Добавление пользователей в Microsoft Intune и управление ими

Microsoft Entra идентификатор, который входит в состав Microsoft Entra, — это служба удостоверений для Microsoft Intune. Это означает, что учетные записи пользователей, которые вы видите в Intune, существуют в Microsoft Entra. Как администратор с достаточными разрешениями на управление доступом на основе ролей (RBAC) в Microsoft Entra, вы можете использовать Центр администрирования Intune для управления Microsoft Entra учетной записью пользователя. Эти же разрешения Entra также позволяют администратору управлять пользователями из Центр администрирования Microsoft 365 или непосредственно через Центр администрирования Microsoft Entra.

Intune также поддерживает использование учетных записей пользователей, которые синхронизируются из Active Directory с любой облачной службой, которая предоставляет общий доступ к клиенту Intune и вашему клиенту Entra.

После добавления или синхронизации пользователя в Entra и назначения лицензии Intune этот пользователь может зарегистрировать устройства в Intune и начать доступ к ресурсам компании. Администраторы Intune также могут назначать роли и разрешения Intune RBAC для непредназначаемых групп пользователей, чтобы эти пользователи могли управлять подпиской Intune.

Оставшаяся часть этой статьи посвящена использованию Центра администрирования Intune для управления учетными записями пользователей.

• Сведения об использовании Центра администрирования Microsoft Entra для управления пользователями см. в статье Создание, приглашение и удаление пользователей в документации по Microsoft Entra.
• Сведения об использовании Центр администрирования Microsoft 365 для управления пользователями см. в статьях Добавление пользователей и Добавление нескольких пользователей в документации по Microsoft 365.

Управление доступом на основе ролей для управления учетными записями пользователей

Прежде чем вы сможете использовать Центр администрирования Intune для управления пользователями, ваша учетная запись должна иметь разрешения RBAC в Microsoft Entra для управления учетными записями пользователей. Microsoft Entra разрешения требуются, так как Intune RBAC является подмножеством Entra RBAC. В качестве подмножества разрешений RBAC только для Intune недостаточно для управления учетными записями в Microsoft Entra. Однако существуют некоторые Microsoft Entra роли, которые включают разрешения в Intune.

При работе с RBAC корпорация Майкрософт рекомендует следовать принципу минимальных разрешений, используя только учетные записи с минимальными необходимыми разрешениями для задачи, а также ограничить использование и назначение привилегированных административных ролей, таких как администратор Intune.

Следующая Microsoft Entra встроенная роль RBAC является встроенной ролью с наименьшими привилегиями, которая включает достаточные разрешения для добавления учетных записей пользователей и управления ими:

• Администратор пользователей — эта роль предоставляет разрешения, достаточные для добавления и изменения учетных записей пользователей в центрах администрирования для Microsoft Intune, Microsoft Entra и Microsoft 365.

Добавление пользователей в Intune

Вы можете использовать Центр администрирования Intune, чтобы вручную добавить новые учетные записи пользователей в идентификатор Microsoft Entra, где они будут доступны вашей подписке. Вы можете добавлять пользователей по отдельности, а также использовать массовую операцию для одновременного добавления нескольких пользователей, если они определены в CSV-файле.

Добавление отдельных клиентов

Следующие процедурные действия можно использовать для добавления отдельных пользователей в подписку Intune. Более полный обзор создания учетных записей пользователей см. в статье Создание, приглашение и удаление пользователей в документации по Microsoft Entra.

1. В Центре администрирования Intune перейдите в раздел ПользователиВсе пользователи>> выберите Новый пользователь>Создать пользователя.

2. На вкладке Основные сведения настройте следующие сведения о пользователе:

   • Имя участника-пользователя. Имя участника-пользователя (UPN) хранится в Microsoft Entra идентификаторе и используется для доступа к службам, включая Microsoft Entra, Microsoft 365 и Microsoft Intune.
   • Почтовый псевдоним . Чтобы ввести псевдоним электронной почты, отличный от имени участника-пользователя, снимите флажок Получить от имени участника-пользователя , а затем введите псевдоним почты.
   • Отображаемое имя — отображение имени пользователя. Например, Крис Грин или Крис А. Грин.
   • Пароль . Добавьте пароль для нового пользователя или выберите его автоматическое создание. Все новые пользователи должны создать новый пароль при первом входе.
   • Учетная запись включена . Если учетная запись не включена, вход пользователя блокируется. Этот параметр можно обновить после создания учетной записи.

   Вы можете выбрать Просмотр и создание , чтобы создать учетную запись пользователя, используя только основные сведения, или выбрать Далее: свойства , чтобы завершить дополнительные, но необязательные конфигурации.

3. На вкладке Свойства настройте следующие сведения, которые являются необязательными. Значения, которые не указаны, остаются пустыми при создании учетной записи и могут быть изменены позже.

   • Удостоверение:
     • Имя
     • Фамилия
     • Тип пользователя — выберите Элемент или Гость. Оба типа пользователей являются внутренними для вашей организации. Участники обычно являются штатными сотрудниками в вашей организации. Гости имеют учетную запись в вашем клиенте, но имеют права гостевого уровня.
     • Сведения об авторизации . При использовании проверки подлинности на основе сертификатов для пользователей это поле можно использовать для добавления до пяти идентификаторов пользователей сертификатов. Дополнительные сведения см. в разделе Сопоставление с атрибутом certificateUserIds в Microsoft Entra id.
   • Сведения о задании. Укажите сведения, связанные с заданием, например должность пользователя, отдел или руководитель.
   • Контактные данные. Добавьте контактные данные пользователя.
   • Родительский контроль. Для таких организаций, как школьные округа K-12, может потребоваться предоставить возрастную группу пользователя. Несовершеннолетние 12 лет и младше, не взрослые 13-18 лет, а взрослые 18 лет и старше. Сочетание возрастной группы и согласия, предоставляемого вариантами родителей, определяет категорию возрастных групп по юридическим параметрам. Классификация по юридическим возрастным группам может ограничить доступ и полномочия пользователя.
   • Параметры. Расположение использования можно использовать для определения глобального расположения пользователя.

   Выберите Просмотр и создание или перейдите к следующему: назначения.

4. На вкладке Назначения можно назначить пользователя одной административной единице, а также до 20 групп или Microsoft Entra ролей на момент создания учетной записи. Вы также можете настроить назначения после создания пользователя.

   Совет

   Некоторые параметры могут быть недоступны для настройки в зависимости от уровня привилегий учетных записей в Microsoft Entra. Например, если вам назначена только роль администратора пользователей, вы можете назначить пользователей группам, но у вас нет прав на назначение административной единицы или назначение пользователю роли Microsoft Entra. Сведения о разрешениях, предоставляемых разными ролями, см. в разделе Microsoft Entra встроенных ролей.

   Чтобы назначить группу новому пользователю, выполните следующие действия:

   1. Выберите + Добавить группу.
   2. В появившемся меню выберите до 20 групп из списка и нажмите кнопку Выбрать .
   3. Нажмите кнопку Проверить + создание .

   Назначение роли Microsoft Entra новому пользователю. Если пользователю требуются разрешения в Entra, можно использовать этот параметр, чтобы назначить ему подходящую роль. Чтобы назначить роли Entra другим учетным записям, ваша учетная запись должна иметь разрешения, равные администратору привилегированных ролей Microsoft Entra.

   Совет

   Большинству пользователей, добавленных в Intune, не требуется назначение Microsoft Entra ролей. Вместо этого для пользователей, которые управляют только Intune, планируйте назначить им роль Intune RBAC после создания учетной записи.

   1. Выберите + Добавить роль.
   2. В появившемся меню выберите до 20 ролей в списке и нажмите кнопку Выбрать .
   3. Нажмите кнопку Проверить и создать .

   Чтобы добавить административную единицу для нового пользователя: большинству пользователей, добавляемых в Intune, никогда не потребуются административные единицы (AU), которые в Microsoft Entra идентификатор является эффективным способом делегировать административный контроль над подмножеством пользователей, групп или устройств в организации.

   Вместо этого в Intune можно использовать область теги и группы область.

   Чтобы назначить административную единицу пользователю, ваша учетная запись должна иметь разрешения, равные администратору привилегированных ролей Entra.

   1. Выберите + Добавить административную единицу.
   2. В появившемся меню выберите одну административную единицу и нажмите кнопку Выбрать .
   3. Выберите Просмотр и создание.

5. На вкладке Рецензирование и создание просмотрите сведения, чтобы убедиться, что информация является правильной, а сведения прошли проверку. Просмотрите сведения и нажмите кнопку Создать , если все выглядит хорошо.

Добавление нескольких пользователей

Вы можете массово добавлять пользователей Intune, отправив CSV-файл, содержащий полный список пользователей. CSV-файл представляет собой разделенный запятыми список значений, который можно изменить в Блокноте или Excel.

Чтобы добавить несколько пользователей в Intune, выполните приведенные далее действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Пользователи>Все пользователи>Массовые операции>Массовое создание. Откроется панель Массовое создание пользователей , в которой можно скачать шаблон CSV, который можно использовать.

3. Когда шаблон CSV будет готов, используйте функцию обзора, чтобы найти и отправить файл. Нажмите кнопку Отправить , чтобы начать импорт.

   Дополнительные сведения об использовании CSV-файла для добавления пользователей Intune см. в статье Массовое создание пользователей в Microsoft Entra идентификаторе.

Синхронизация Active Directory и добавление пользователей в Intune

Синхронизацию каталогов можно настроить для импорта учетных записей пользователей из локальная служба Active Directory в Microsoft Entra, включая пользователей Intune. Подключение службы локальная служба Active Directory ко всем службам на основе Entra ID упрощает управление удостоверениями пользователей. Можно также настроить единый вход, чтобы взаимодействие с пользователями при проверке подлинности происходило просто и привычно. При связывании одного клиента Entra с несколькими службами учетные записи пользователей, которые вы ранее синхронизировали, становятся доступными для всех облачных служб.

Убедитесь, что администраторы Active Directory имеют доступ к вашей подписке Entra и обучены выполнению общих задач Active Directory и Microsoft Entra.

Синхронизация локальных пользователей с идентификатором Microsoft Entra

• Чтобы переместить существующих пользователей из локальная служба Active Directory в Entra ID, можно настроить гибридное удостоверение. Гибридные удостоверения существуют в обеих службах : локальная служба Active Directory и идентификатор Microsoft Entra.
• Вы также можете экспортировать пользователей Active Directory с помощью пользовательского интерфейса или скрипта. Поиск в Интернете поможет вам найти оптимальный вариант для вашей организации.
• Чтобы синхронизировать учетные записи пользователей с Entra ID, используйте мастер подключения Microsoft Entra. Мастер Microsoft Entra Connect предоставляет упрощенный и интерактивный интерфейс для подключения локальной инфраструктуры удостоверений к облаку. Выберите топологию и требования (один или несколько каталогов, синхронизация хэша паролей, сквозная проверка подлинности или федерация). Мастер развернет и настроит все компоненты, необходимые для работы вашего подключения. В том числе: службы синхронизации, службы федерации Active Directory (AD FS) (AD FS) и модуль Microsoft Graph PowerShell.

Удаление пользователей

После того как пользователь покинет вашу организацию, вы можете использовать Центр администрирования Intune, чтобы удалить его из Microsoft Entra, который также удаляет их из Intune. Вы также можете удалить несколько пользователей с помощью массовых операций.

Чтобы удалить пользователей из Entra, учетная запись администратора должна иметь разрешения, равные Microsoft Entra роли администратора пользователей.

Чтобы удалить отдельного пользователя из Intune, выполните приведенные далее действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Пользователи>Все пользователи.
3. Выберите пользователя, которого нужно удалить.
4. Выберите Удалить.

Чтобы удалить несколько пользователей из Intune, выполните приведенные далее действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Пользователи>Все пользователи>Массовые операции>Массовое удаление. Откроется панель Массовое удаление пользователей , в которой можно скачать шаблон CSV, который можно использовать.

3. Когда шаблон CSV будет готов, используйте функцию обзора, чтобы найти и отправить файл. Нажмите кнопку Отправить , чтобы начать удаление.

   Дополнительные сведения см. в разделе Массовое удаление пользователей в Microsoft Entra идентификаторе.

• какие ресурсы они могут менять.

• Учетные записи, которые не входят в текущую группу Intune, область при использовании Центра администрирования Intune.

Связанные материалы

• Добавление групп для организации пользователей и устройств
• Назначение лицензий для пользователей Intune