创建和管理用户

已完成

每个需要访问 Azure 资源的用户都需要一个 Azure 用户帐户。 你的用户帐户包含在登录过程中对你进行身份验证所需的全部信息。 进行身份验证后，Microsoft Entra ID 会生成访问令牌，以便为你授权，确定你可以访问的资源以及可以对这些资源执行的操作。

Microsoft Entra 管理中心是 Microsoft Entra 产品的 Web 版身份门户。 它为组织和管理员提供了统一的管理体验，用于在一个集中位置配置和管理其 Microsoft Entra 解决方案。

在本练习中，使用 Microsoft Entra 管理中心处理用户对象。 请记住，一次只能使用一个目录，但是可以使用“目录 + 订阅”面板来切换目录。

查看用户

若要查看 Microsoft Entra 用户，请在左窗格中选择“用户”，然后选择“所有用户”。 此时将显示“所有用户”窗格。 请注意“用户类型”和“标识”列，如以下屏幕截图所示：

通常，Microsoft Entra ID 以三种方式定义用户：

• 云标识：这些用户仅存在于 Microsoft Entra ID 中。 例如，管理员帐户和你自行管理的用户。 如果用户已在另一个 Microsoft Entra 实例中定义，但需要访问此目录控制的订阅资源，则其源为 Microsoft Entra ID 或外部 Microsoft Entra ID。 从主目录中删除这些帐户时，将删除这些用户。

• 目录同步标识：这些用户存在于本地 Active Directory 中。 通过 Microsoft Entra Connect 发生的同步活动将这些用户带入 Azure。 他们的来源是“Windows Server AD”。

• 来宾用户：这些用户存在于 Azure 之外。 例如，来自其他云提供商的帐户和 Microsoft 帐户（比如 Xbox LIVE 帐户）。 他们的来源是“受邀用户”。 外部供应商或承包商需要访问 Azure 资源时，这种类型的帐户非常有用。 不再需要其帮助时，可以删除该帐户及其所有访问权限。

添加用户

可以通过多种方式将云标识添加到 Microsoft Entra ID：

• 同步本地 Windows Server Active Directory
• 使用 Microsoft Entra 管理中心
• 使用 Azure 门户
• 使用命令行
• 其他选项

同步本地 Windows Server Active Directory

Microsoft Entra Connect 是一种单独的服务，可用于将传统的 Active Directory 与 Microsoft Entra 实例同步。 大多数企业客户都通过此方式将用户添加到目录。 这种方法的优点是用户可使用单一登录 (SSO) 来访问本地资源和基于云的资源。

使用 Microsoft Entra 管理中心

可通过 Microsoft Entra 管理中心手动添加新用户。 此方法是添加一小部分用户最简单的方法。 需要拥有“用户管理员”角色才能执行此功能。

1. 若要添加新用户，请在顶部菜单栏中选择“新建用户”，然后选择“创建新用户”。

   

2. 除了“姓名”和“用户名”之外，还可以在“属性”选项卡中添加个人资料信息，例如，“职位”和“部门”。

   

   默认行为是在组织中创建新用户。 用户将拥有一个用户名，其中带有分配给目录的默认域名（例如，alice@staracoustics.onmicrosoft.com）。

3. 还可以邀请用户进入目录。 在这种情况下，如果用户接受邀请，系统会向已知的电子邮件地址发送电子邮件，并创建一个与该电子邮件地址关联的帐户。

   

   如果该特定电子邮件地址未与 Microsoft 帐户 (MSA) 关联，则该受邀用户需要创建一个关联的 Microsoft 帐户，并该帐户将作为来宾用户添加到 Microsoft Entra ID。

使用命令行

如果要添加很多用户，最好是使用命令行工具。 可以运行 New-MgUser PowerShell 命令添加基于云的用户。

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled 

该命令可返回创建的新用户对象。

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

如果希望使用更标准的命令行接口，可以使用 Azure CLI：

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

使用命令行工具，可以通过脚本批量添加用户。 执行此操作最常见的方法是使用逗号分隔值文件 (CSV)。 可以手动创建此文件，也可以从现有数据源导出文件。

如果打算使用 CSV，请考虑以下事项：

• 命名约定：建立或实现用户名、显示名称和别名的命名约定。 例如，用户名可能的形式为姓氏后跟句点 (.)，然后是名字，例如 Smith.John@contoso.com。

• 密码：为新创建用户的初始密码实现约定。 确定新用户如何以安全性增强的方式接收密码。 常用方法是生成随机密码，然后通过电子邮件将其发送给新用户或其管理员。

配合使用 CSV 与 Azure PowerShell：

1. 运行 Connect-MgGraph 命令创建与你的目录的 Azure PowerShell 连接。 使用对目录具有权限的管理员帐户进行连接。

2. 为新用户创建新的密码配置文件。 新用户的密码需要符合为目录设置的密码复杂性规则。

3. 使用 Import-CSV 导入 CSV。 需要指定 CSV 的路径和文件名。

4. 循环浏览文件中的用户，并构造每个用户所需的用户参数。 例如，参数包括用户主体名称、显示名称、名字、部门和职务。

5. 运行 New-MgUser 命令创建每个用户。 确保启用每个帐户。

其他选项

如果共享的是同一目录，也可使用 Microsoft 图形 API 以编程方式将用户添加到 Microsoft Entra ID，或者通过 Microsoft 365 管理中心和 Microsoft Intune 管理控制台进行添加。