通过

为Microsoft Intune添加和管理用户

Microsoft Entra ID是Microsoft Entra的一部分,是Microsoft Intune的标识服务,这意味着你在Intune中看到的用户帐户存在于Microsoft Entra中。 作为具有足够基于角色的访问控制 (RBAC) Microsoft Entra权限的管理员,你可以使用 Intune 管理中心来管理Microsoft Entra用户帐户。 这些相同的 Entra 权限还使管理员能够从Microsoft 365 管理中心内或通过Microsoft Entra 管理中心直接管理用户。

Intune还支持使用从 Active Directory 同步到与 Intune 和 Entra 租户共享租户的任何基于云的服务。

在将用户添加到 Entra 或将其同步到 Entra 并向其分配许可证Intune后,该用户可以使用 Intune 注册设备并开始访问公司资源。 Intune管理员还可以将Intune RBAC 角色和权限分配给谨慎的用户组,使这些用户能够帮助管理Intune订阅。

本文的其余部分重点介绍如何使用 Intune 管理中心来管理用户帐户。

用于管理用户帐户的基于角色的访问控制

在可以使用 Intune 管理中心管理用户之前,你的帐户必须在 Microsoft Entra 中具有 RBAC 权限才能管理用户帐户。 Microsoft Entra权限是必需的,因为Intune RBAC 是 Entra RBAC 的子集。 作为子集,仅Intune RBAC 权限不足以管理 Microsoft Entra 中的帐户。 但是,某些Microsoft Entra角色在Intune中包含权限。

使用 RBAC 时,Microsoft建议遵循最低权限原则,仅使用具有任务所需的最低权限的帐户,并限制使用和分配特权管理角色(如Intune管理员)。

以下Microsoft Entra内置 RBAC 角色是最低特权内置角色,其中包含添加和管理用户帐户的足够权限:

  • 用户管理员 – 此角色提供的权限足以从管理中心内为 Microsoft Intune、Microsoft Entra 和 Microsoft 365 添加和编辑用户帐户。

提示

Microsoft Entra用户管理员角色还提供足够的权限来向用户分配Intune和其他产品的许可证。 但是,许可证管理是一项只能在使用 Microsoft 365 管理中心时进行管理的任务。 有关详细信息,请参阅向用户分配Intune许可证

添加用户到 Intune

可以使用Intune管理中心手动将新用户帐户添加到Microsoft Entra ID,然后这些用户帐户将可用于订阅。 可以单独添加用户,还可以使用批量作在 csv 文件中定义多个用户时同时添加这些用户。

添加单个用户

以下过程步骤可用于将单个用户添加到Intune订阅。 有关创建新用户帐户的更完整回顾,请参阅Microsoft Entra文档中的如何创建、邀请和删除用户

  1. Intune管理中心,转到“用户”>“所有用户>”,选择“新建用户>创建新用户”。

  2. 在“ 基本信息 ”选项卡上,配置以下用户详细信息:

    • 用户主体名称 - UPN) (用户主体名称存储在 Microsoft Entra ID 中,用于访问Microsoft Entra、Microsoft 365 和Microsoft Intune等服务。
    • 邮件昵称 - 若要输入与用户主体名称不同的电子邮件昵称,请取消选中 “派生自用户主体名称 ”选项,然后输入邮件昵称。
    • 显示名称 – 用户名的显示方式。 例如,Chris Green 或 Chris A. Green。
    • 密码 - 为新用户添加密码,或选择自动生成密码。 系统会指示所有新用户在首次登录时创建新密码。
    • 已启用帐户 - 未启用帐户时,将阻止用户登录。 可以在创建帐户后更新此设置。

可以选择“ 查看 + 创建 ”以仅使用“基本”信息创建新的用户帐户,也可以选择“ 下一步:属性” 以完成其他但可选的配置。

  1. 在“ 属性 ”选项卡上,配置以下可选详细信息。 创建帐户时,未指定的值将保留为空,以后可以对其进行编辑。

    • 标识
      • 用户类型 - 选择 “成员” 或“ 来宾”。 这两种用户类型都是组织内部的。 成员通常是组织中的全职员工。 来宾在租户中具有帐户,但具有 来宾级特权
      • 授权信息 - 当用户使用基于证书的身份验证时,可以使用此字段添加最多五个证书用户 ID。 有关详细信息,请参阅映射到 Microsoft Entra ID 中的 certificateUserIds 属性
    • 作业信息:指定与作业相关的信息,例如用户的职务、部门或经理。
    • 联系信息:添加用户的联系信息。
    • 家长控制:对于 K-12 学区等组织,可能需要提供用户的年龄组。 未成年人 年龄在 12 岁及以下, 非成人 为 13-18 岁, 成人 为 18 岁及以上。 年龄组和家长选项提供的同意的组合决定了法定年龄组分类。 法律年龄组分类可能会限制用户的访问权限和权限。
    • 设置:可以使用 使用情况位置 来标识用户的全局位置。

    选择“ 查看 + 创建 ”或继续转到 “下一步:作业”。

  2. 在“分配”选项卡上,可以将用户分配到单个管理单元,并在创建帐户时最多分配 20 个组或Microsoft Entra角色。 还可以在创建用户后配置分配。

    提示

    某些选项可能无法根据Microsoft Entra中的帐户特权级别进行配置。 例如,如果仅分配了用户管理员角色,则可以将用户分配到组,但缺少分配管理单元或向用户分配Microsoft Entra角色的权限。 有关不同角色提供的权限的信息,请参阅Microsoft Entra内置角色

    将组分配给新用户

    1. 选择“ + 添加组”。
    2. 从显示的菜单中,从列表中选择最多 20 个组,然后选择“ 选择 ”按钮。
    3. 选择“ 查看 + 创建 ”按钮。

    若要将Microsoft Entra角色分配给新用户,请执行以下作
    当用户需要在 Entra 中拥有权限时,可以使用此选项为他们分配合适的角色。 若要将 Entra 角色分配给其他帐户,帐户的权限必须等于 Microsoft Entra 特权角色管理员

    提示

    添加到 Intune 的大多数用户不需要Microsoft Entra角色分配。 相反,对于仅管理Intune的用户,计划在创建帐户后向其分配Intune RBAC 角色

    1. 选择“ + 添加角色”。
    2. 从显示的菜单中,从列表中选择最多 20 个角色,然后选择“ 选择 ”按钮。
    3. 选择“ 查看 + 创建 ”按钮。

    向新用户添加管理单元
    添加到Intune的大多数用户从不需要管理单元 (OU) ,Microsoft Entra ID,这是委派对组织中用户、组或设备的子集的管理控制的强大方式。

    相反,在Intune可以使用范围标记和范围组。

    若要向用户分配管理单元,帐户的权限必须等于 Entra Privileged Role Administrator

    1. 选择“ + 添加管理单元”。
    2. 从显示的菜单中,选择一个管理单元,然后选择 “选择 ”按钮。
    3. 选择“ 查看 + 创建”。

  3. 在“ 审阅 + 创建 ”选项卡上,查看详细信息,确保信息正确且详细信息已通过验证。 查看详细信息,如果一切正常,请选择“ 创建 ”按钮。

注意

还可以邀请来宾用户加入Intune租户。 有关详细信息,请参阅在Microsoft Entra 管理中心中添加Microsoft Entra B2B 协作用户

添加多个用户

可以通过上传包含用户完整列表的 csv 文件批量添加Intune用户。 csv 文件是可在记事本或 Excel 中编辑的逗号分隔值列表。

若要向Intune添加多个用户,请执行以下作

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “用户>”“所有用户>”“批量作>”“批量创建”。 将显示 “批量创建用户 ”窗格,其中提供了一个选项来 下载 可以使用的 CVS 模板。
  3. CVS 模板准备就绪后,使用浏览功能查找并上传文件。 选择“ 提交 ”开始导入。

有关使用 csv 文件添加Intune用户的详细信息,请参阅在 Microsoft Entra ID 中批量创建用户

注意

还可以邀请多个来宾用户加入Intune租户。 有关详细信息,请参阅教程:批量邀请Microsoft Entra B2B 协作用户

同步 Active Directory 并将用户添加到 Intune

可以将目录同步配置为将用户帐户从本地 Active Directory导入到包含Intune用户的Microsoft Entra。 将本地 Active Directory服务与所有基于Entra ID的服务连接起来,可以更轻松地管理用户标识。 还可以配置单一登录功能,使用户的身份验证体验熟悉且简单。 将同一 Entra 租户 链接到多个服务时,以前同步的用户帐户可用于所有基于云的服务。

请确保 Active Directory 管理员有权访问 Entra 订阅,并经过培训以完成常见的 Active Directory 和Microsoft Entra任务。

如何将本地用户与Microsoft Entra ID同步

  • 若要将现有用户从本地 Active Directory移动到Entra ID,可以设置混合标识。 混合标识存在于服务中 - 本地 Active Directory和Microsoft Entra ID。
  • 还可以使用 UI 或通过脚本导出 Active Directory 用户。 Internet 搜索可以帮助你找到最适合你的组织的选项。
  • 若要将用户帐户与Entra ID同步,请使用 Microsoft Entra Connect 向导Microsoft Entra Connect 向导提供了一种简化且引导式的体验,用于将本地标识基础结构连接到云。 选择拓扑和需求(单个目录或多个目录、密码哈希同步、传递身份验证或联合身份验证)。 向导将部署和配置所有必需组件,以使连接正常运行。 包括:同步服务、Active Directory 联合身份验证服务 (AD FS) 和 Microsoft Graph PowerShell 模块。

提示

Microsoft Entra Connect 包含以前作为 DirsyncAzure AD Sync 发布的功能。详细了解目录集成。 若要了解如何将用户帐户从本地目录同步到Entra ID,请参阅 Active Directory 与 Microsoft Entra ID 之间的相似性

删除用户

用户离开组织后,可以使用 Intune 管理中心将其从Microsoft Entra中删除,这也会将他们从Intune中删除。 还可以使用 批量作删除多个用户。

若要从 Entra 中删除用户,管理帐户的权限必须等于 Microsoft Entra 用户管理员角色。

从Intune中删除单个用户

  1. 登录到 Microsoft Intune 管理中心
  2. 浏览到 “用户>”“所有用户”。
  3. 选择要删除的用户。
  4. 选择“删除”。

若要从Intune中删除多个用户,请执行以下作

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “用户>”“所有用户>”“批量作>”“批量删除”。 将显示 “批量删除用户 ”窗格,该窗格提供了一个选项来 下载 可以使用的 CVS 模板。
  3. CVS 模板准备就绪后,使用浏览功能查找并上传文件。 选择“ 提交 ”开始删除。

有关相关信息,请参阅批量删除Microsoft Entra ID中的用户

提示

作为具有管理用户帐户的足够权限的用户,某些帐户可能无法删除。 无法删除特定帐户的原因包括:

  • 从本地 Active Directory同步的帐户。
  • 分配有比帐户更高特权 Entra 角色的帐户。
  • 使用 Intune 管理中心时,当前Intune范围组之外的帐户。

相关内容