添加用户并授予对 Intune 的管理权限

作为管理员,可直接添加用户或从本地 Active Directory 同步用户。 添加后,用户可注册设备并访问公司资源。 还可以向用户授予更多权限,包括全局管理员和服务管理员权限。

添加用户到 Intune

可以通过 Microsoft 365 管理中心或 Microsoft Intune 管理中心手动将用户添加到 Intune 订阅。 管理员可以通过编辑用户帐户来分配 Intune 许可证。 可以在 Microsoft 365 管理中心或 Microsoft Intune 管理中心分配许可证。 若要深入了解如何使用 Microsoft 365管理中心,请参阅向 Microsoft 365 管理中心逐一或批量添加用户

在 Microsoft 365 管理中心添加 Intune 用户

  1. 使用全局管理员或用户管理管理员帐户登录 Microsoft 365 管理中心
  2. 在 Microsoft 365 菜单中,选择“用户”>“活跃用户”>“添加用户”
  3. 提供下列用户详细信息:
    • 显示名称
    • 用户名 - 通用主体名称 (UPN) 存储在用于访问服务的Microsoft Entra ID 中。
    • 密码 - 自动生成或创建
  4. 选择“下一步”。
  5. “分配产品许可证 ”页中,选择“ 位置 ”,然后选择此用户的许可证。 需要包括 Intune 的许可证。
  6. 选择“下一步”。
  7. “可选设置” 页中,可以
    • 为新用户分配更多角色 (默认情况下,新用户将获得用户角色) 。
    • 提供配置文件信息。
  8. 选择“下一步”。
  9. 在“检查并完成”页面上,选择“完成添加”以添加此用户。 选择“关闭”以关闭“添加用户”页面。

注意

如果要从 Office 365 订阅迁移到 Microsoft 365,则用户和组已在 Entra ID Microsoft。 Intune 使用相同的Microsoft Entra ID,并且可以使用现有用户和组。

在 Microsoft Intune 管理中心中添加单个 Intune 用户

  1. Microsoft Intune 管理中心,选择 “用户>”“所有用户>”“新建用户>”“创建新用户”。
  2. 指定下列用户详细信息:
    • 用户名 - 用户将用于登录以Microsoft Entra ID 的新名称。
    • 名称 - 用户的给定名称。
    • 名字 - 用户的名字。
    • 姓氏 - 用户的姓氏。
  3. 选择是要为新用户创建密码还是自动生成密码。
  4. 若要将新用户分配到组(可选),请选择“已选中 0 组”以打开“组”窗格。 可在此处选择要分配给用户的组。 选择完组后,选择“选择”
  5. 默认情况下,将为新用户分配“用户”的角色。 如果要将角色添加到用户,请选择“组和角色”下方的“用户”。 在“目录角色”窗格中,选择想要分配给用户的角色,然后选择“选择”
  6. 如果要阻止用户登录,则可以选择“是”用于“阻止登录”。 在准备允许用户登录时,请确保将其切换回“否”
  7. 为新用户选择“使用位置”。 只有指定使用位置后,才能为新用户分配 Intune 许可证。
  8. (可选)可以为“职务”、“部门”、“公司名称”和“管理器”字段提供信息
  9. 选择“创建”,将新用户添加到 Intune。

注意

还可以邀请来宾用户加入 Intune 租户。 有关详细信息,请参阅 在 Microsoft Entra 管理中心中添加 Microsoft Entra B2B 协作用户

在 Microsoft Intune 管理中心中添加多个 Intune 用户

可以通过上传包含用户完整列表的 csv 文件批量添加 Intune 用户。 以下步骤允许将多个用户添加到 Intune:

  1. Microsoft Intune 管理中心,选择 “用户>所有用户>批量操作>批量创建”。 将显示 “批量创建用户 ”窗格。
  2. 下载、编辑和上传 csv 模板,其中包含要添加到 Intune 的用户列表。

csv 文件是可在记事本或 Excel 中编辑的逗号分隔值列表。 有关使用 csv 文件添加 Intune 用户的详细信息,请参阅 在 Microsoft Entra ID 中批量创建用户

注意

还可以邀请多个来宾用户加入 Intune 租户。 有关详细信息,请参阅 教程:批量邀请Microsoft Entra B2B 协作用户

授予管理员权限

在 Intune 订阅中添加用户后,最好为一些用户授予管理员权限。 若要授予管理员权限,请按照下列步骤操作:

在 Microsoft 365 中授予管理员权限

  1. 使用全局管理员帐户>登录到 Microsoft 365 管理中心,选择“用户>活动用户>”,选择该用户来授予管理员权限。
  2. 在“用户”窗格中,选择“角色”下的“管理角色”
  3. 在“管理角色”窗格中,从可用角色列表中选择要授予的管理员权限。
  4. 选择“保存更改”。

在 Intune 管理中心Microsoft授予管理员权限

  1. 使用全局管理员帐户>登录到 Microsoft Intune 管理中心用户>,然后选择要授予管理员权限的用户。
  2. 选择“分配的角色”>“添加分配”
  3. “目录角色 ”窗格中,选择要分配给用户 >“添加”的角色。

管理员类型

为用户分配一个或多个管理员权限。 这些权限定义了各用户的管理范围及其能够管理的任务。 管理员权限在不同的 Microsoft 云服务之间是通用的,但部分服务可能不支持某些权限。 Azure 门户和 Microsoft 365 管理中心均列出 Intune 未使用的受限管理员角色。 Intune 管理员权限包括以下选项:

  • 全局管理员 -(Microsoft 365 和 Intune)访问 Intune 中的所有管理功能。 默认情况下,注册 Intune 的用户将成为全局管理员。全局管理员是唯一可以分配其他管理员角色的管理员。 组织中可具有多个全局管理员。 建议最好只向公司中的少数人分配此角色,以降低业务风险。
  • 密码管理员 -(Microsoft 365 和 Intune)重置密码、管理服务请求并监视服务运行状况。 密码管理员只能重置用户密码。
  • 服务支持管理员 -(Microsoft 365 和 Intune)向 Microsoft 提出支持请求,并查看服务仪表板和消息中心。 其拥有"仅查看"权限,但打开支持票证并阅读除外。
  • 计费管理员 -(Microsoft 365 和 Intune)采购、管理订阅、管理支持票证并监视服务运行状况。
  • 用户管理员 -(Microsoft 365 和 Intune)重置密码、监视服务运行状况、添加和删除用户帐户以及管理服务请求。 用户管理管理员不能删除全局管理员,也不能创建其他管理员角色或为其他管理员重置密码。
  • Intune 管理员 - 除使用“目录角色”选项创建管理员以外的所有 Intune 全局管理员权限

创建 Microsoft Intune 订阅使用的是全局管理员帐户。 最佳做法是,不要将全局管理员用于日常管理任务。 虽然管理员不需要 Intune 许可证即可访问 Azure 门户上的 Intune,但为了执行某些管理任务(例如设置 Exchange 服务连接器),需要 Intune 许可证。

若要访问 Microsoft 365 管理中心,必须将帐户设置为“允许登录”。 在 Azure 门户中,将“配置文件”下的“禁止登录”设置为“”,以允许访问。 此状态与拥有订阅许可证不同。 默认情况下,所有用户帐户均为“已允许”。 无管理员权限的用户可使用 Microsoft 365 管理中心重置 Intune 密码。

同步 Active Directory 并将用户添加到 Intune

可以将目录同步配置为将用户帐户从本地 Active Directory 导入到Microsoft Entra,其中包括 Intune 用户。 将本地 Active Directory 服务与基于 Entra ID 的所有Microsoft服务连接,可以更轻松地管理用户标识。 还可以配置单一登录功能,使用户的身份验证体验熟悉且简单。 将同 一Microsoft Entra 租户 链接到多个服务时,以前同步的用户帐户可用于所有基于云的服务。

请确保 AD 管理员有权访问 Microsoft Entra 订阅,并接受过培训以完成常见的 AD 和Microsoft Entra 任务。

如何将本地用户与 Microsoft Entra ID 同步

  • 若要将现有用户从本地 Active Directory 移动到Microsoft Entra ID,可以设置 混合标识。 混合标识存在于服务中 - 本地 AD 和 Microsoft Entra ID 中。

  • 还可以使用 UI 或通过脚本导出 Active Directory 用户。 Internet 搜索可以帮助你找到最适合你的组织的选项。

  • 若要将用户帐户与 Microsoft Entra ID 同步,请使用 Microsoft Entra Connect 向导。 Microsoft Entra Connect 向导提供了一种简化且引导式的体验,用于将本地标识基础结构连接到云。 选择拓扑和需求(单个目录或多个目录、密码哈希同步、传递身份验证或联合身份验证)。 向导将部署和配置所有必需组件,以使连接正常运行。 包括:同步服务、Active Directory 联合身份验证服务 (AD FS) 和 Microsoft Graph PowerShell 模块。

提示

Microsoft Entra Connect 包含以前作为 Dirsync 和 Azure AD Sync 发布的功能。详细了解 目录集成。 若要了解如何将用户帐户从本地目录同步到 Microsoft Entra ID,请参阅 Active Directory 与 Microsoft Entra ID 之间的相似性