如何创建、邀请和删除用户

Microsoft Entra ID 允许你在租户中创建多种类型的用户,从而在管理组织用户的方式上具有更大的灵活性。

本文介绍了如何在租户中创建新用户、邀请外部来宾和删除用户。

注意

若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

先决条件

最低特权所需的角色因要添加的用户类型以及是否需要同时分配 Microsoft Entra 角色而异。 全局管理员可以创建用户并分配角色,但应尽可能使用最低特权角色。

任务 角色
创建新用户 用户管理员
邀请外部来宾 来宾邀请者
分配 Microsoft Entra 角色 特权角色管理员

用户类型

在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 租户中的访问权限。 例如,是需要创建内部来宾、内部用户还是外部来宾? 新用户是否需要来宾或成员特权?

  • 内部成员:这些用户很可能是组织中的全职员工。
  • 内部来宾:这些用户在租户中拥有帐户,但具有来宾级别特权。 这些用户可能是在 B2B 协作可用之前在租户中创建的。
  • 外部成员:这些用户使用外部帐户进行身份验证,但对租户具有成员访问权限。 这些类型的用户在多租户组织中是常见的。
  • 外部来宾:这些用户是租户的真正来宾,他们使用外部方法进行身份验证且具有来宾级别特权。

有关内部和外部来宾及成员之间的差异的详细信息,请参阅 B2B 协作属性

身份验证方法因所创建用户的类型而异。 内部来宾和成员在 Microsoft Entra 租户中具有可由管理员管理的凭据。 这些用户还可以重置自己的密码。 外部成员向其主 Microsoft Entra 租户进行身份验证,Microsoft Entra 租户则通过与外部成员的 Microsoft Entra 租户联合登录对用户进行身份验证。 如果外部成员忘记了密码,其 Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。

查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅设置默认用户权限

创建新用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

    Screenshot of the All users page in Microsoft Entra ID.

  3. 选择“新建用户”>“创建新用户”。

    Screenshot of the create new user menu in Microsoft Entra ID.

  4. 完成“新建用户”页中的剩余选项卡。

基础

基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前,请查看有关用户名属性的指导

  • 用户主体名称:输入唯一用户名,然后从菜单中的 @ 符号后选择一个域。 如果需要创建新域,请选择“未列出的域”。 有关详细信息,请参阅添加自定义域名
  • 邮件昵称:如果需要输入与已输入的用户主体名称不同的电子邮件昵称,请取消选中“从用户主体名称派生”选项,然后输入邮件昵称。
  • 显示名称:输入用户的姓名,例如 Chris Green 或 Chris A. Green
  • 密码:为用户提供在初始登录期间使用的密码。 取消选中“自动生成密码”选项以输入不同的密码。
  • 已启用帐户:默认情况下选中此选项。 取消选中可阻止新用户登录。 可以在创建用户后更改此设置。 此设置称为在旧版创建用户过程中称为阻止登录

选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

Screenshot of the create new user Basics tab.

选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

属性

可以提供六个类别的用户属性。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到“标识>用户>所有用户”,然后选择要更新的用户。

  • 标识:输入用户的名和姓。 将“用户类型”设置为“成员”或“来宾”。
  • 工作信息:添加与工作相关的任何信息(如用户的职务、部门或经理)。
  • 联系人信息:为用户添加任何相关的联系人信息。
  • 家长控制:对于 K-12 学区之类的组织,可能需要提供用户的年龄组。 少年人是指 12 岁及以下,未成年人是指 13-18 岁,成人是指 18 岁及以上。 父母选项提供的年龄组和同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问和授权。
  • 设置:指定用户的全局位置。

选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。

分配

创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 可以在创建用户后添加分配。

要向新用户分配组,请执行以下操作

  1. 选择“添加组”。

  2. 在显示的菜单中,从列表中选择最多 20 个组,然后选择“选择”按钮。

  3. 选择“查看 + 创建”按钮。

    Screenshot of the add group assignment process.

要向新用户分配角色,请执行以下操作

  1. 选择“+ 添加角色”。
  2. 在显示的菜单中,从列表中选择最多 20 个角色,然后选择“选择”按钮。
  3. 选择“查看 + 创建”按钮。

要向新用户添加管理单元,请执行以下操作

  1. 选择“+ 添加管理单元”。
  2. 在显示的菜单中,从列表中选择一个管理单元,然后选择“选择”按钮。
  3. 选择“查看 + 创建”按钮。

查看 + 创建

最后一个选项卡会捕获用户创建过程中的几个关键详细信息。 查看详细信息,如果一切正常,请选择“创建”按钮。

邀请外部用户

除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择“新建用户”>“邀请外部用户”。

    Screenshot of the invite external user menu option.

  4. 完成“新建用户”页中的剩余选项卡(如下所示)。

外部用户的基本信息

在本部分中,你将使用来宾的电子邮件地址邀请来宾加入租户。 如果需要使用域帐户创建来宾用户,请使用创建新用户过程,但需将“用户类型”更改为“来宾”。

  • 电子邮件:输入所邀请来宾用户的电子邮件地址。
  • 显示名称:提供显示名称。
  • 邀请电子邮件:选中“发送邀请电子邮件”复选框可自定义要发给来宾的简短电子邮件。 如有必要,请提供抄送收件人。

Screenshot of the invite external user Basics tab.

来宾用户邀请

通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。

  1. 浏览到“标识”>“用户”>“所有用户”。
  2. 选择受邀的来宾用户。
  3. 在“我的源”部分中,找到“B2B 协作”磁贴。
    • 如果邀请状态为“PendingAcceptance”,请选择“重新发送邀请”链接以发送另一封电子邮件。
    • 还可以选择用户的“属性”并查看“邀请状态”。

Screenshot of the user details with the invitation status options highlighted.

添加其他用户

某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。

若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅将本地目录与 Microsoft Entra ID 进行集成

删除用户

可以使用 Microsoft Entra 管理中心删除现有用户。

  • 必须具有“全局管理员”、“特权身份验证管理员”或“用户管理员”角色分配,才能删除组织中的用户。
  • 全局管理员和特权身份验证管理员可以删除任何用户,包括其他管理员。
  • 用户管理员可以删除任何非管理员用户、帮助台管理员和其他用户管理员。
  • 有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限

若要删除用户,请执行以下步骤:

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 搜索并选择要删除的用户。

  4. 选择“删除用户” 。

    Screenshot of the All users page with a user selected and the Delete button highlighted.

该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户

删除某个用户后,该用户使用的任何许可证可供其他用户使用。

注意

若要更新其授权来源为 Windows Server Active Directory 的用户的标识、联系信息或工作信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。

后续步骤