使用「我的員工」功能管理您的使用者
My Staff 功能可讓您將權限委派給具備授權的角色,例如商店經理或小組領導,確保員工能夠存取他們的 Microsoft Entra 帳戶。 組織可以將常見工作 (例如重設密碼或變更電話號碼) 委派給當地小組管理員,而不必由服務中心協助。 透過「我的員工」,無法存取帳戶的使用者只要按幾下,就可以重新取得存取權,而不需要服務中心或 IT 人員的幫忙。
為組織設定我的員工之前,建議您先參閱本文件以及使用者文件,確保您了解運作方式,以及會對您的使用者有何影響。 您可以利用使用者文件來訓練使用者,讓他們準備好使用新體驗,並協助確保新體驗能順利推出。
我的員工運作方式
我的員工是以管理單位為基礎,這是可用來限制角色指派系統管理控制範圍的資源容器。 如需詳細資訊,請參閱 Microsoft Entra ID 中的管理單位管理。 在「我的員工」中,可以用系統管理單位在商店或部門中納入一群使用者。 然後,可以將團隊經理分派至在一個或多個單位的範疇內的管理職務。
開始之前
若要完成本文中的步驟,您需要下列資源和許可權:
有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
與訂用帳戶相關聯的 Microsoft Entra 租戶。
您需要 Microsoft Entra 租使用者中的驗證原則管理員 許可權,才能啟用SMS型驗證。
在文字簡訊驗證方法政策中啟用的每位使用者都必須獲得授權,即使他們未使用該方法。 每個啟用的使用者都必須具有下列其中一個 Microsoft Entra ID 或 Microsoft 365 授權:
如何啟用我的員工
設定系統管理單位之後,您可以將此範圍套用至存取「我的員工」的使用者。 只有獲派系統管理角色的使用者可以存取 My Staff(我的員工)。 若要啟用我的員工,請完成下列步驟:
以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [使用者]> [使用者設定]。
在 [使用者功能] 底下,選取 [管理使用者功能設定]。
在 [系統管理員可存取我的員工] 之下,您可以選擇啟用所有使用者、選定的使用者或不允許任何使用者存取。
注意
只有被分配為管理員角色的使用者可以存取 My Staff。 如果您針對未獲指派系統管理員角色的使用者啟用「我的員工」,他們將無法存取「我的員工」。
條件式存取
您可以使用 Microsoft Entra 條件式存取原則來保護「我的員工」入口網站。 在存取 「我的員工」之前,請先將它用於需要多重要素驗證等工作。
強烈建議您使用 Microsoft Entra 條件式存取原則來保護我的員工。 若要將條件式存取原則套用至「我的員工」,您必須先造訪「我的員工」網站一次,停留幾分鐘,以便在您的租用戶中自動佈建服務主體,供條件式存取使用。
建立適用於「我的員工」雲端應用程式的條件式存取原則時,您會看到服務主體。
運用我的員工
當使用者選取 [我的員工] 時,會顯示其具有系統管理許可權的系統 管理單位 名稱。 在我的員工使用者文件中,我們使用「位置」一詞來指稱管理單位。 如果系統管理員的許可權沒有系統管理單位範圍,則許可權會套用到整個組織。
啟用「我的員工」之後,已指派系統管理角色的使用者就可以透過 https://mystaff.microsoft.com 存取。 他們可以選取管理單位來查看該單位中的使用者,並選取使用者來開啟其個人資料。
局限性
My Staff 可顯示每個管理單位最多 999 位使用者。
重設使用者密碼
您必須先完成下列先決條件,才能重設內部部署使用者的密碼。 如需詳細指示,請參閱啟用自助式密碼重設教學課程。
- 設定密碼回寫的權限
- 在 Microsoft Entra Connect 中啟用密碼回寫
- 在 Microsoft Entra 自助式密碼重設 (SSPR) 中啟用密碼回寫
下列角色具有重設使用者密碼的權限:
從 [我的員工] 開啟使用者的設定檔。 選取 [重設密碼]。
如果使用者是純雲端的,您可以看到可提供給使用者的暫時密碼。
如果使用者從內部部署 Active Directory 同步,您可以輸入符合內部部署網域原則的密碼。 然後,您可以將該密碼提供給使用者。
使用者下次登入時必須變更其密碼。
管理電話號碼
從 [我的員工] 開啟使用者的設定檔。
- 選取 [新增電話號碼] 區段以新增使用者的電話號碼
- 選取 [編輯電話號碼] 來變更電話號碼
- 選取 [移除電話號碼] 以移除使用者的電話號碼
視您的設定而定,用戶接著可以使用您設定的電話號碼來使用SMS登入、執行多重要素驗證,以及執行自助式密碼重設。
若要管理使用者的電話號碼,您必須獲指派下列其中一個角色:
管理 QR 代碼驗證
您可以使用 My Staff 來管理使用者的 QR 代碼驗證方法。
在 My Staff 中為使用者新增 QR 代碼驗證方法
以前線管理員身分登入 「我的員工」入口網站。 選擇一個行政單位和一線工作者。
點選 管理 QR 程式碼驗證方法。
點擊 [新增 QR 代碼方法]。
指定到期日和啟用日期,然後按兩下 [新增],為用戶產生QR代碼和 PIN 碼。
儲存 PIN 碼、下載或列印 QR 代碼,然後按下 [完成] 。 QR 代碼影像下載具有最小的最佳列印大小。 如果您減少大小,QR 代碼很難掃描。 您無法重新產生相同的 QR 代碼,因為它具有唯一的秘密。 如果 QR 代碼因故無法運作,請將其刪除。 為使用者建立新的 QR 代碼。
在 [我的員工] 中編輯使用者的 QR 代碼驗證方法
若要編輯標準 QR 代碼的到期日,請按下 [編輯] 。 編輯到期日並儲存變更。
若要刪除標準 QR 代碼,請按兩下 [刪除] [],然後確認動作。
若要新增標準 QR 代碼,請點選標準 QR 代碼旁的 [新增]。
選擇 QR 代碼的啟用時間和到期日期,然後點擊 新增。
下載或列印 QR 代碼,然後按下 [完成]。
若要新增暫時的 QR 代碼,請按兩下 [在暫存 QR 代碼旁新增。 指定 存留期為小時和啟用日期,然後按一下[新增 ]。
下載或列印 QR 代碼,然後按下 [完成]。
若要重設 PIN,請按下 重設 PIN。
按兩下 [複製 PIN,將 PIN 複製到剪貼簿。
刪除 My Staff 中使用者的 QR 代碼驗證方法
若要刪除 QR 代碼驗證方法本身,請按兩下 [刪除 QR 代碼方法] 。
按一下 刪除 以確認此動作。
搜尋
您可以使用 [我的員工] 中的 [搜尋] 列,搜尋組織中的系統管理單位和使用者。 您可以搜尋組織中的所有管理單位和使用者,但只能對您已獲得系統管理權限之系統管理單位中的使用者進行變更。
稽核記錄
您可以在 Microsoft Entra 管理中心查看 My Staff 採取的動作的稽核記錄。 如果稽核記錄是由在「我的員工」中採取的動作所產生,您將會在稽核事件的 [其他詳細資料] 下看到這種情況。