通过

添加用户并授予对 Intune 的管理权限

  • 项目

作为管理员,可直接添加用户或从本地 Active Directory 同步用户。 添加并启用后,用户可以注册设备和访问公司资源。 还可以向用户授予更多权限,包括全局管理员和服务管理员权限。

添加用户到 Intune

可以通过Microsoft 365 管理中心、Microsoft Entra 管理中心或Microsoft Intune管理中心手动将用户添加到Intune订阅。 此外,管理员可以编辑用户帐户以分配Intune许可证。 可以在Microsoft 365 管理中心或Microsoft Intune管理中心分配许可证。 若要深入了解如何使用 Microsoft 365管理中心,请参阅向 Microsoft 365 管理中心逐一或批量添加用户。 有关使用Microsoft Entra 管理中心的详细信息,请参阅如何创建、邀请和删除用户

在Microsoft Intune管理中心中添加单个Intune用户

  1. Microsoft Intune管理中心,选择“用户>”“所有用户>”“新建用户>”“创建新用户”。

  2. 在“ 基本信息 ”选项卡上,添加以下用户详细信息:

    • 用户主体名称 - 通用主体名称 (UPN) 存储在用于访问服务的Microsoft Entra ID中。
    • 邮件昵称 - 如果需要输入与输入的用户主体名称不同的电子邮件昵称,请取消选中 “派生自用户主体名称 ”选项,然后输入邮件昵称。
    • 显示名称 - 用户的名称,例如 Chris Green 或 Chris A. Green。
    • 密码 - 为新用户添加密码,或选择自动生成密码。
    • 帐户已启用 - 选择在创建帐户后启用帐户。 如果未选中,将阻止此用户登录。 这可以在创建用户后更新。

    选择“ 查看 + 创建 ”按钮以创建新用户,或选择 “下一步:属性” 以完成下一部分。

  3. 在“ 属性 ”选项卡上,添加以下详细信息:

    • 身份:
      • FirstName
      • 用户类型 - 选择 “成员” 或“ 来宾”。 这两种用户类型都是组织内部的。 成员通常是组织中的全职员工。 来宾在租户中具有帐户,但具有来宾级特权。 它们可能是在 B2B 协作可用性之前在租户中创建的。
      • 授权信息 - 最多可以添加 5 个证书用户 ID。 它们用作基于证书的身份验证的一部分,需要特定格式。 有关详细信息,请参阅映射到 Microsoft Entra ID 中的 certificateUserIds 属性
    • 作业信息: 添加任何与作业相关的信息,例如用户的职务、部门或经理。
    • 联系信息: 为用户添加任何相关的联系信息。
    • 家长控制: 对于 K-12 学区等组织,可能需要提供用户的年龄组。 未成年人 年龄在 12 岁及以下, 非成人 为 13-18 岁, 成人 为 18 岁及以上。 年龄组和家长选项提供的同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问权限和权限。
    • 设置:“使用情况位置”指定用户的全局位置。

    选择“ 查看 + 创建 ”按钮以创建新用户,或选择 “下一步:分配” 以完成下一部分。

  4. 在“分配”选项卡上,添加以下详细信息:创建帐户时,可以将用户分配到管理单元、组或Microsoft Entra角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 创建用户后,可以添加分配。

    将组分配给新用户

    1. 选择“ + 添加组”。
    2. 从显示的菜单中,从列表中选择最多 20 个组,然后选择“ 选择 ”按钮。
    3. 选择“ 查看 + 创建 ”按钮。

    将角色分配给新用户

    1. 选择“ + 添加角色”。
    2. 从显示的菜单中,从列表中选择最多 20 个角色,然后选择“ 选择 ”按钮。
    3. 选择“ 查看 + 创建 ”按钮。

    向新用户添加管理单元

    1. 选择“ + 添加管理单元”。
    2. 从显示的菜单中选择一个管理单元,然后选择“ 选择 ”按钮。
    3. 选择“ 查看 + 创建 ”按钮。

  5. 在“ 审阅 + 创建 ”选项卡上,查看详细信息,确保信息正确且详细信息已通过验证。 查看详细信息,如果一切正常,请选择“ 创建 ”按钮。

注意

如果要从 Office 365 订阅迁移到 Microsoft 365,则用户和组已在Microsoft Entra ID。 Intune使用相同的Microsoft Entra ID,并且可以使用现有用户和组。

还可以邀请来宾用户加入Intune租户。 有关详细信息,请参阅在Microsoft Entra 管理中心中添加Microsoft Entra B2B 协作用户

在Microsoft Intune管理中心中添加多个Intune用户

可以通过上传包含用户完整列表的 csv 文件批量添加Intune用户。 通过以下步骤,可将多个用户添加到Intune:

  1. 至少以用户管理员身份登录到 Microsoft Intune 管理中心
  2. 选择 “用户>”“所有用户>”“批量操作>”“批量创建”。 将显示 “批量创建用户 ”窗格。
  3. 下载、编辑和上传 csv 模板,其中包含要添加到Intune的用户列表。

csv 文件是可在记事本或 Excel 中编辑的逗号分隔值列表。 有关使用 csv 文件添加Intune用户的详细信息,请参阅在 Microsoft Entra ID 中批量创建用户

注意

还可以邀请多个来宾用户加入Intune租户。 有关详细信息,请参阅教程:批量邀请Microsoft Entra B2B 协作用户

从 Intune 中删除用户

当用户离开组织时,可以从Intune租户中删除他们。 如果需要,可以选择使用 批量操作删除多个用户。

若要从Intune中删除单个用户,请:

  1. 至少以用户管理员身份登录到 Microsoft Intune 管理中心
  2. 浏览到 “用户>”“所有用户”。
  3. 选择要删除的用户。
  4. 选择“删除”。

若要从Intune中删除多个用户,请执行以下操作:

  1. 至少以用户管理员身份登录到 Microsoft Intune 管理中心
  2. 选择 “用户>”“所有用户>”“批量操作>”“批量删除”。 将显示 “批量删除用户 ”窗格。
  3. 下载、编辑和上传 csv 模板,其中包含要从Intune中删除的用户列表。

有关相关信息,请参阅批量删除Microsoft Entra ID中的用户

授予管理员权限

在 Intune 订阅中添加用户后,最好为一些用户授予管理员权限。 若要授予管理员权限,请按照下列步骤操作:

在 Microsoft 365 中授予管理员权限

  1. 使用全局管理员帐户>登录Microsoft Intune管理中心,选择“用户>”“活动用户>”选择授予管理员权限的用户。
  2. 在“用户”窗格中,选择“角色”下的“管理角色”
  3. 在“管理角色”窗格中,从可用角色列表中选择要授予的管理员权限。
  4. 选择“保存更改”。

在管理中心Microsoft Intune授予管理员权限

  1. 使用全局管理员帐户>登录到 Microsoft Intune管理中心用户>,然后选择要授予管理员权限的用户。
  2. 选择“分配的角色”>“添加分配”
  3. “目录角色 ”窗格中,选择要分配给用户 >“添加”的角色。

管理员类型

为用户分配一个或多个管理员权限。 这些权限定义了各用户的管理范围及其能够管理的任务。 管理员权限在不同的 Microsoft 云服务之间是通用的,但部分服务可能不支持某些权限。 Azure 门户和 Microsoft 365 管理中心均列出 Intune 未使用的受限管理员角色。 Intune 管理员权限包括以下选项:

  • 全局管理员 -(Microsoft 365 和 Intune)访问 Intune 中的所有管理功能。 默认情况下,注册 Intune 的用户将成为全局管理员。全局管理员是唯一可以分配其他管理员角色的管理员。 组织中可具有多个全局管理员。 建议最好只向公司中的少数人分配此角色,以降低业务风险。
  • 密码管理员 -(Microsoft 365 和 Intune)重置密码、管理服务请求并监视服务运行状况。 密码管理员只能重置用户密码。
  • 服务支持管理员 -(Microsoft 365 和 Intune)向 Microsoft 提出支持请求,并查看服务仪表板和消息中心。 其拥有"仅查看"权限,但打开支持票证并阅读除外。
  • 计费管理员 -(Microsoft 365 和 Intune)采购、管理订阅、管理支持票证并监视服务运行状况。
  • 用户管理员 -(Microsoft 365 和 Intune)重置密码、监视服务运行状况、添加和删除用户帐户以及管理服务请求。 用户管理管理员不能删除全局管理员,也不能创建其他管理员角色或为其他管理员重置密码。
  • Intune 管理员 - 除使用“目录角色”选项创建管理员以外的所有 Intune 全局管理员权限

创建 Microsoft Intune 订阅使用的是全局管理员帐户。 最佳做法是,不要将全局管理员用于日常管理任务。 虽然管理员不需要Intune许可证即可访问Azure 门户上的Intune,但为了执行某些管理任务(例如设置 Exchange 服务连接器),需要Intune许可证。

若要访问 Microsoft 365 管理中心,必须将帐户设置为“允许登录”。 在 Azure 门户中,将“配置文件”下的“禁止登录”设置为“”,以允许访问。 此状态与拥有订阅许可证不同。 默认情况下,所有用户帐户均为“已允许”。 无管理员权限的用户可使用 Microsoft 365 管理中心重置 Intune 密码。

同步 Active Directory 并将用户添加到 Intune

可以将目录同步配置为将用户帐户从本地 Active Directory导入到包含Intune用户的Microsoft Entra。 将本地 Active Directory服务与所有基于Microsoft Entra ID的服务连接起来,可以更轻松地管理用户标识。 还可以配置单一登录功能,使用户的身份验证体验熟悉且简单。 将同一Microsoft Entra租户链接到多个服务时,以前同步的用户帐户可用于所有基于云的服务。

请确保 AD 管理员有权访问你的Microsoft Entra订阅,并接受过培训以完成常见的 AD 和Microsoft Entra任务。

如何将本地用户与Microsoft Entra ID同步

  • 若要将现有用户从本地 Active Directory移动到Microsoft Entra ID,可以设置混合标识。 混合标识存在于服务中 - 本地 AD 和 Microsoft Entra ID。

  • 还可以使用 UI 或通过脚本导出 Active Directory 用户。 Internet 搜索可以帮助你找到最适合你的组织的选项。

  • 若要将用户帐户与Microsoft Entra ID同步,请使用 Microsoft Entra Connect 向导。 Microsoft Entra Connect 向导提供简化且引导式的体验,用于将本地标识基础结构连接到云。 选择拓扑和需求(单个目录或多个目录、密码哈希同步、传递身份验证或联合身份验证)。 向导将部署和配置所有必需组件,以使连接正常运行。 包括:同步服务、Active Directory 联合身份验证服务 (AD FS) 和 Microsoft Graph PowerShell 模块。

提示

Microsoft Entra Connect 包含以前作为 Dirsync 和 Azure AD Sync 发布的功能。详细了解目录集成。 若要了解如何将用户帐户从本地目录同步到Microsoft Entra ID,请参阅 Active Directory 与 Microsoft Entra ID 之间的相似性