Поделиться через

Добавление пользователей для Microsoft Intune и управление ими

Microsoft Entra ID, часть Microsoft Entra, — это служба удостоверений для Microsoft Intune что означает, что учетные записи пользователей, которые отображаются в Intune, существуют в Microsoft Entra. Как администратор с достаточными разрешениями на управление доступом на основе ролей (RBAC) в Microsoft Entra, вы можете использовать центр администрирования Intune для управления Microsoft Entra учетной записью пользователя. Эти же разрешения Entra также позволяют администратору управлять пользователями из Центр администрирования Microsoft 365 или напрямую через Центр администрирования Microsoft Entra.

Intune также поддерживает использование учетных записей пользователей, которые синхронизируются из Active Directory с любой облачной службой, которая предоставляет общий доступ к клиенту с Intune и клиентом Entra.

После добавления или синхронизации пользователя в Entra и назначения лицензии Intune этот пользователь может зарегистрировать устройства с Intune и начать доступ к ресурсам компании. Intune администраторы также могут назначать Intune ролей и разрешений RBAC для непредуберегаемых групп пользователей, чтобы эти пользователи могли управлять подпиской Intune.

Оставшаяся часть этой статьи посвящена использованию центра администрирования Intune для управления учетными записями пользователей.

Управление доступом на основе ролей для управления учетными записями пользователей

Прежде чем вы сможете использовать центр администрирования Intune для управления пользователями, ваша учетная запись должна иметь разрешения RBAC в Microsoft Entra для управления учетными записями пользователей. Microsoft Entra разрешения требуются, так как Intune RBAC является подмножеством Entra RBAC. В качестве подмножества Intune разрешений RBAC недостаточно для управления учетными записями в Microsoft Entra. Однако существуют некоторые Microsoft Entra роли, которые включают разрешения в Intune.

При работе с RBAC корпорация Майкрософт рекомендует следовать принципу минимальных разрешений, используя только учетные записи с минимальными необходимыми разрешениями для задачи, а также ограничить использование и назначение привилегированных административных ролей, таких как администратор Intune.

Следующая Microsoft Entra встроенная роль RBAC является встроенной ролью с наименьшими привилегиями, которая включает достаточные разрешения для добавления учетных записей пользователей и управления ими:

  • Администратор пользователей — эта роль предоставляет разрешения, достаточные для добавления и изменения учетных записей пользователей в центрах администрирования для Microsoft Intune, Microsoft Entra и Microsoft 365.

Совет

Роль администратора пользователей Microsoft Entra также предоставляет достаточные разрешения для назначения лицензий Intune и других продуктов пользователям. Однако управление лицензиями — это задача, которая может управляться только при использовании Центр администрирования Microsoft 365. Дополнительные сведения см. в разделе Назначение Intune лицензий пользователям.

Добавление пользователей в Intune

Вы можете использовать Центр администрирования Intune, чтобы вручную добавить новые учетные записи пользователей в Microsoft Entra ID, где они будут доступны вашей подписке. Вы можете добавлять пользователей по отдельности, а также использовать массовую операцию для одновременного добавления нескольких пользователей, если они определены в CSV-файле.

Добавление отдельных клиентов

Для добавления отдельных пользователей в подписку Intune можно использовать следующие процедурные действия. Более полный обзор создания учетных записей пользователей см. в статье Создание, приглашение и удаление пользователей в документации по Microsoft Entra.

  1. В центре администрирования Intune выберите ПользователиВсе пользователи>> выберите Создать пользователя>Создать пользователя.

  2. На вкладке Основные сведения настройте следующие сведения о пользователе:

    • Имя участника-пользователя. Имя участника-пользователя (UPN) хранится в Microsoft Entra ID и используется для доступа к службам, включая Microsoft Entra, Microsoft 365 и Microsoft Intune.
    • Почтовый псевдоним . Чтобы ввести псевдоним электронной почты, отличный от имени участника-пользователя, снимите флажок Получить от имени участника-пользователя , а затем введите псевдоним почты.
    • Отображаемое имя — отображение имени пользователя. Например, Крис Грин или Крис А. Грин.
    • Пароль . Добавьте пароль для нового пользователя или выберите его автоматическое создание. Все новые пользователи должны создать новый пароль при первом входе.
    • Учетная запись включена . Если учетная запись не включена, вход пользователя блокируется. Этот параметр можно обновить после создания учетной записи.

Вы можете выбрать Просмотр и создание , чтобы создать учетную запись пользователя, используя только основные сведения, или выбрать Далее: свойства , чтобы завершить дополнительные, но необязательные конфигурации.

  1. На вкладке Свойства настройте следующие сведения, которые являются необязательными. Значения, которые не указаны, остаются пустыми при создании учетной записи и могут быть изменены позже.

    • Удостоверение:
      • Имя
      • Фамилия
      • Тип пользователя — выберите Элемент или Гость. Оба типа пользователей являются внутренними для вашей организации. Участники обычно являются штатными сотрудниками в вашей организации. Гости имеют учетную запись в вашем клиенте, но имеют права гостевого уровня.
      • Сведения об авторизации . При использовании проверки подлинности на основе сертификатов для пользователей это поле можно использовать для добавления до пяти идентификаторов пользователей сертификатов. Дополнительные сведения см. в разделе Сопоставление с атрибутом certificateUserIds в Microsoft Entra ID.
    • Сведения о задании. Укажите сведения, связанные с заданием, например должность пользователя, отдел или руководитель.
    • Контактные данные. Добавьте контактные данные пользователя.
    • Родительский контроль. Для таких организаций, как школьные округа K-12, может потребоваться предоставить возрастную группу пользователя. Несовершеннолетние 12 лет и младше, не взрослые 13-18 лет, а взрослые 18 лет и старше. Сочетание возрастной группы и согласия, предоставляемого вариантами родителей, определяет категорию возрастных групп по юридическим параметрам. Классификация по юридическим возрастным группам может ограничить доступ и полномочия пользователя.
    • Параметры. Расположение использования можно использовать для определения глобального расположения пользователя.

    Выберите Просмотр и создание или перейдите к следующему: назначения.

  2. На вкладке Назначения можно назначить пользователя одной административной единице, а также до 20 групп или Microsoft Entra ролей на момент создания учетной записи. Вы также можете настроить назначения после создания пользователя.

    Совет

    Некоторые параметры могут быть недоступны для настройки в зависимости от уровня привилегий учетных записей в Microsoft Entra. Например, если вам назначена только роль администратора пользователей, вы можете назначить пользователей группам, но у вас нет прав на назначение административной единицы или назначение пользователю роли Microsoft Entra. Сведения о разрешениях, предоставляемых разными ролями, см. в разделе Microsoft Entra встроенных ролей.

    Чтобы назначить группу новому пользователю, выполните следующие действия:

    1. Выберите + Добавить группу.
    2. В появившемся меню выберите до 20 групп из списка и нажмите кнопку Выбрать .
    3. Нажмите кнопку Проверить + создание .

    Чтобы назначить роль Microsoft Entra новому пользователю, выполните следующие действия:
    Если пользователю требуются разрешения в Entra, можно использовать этот параметр, чтобы назначить ему подходящую роль. Чтобы назначить роли Entra другим учетным записям, ваша учетная запись должна иметь разрешения, равные администратору привилегированных ролей Microsoft Entra.

    Совет

    Большинству пользователей, добавленных в Intune, не требуется назначение Microsoft Entra ролей. Вместо этого для пользователей, которые управляют только Intune, планируйте назначение им роли Intune RBAC после создания учетной записи.

    1. Выберите + Добавить роль.
    2. В появившемся меню выберите до 20 ролей в списке и нажмите кнопку Выбрать .
    3. Нажмите кнопку Проверить и создать .

    Чтобы добавить административную единицу для нового пользователя, выполните следующие действия:
    Большинству пользователей, добавляемых в Intune, никогда не потребуются административные единицы (AU), что в Microsoft Entra ID является эффективным способом делегировать административный контроль над подмножеством пользователей, групп или устройств в организации.

    Вместо этого в Intune можно использовать область теги и группы область.

    Чтобы назначить административную единицу пользователю, ваша учетная запись должна иметь разрешения, равные администратору привилегированных ролей Entra.

    1. Выберите + Добавить административную единицу.
    2. В появившемся меню выберите одну административную единицу и нажмите кнопку Выбрать .
    3. Выберите Просмотр и создание.

  3. На вкладке Рецензирование и создание просмотрите сведения, чтобы убедиться, что информация является правильной, а сведения прошли проверку. Просмотрите сведения и нажмите кнопку Создать , если все выглядит хорошо.

Примечание.

Вы также можете пригласить гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Добавление Microsoft Entra пользователей службы совместной работы B2B в Центр администрирования Microsoft Entra.

Добавление нескольких пользователей

Вы можете массово добавлять Intune пользователей, отправив CSV-файл, содержащий полный список пользователей. CSV-файл представляет собой разделенный запятыми список значений, который можно изменить в Блокноте или Excel.

Добавление нескольких пользователей в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в раздел Пользователи>Все пользователи>Массовые операции>Массовое создание. Откроется панель Массовое создание пользователей , которая предоставляет возможность скачать шаблон CVS, который можно использовать.
  3. Когда шаблон CVS будет готов, используйте функцию обзора, чтобы найти и отправить файл. Нажмите кнопку Отправить , чтобы начать импорт.

Дополнительные сведения об использовании CSV-файла для добавления Intune пользователей см. в статье Массовое создание пользователей в Microsoft Entra ID.

Примечание.

Вы также можете пригласить нескольких гостевых пользователей в клиент Intune. Дополнительные сведения см. в статье Руководство по массовому приглашению Microsoft Entra пользователей службы совместной работы B2B.

Синхронизация Active Directory и добавление пользователей в Intune

Синхронизацию каталогов можно настроить для импорта учетных записей пользователей из локальная служба Active Directory в Microsoft Entra, включая Intune пользователей. Подключение службы локальная служба Active Directory ко всем службам на основе Entra ID упрощает управление удостоверениями пользователей. Можно также настроить единый вход, чтобы взаимодействие с пользователями при проверке подлинности происходило просто и привычно. При связывании одного клиента Entra с несколькими службами учетные записи пользователей, которые вы ранее синхронизировали, становятся доступными для всех облачных служб.

Убедитесь, что администраторы Active Directory имеют доступ к вашей подписке Entra и обучены выполнению общих задач Active Directory и Microsoft Entra.

Синхронизация локальных пользователей с Microsoft Entra ID

  • Чтобы переместить существующих пользователей из локальная служба Active Directory в Entra ID, можно настроить гибридное удостоверение. Гибридные удостоверения существуют в обеих службах — локальная служба Active Directory и Microsoft Entra ID.
  • Вы также можете экспортировать пользователей Active Directory с помощью пользовательского интерфейса или скрипта. Поиск в Интернете поможет вам найти оптимальный вариант для вашей организации.
  • Чтобы синхронизировать учетные записи пользователей с Entra ID, используйте мастер подключения Microsoft Entra. Мастер Microsoft Entra Connect предоставляет упрощенный и интерактивный интерфейс для подключения локальной инфраструктуры удостоверений к облаку. Выберите топологию и требования (один или несколько каталогов, синхронизация хэша паролей, сквозная проверка подлинности или федерация). Мастер развернет и настроит все компоненты, необходимые для работы вашего подключения. В том числе: службы синхронизации, службы федерации Active Directory (AD FS) (AD FS) и модуль Microsoft Graph PowerShell.

Совет

Microsoft Entra Connect включает функции, которые ранее были выпущены как Dirsync и Azure AD Sync. Дополнительные сведения об интеграции каталогов. Сведения о синхронизации учетных записей пользователей из локального каталога с Entra ID см. в статье Сходство между Active Directory и Microsoft Entra ID.

Удаление пользователей

После того как пользователь покинет вашу организацию, вы можете использовать Центр администрирования Intune, чтобы удалить его из Microsoft Entra, который также удаляет их из Intune. Вы также можете удалить несколько пользователей с помощью массовых операций.

Чтобы удалить пользователей из Entra, учетная запись администратора должна иметь разрешения, равные Microsoft Entra роли администратора пользователей.

Чтобы удалить отдельного пользователя из Intune:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Пользователи>Все пользователи.
  3. Выберите пользователя, которого нужно удалить.
  4. Выберите Удалить.

Чтобы удалить несколько пользователей из Intune, выполните приведенные далее действия.

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в раздел Пользователи>Все пользователи>Массовые операции>Массовое удаление. Откроется панель Массовое удаление пользователей , которая предоставляет возможность скачать шаблон CVS, который можно использовать.
  3. Когда шаблон CVS будет готов, используйте функцию обзора, чтобы найти и отправить файл. Нажмите кнопку Отправить , чтобы начать удаление.

Дополнительные сведения см. в разделе Массовое удаление пользователей в Microsoft Entra ID.

Совет

Как пользователь с достаточными разрешениями для управления учетными записями пользователей, некоторые учетные записи, возможно, не удастся удалить. Причины, по которым не удается удалить определенную учетную запись, могут быть следующими:

  • Учетные записи, синхронизированные из локальная служба Active Directory.
  • Учетным записям, которым назначена роль Entra с более высоким уровнем привилегий, чем вашей учетной записи.
  • Учетные записи, находящиеся за пределами текущей группы Intune область при использовании Центра администрирования Intune.

Связанные материалы