • 在“标识”部分中,“用户类型”设置不会影响外部用户,可以保留默认的“成员”设置。
    • “授权信息”字段对外部用户不可用。
    • 在“作业信息”下,员工和经理相关信息对外部用户不可用。
  7. (可选)选择“下一步: 分配”。 按照本文前面所述填写“分配”选项卡,但请注意,“添加管理单元”和“添加角色”选项对外部用户不可用。

  8. 选择“查看 + 创建”按钮,创建新用户。

邀请外部用户

除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。

注意

此功能同时适用于工作人员租户和外部租户,但目前为外部租户提供的是预览版。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”

  3. 选择“新建用户”>“邀请外部用户”。

    “邀请外部用户”菜单选项的屏幕截图。

  4. 完成“新建用户”页中的剩余选项卡(如下所示)。

    外部用户的基本信息

    在本部分中,你将使用来宾的电子邮件地址邀请来宾加入租户。 如果需要使用域帐户创建来宾用户,请使用创建新用户过程,但需将“用户类型”更改为“来宾”。

    • 电子邮件:输入所邀请来宾用户的电子邮件地址。
    • 显示名称:提供显示名称。
    • 邀请电子邮件:选中“发送邀请电子邮件”复选框可自定义要发给来宾的简短电子邮件。 如有必要,请提供抄送收件人。

    邀请外部用户“基本信息”选项卡的屏幕截图。

    来宾用户邀请

    通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。

    1. 浏览到“标识”>“用户”>“所有用户”
    2. 选择受邀的来宾用户。
    3. “我的源”部分中,找到“B2B 协作”磁贴。
      • 如果邀请状态为“PendingAcceptance”,请选择“重新发送邀请”链接以发送另一封电子邮件。
      • 还可以选择用户的“属性”并查看“邀请状态”。

    用户详细信息的屏幕截图,其中突出显示了“邀请状态”选项。

    添加其他用户

    某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。 有关创建客户帐户的详细信息,请参阅在 Azure AD B2C 中创建和删除客户用户

    若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅将本地目录与 Microsoft Entra ID 进行集成

删除用户

可以使用 Microsoft Entra 管理中心删除现有用户。

  1. 必须至少具有“用户管理员”角色分配才能删除组织中的用户。

  2. 具有特权身份验证管理员角色的用户可以删除任何用户,包括其他管理员。

  3. 用户管理员可以删除任何非管理员用户、帮助台管理员和其他用户管理员。

  4. 有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限

    若要删除用户,请执行以下步骤:

    1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
    2. 浏览到“标识”>“用户”>“所有用户”
    3. 搜索并选择要删除的用户。
    4. 选择“删除用户”。

    “所有用户”页面的屏幕截图,其中已选中用户,并突出显示了“删除”按钮。

    该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内,在“已删除用户”页上查看该用户,在此期间可将其还原。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户

    删除某个用户后,该用户使用的任何许可证可供其他用户使用。

    注意

    若要更新其授权来源为 Windows Server Active Directory 的用户的标识、联系信息或工作信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。