管理你的 Azure Active Directory B2C 租户

在 Azure Active Directory B2C (Azure AD B2C) 中,租户表示使用者用户的目录。 每个 Azure AD B2C 租户都是独特的,独立于任何其他 Azure AD B2C 租户。 Azure AD B2C 租户不同于你可能已有的 Azure Active Directory (Azure AD) 租户。 本文介绍如何管理你的 Azure AD B2C 租户。

先决条件

添加管理员(工作帐户)

若要创建新的管理帐户,请执行以下步骤:

  1. 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户

  2. 请确保使用的是包含 Azure AD B2C 租户的目录。 在门户工具栏中选择“目录 + 订阅”图标。

  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。

  4. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  5. 在“管理”下,选择“用户” 。

  6. 选择“新建用户”。

  7. 选择“创建用户”(可以通过选择“我想要批量创建用户”一次创建多个用户)。

  8. 在“用户”页上输入此用户的信息:

    • 用户名。 “必需”。 新用户的用户名。 例如,mary@contoso.com。 用户名的域部分必须使用初始默认域名 <tenant name>.partner.onmschina.cn。
    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户的 Azure AD 管理权限,则可以将其添加到 Azure AD 角色。 可以将用户分配为全局管理员,或者分配为 Azure AD 中有限的管理员角色中的一个或多个。 有关分配角色的详细信息,请参阅使用角色控制资源访问
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  9. 复制“密码”框中提供的自动生成的密码。 需将此密码提供给用户,供其在首次登录时使用。

  10. 选择“创建” 。

现已创建用户并将其添加到 Azure AD B2C 租户。 最好是在 Azure AD B2C 租户中至少有一个原生的工作帐户被分配为全局管理员角色。 可以将此帐户视为一个“破窗”帐户或紧急访问帐户

在 Azure AD B2C 中管理紧急访问帐户

必须防止意外地被锁在 Azure Active Directory B2C (Azure AD B2C) 组织之外,因为在这种情况下,无法以管理员的身份登录或激活其他用户帐户。 可在组织中创建两个或更多个紧急访问帐户,缓解意外丧失管理访问权限造成的影响。

配置这些帐户时,需要满足以下要求:

  • 紧急访问帐户不应与组织中任何个人用户关联。 确保帐户没有与任何员工提供的手机、个别员工出差所用硬件令牌或其他特定员工凭证相关联。 此预防措施介绍需要凭据而无法找到某个拥有凭据的员工时的情况。 请务必确保将任何已注册设备保存在与 Azure AD B2C 有多种通信方式的已知安全位置。

  • 对紧急访问帐户使用强身份验证,并确保它不会使用与其他管理帐户相同的身份验证方法。 例如,如果普通管理员帐户使用 Microsoft Authenticator 应用进行强身份验证,则需要对紧急帐户使用 FIDO2 安全密钥。

  • 设备或凭据不得过期,或者由于使用次数不多而划归到自动清理的范围内。

创建紧急访问帐户

创建两个或多个紧急访问帐户。 这些帐户应是纯云帐户,使用 *.partner.onmschina.cn 域且未与本地环境联合或同步。

使用以下步骤创建紧急访问帐户:

  1. 以现有全局管理员身份登录到 Azure 门户。 如果使用 Azure AD 帐户,请确保使用的是包含 Azure AD B2C 租户的目录:

    1. 在门户工具栏中选择“目录 + 订阅”图标。

    2. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。

  2. 在“Azure 服务”下,选择“Azure AD B2C”。 或者在 Azure 门户中,搜索并选择“Azure AD B2C”。

  3. 在左侧菜单中的“管理”下,选择“用户” 。

  4. 选择“+ 新建用户”。

  5. 选择“创建用户”。

  6. 在“标识”下方:

    1. 对于“用户名”,请输入唯一的用户名,例如“紧急帐户”。

    2. 对于“名称”,请输入“紧急帐户”等名称

  7. 在“组和角色”下方

    1. 选择“用户”。

    2. 在显示的窗格中,搜索并选择“全局管理员”,然后选择“选择”按钮。

  8. 在“设置”下,选择合适的“使用位置”。

  9. 选择“创建” 。

  10. 安全地存储帐户凭据

  11. 监视登录和审核日志

  12. 定期验证帐户

创建紧急帐户后,需要执行以下操作:

邀请管理员(来宾帐户)

你还可以邀请新的来宾用户管理你的租户。 如果你的组织同时还有 Azure AD,则来宾帐户是首选选项,因为可以从外部管理此标识的生命周期。

若要邀请用户,请执行以下步骤:

  1. 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户

  2. 请确保使用的是包含 Azure AD B2C 租户的目录。 在门户工具栏中选择“目录 + 订阅”图标。

  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。

  4. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  5. 在“管理”下,选择“用户” 。

  6. 选择“新来宾帐户”。

  7. 在“用户”页上输入此用户的信息:

    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 电子邮件地址。 “必需”。 要邀请的用户的电子邮件地址,必须是 Microsoft 帐户。 例如,mary@contoso.com
    • 个人消息:添加将包含在邀请电子邮件中的个人消息。
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户的 Azure AD 管理权限,则可以将其添加到 Azure AD 角色。 可以将用户分配为全局管理员,或者分配为 Azure AD 中有限的管理员角色中的一个或多个。 有关分配角色的详细信息,请参阅使用角色控制资源访问
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  8. 选择“创建”。

将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。

重新发送邀请电子邮件

如果来宾未收到邀请电子邮件,或邀请已过期,你可以重新发送邀请。 作为邀请电子邮件的替代方法,你可以为来宾提供直接链接以接受邀请。 若要重新发送邀请并获取直接链接,请执行以下操作:

  1. 登录到 Azure 门户

  2. 确保正在使用的目录包含 Azure AD B2C 租户。 在门户工具栏中选择“目录 + 订阅”图标。

  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。

  4. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  5. 在“管理”下,选择“用户” 。

  6. 搜索并选择要向其重新发送邀请的用户。

  7. 在“用户 | 个人资料”页上的“标识”下,选择“(管理)”。 Screenshot shows how to resend guest account invitation email.

  8. 对于“重新发送邀请?”,请选择“是”。 当系统显示“是否确定要重新发送邀请?”时,选择“是”。

  9. Azure AD B2C 将发送邀请。 你还可以复制邀请 URL,并将其直接提供给来宾。

    Screenshot shows how get the invitation URL.

添加角色分配

你可以在创建用户邀请来宾用户时分配角色。 可以为用户添加角色、更改角色或删除角色:

  1. 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户
  2. 请确保使用的是包含 Azure AD B2C 租户的目录。 在门户工具栏中选择“目录 + 订阅”图标。
  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
  4. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  5. 在“管理”下,选择“用户” 。
  6. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  7. 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”。

删除角色分配

如果你需要删除用户角色分配,请执行以下步骤:

  1. 选择“Azure AD B2C”,再选择“用户”,然后搜索并选择用户。
  2. 选择“分配的角色”。 选择要删除的角色,例如“应用程序管理员”,然后选择“删除分配”。

审阅管理员帐户角色分配

在审核过程中,通常会检查为哪些用户分配了 Azure AD B2C 目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。

  1. 使用“全局管理员”或“特权角色管理员”权限登录到 Azure 门户
  2. 请确保使用的是包含 Azure AD B2C 租户的目录。 在门户工具栏中选择“目录 + 订阅”图标。
  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
  4. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  5. 在“管理”下,选择“角色和管理员”。
  6. 选择一个角色,如“全局管理员”。 “角色 | 分配”页将列出具有该角色的用户。

删除管理员帐户

若要删除现有用户,必须具有“全局管理员”角色分配。 全局管理员可以删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。

  1. 在 Azure AD B2C 目录中选择“用户”,然后选择要删除的用户。
  2. 选择“删除”,然后选择“是”,确认进行删除。

用户将被删除并且不再显示在“用户 - 所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Azure Active Directory 还原或永久删除最近删除的用户

保护管理帐户

建议使用多重身份验证 (MFA) 保护所有管理员帐户,以提高安全性。 MFA 是登录过程中的一个身份验证过程,它提示用户提供更多形式的标识,例如他们移动设备上的验证码或 Microsoft Authenticator 应用中的请求。

Authentication methods in use at the sign in screenshot

如果不使用条件访问,可以启用 Azure AD 安全默认值,以强制所有管理帐户均使用 MFA。

检查租户创建权限

在创建 Azure AD B2C 租户之前,请确保你有权执行此操作。 使用以下步骤检查你是否有权创建租户:

  1. 登录 Azure 门户
  2. 确保正在使用的目录包含 Azure AD B2C 租户:
    1. 在门户工具栏中选择“目录 + 订阅”图标。
    2. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
  3. 在 Azure 门户中,搜索并选择“Azure Active Directory”。
  4. 在“管理”下,选择“用户设置”。
  5. 查看租户创建设置。 如果显示“否”,请联系管理员,申请为你分配租户创建者角色。 如果你不是租户中的管理员,该设置将灰显。

获取租户名称

若要获取 Azure AD B2C 租户名称,请执行以下步骤:

  1. 登录 Azure 门户
  2. 确保正在使用的目录包含 Azure AD B2C 租户。 在门户工具栏中选择“目录 + 订阅”图标。
  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
  4. 在 Azure 门户中,搜索并选择“Azure AD B2C”。
  5. 在“概述”中,复制“域名” 。

Screenshot demonstrates how to get the Azure AD B2C tenant name.

获取租户 ID

若要获取 Azure AD B2C 租户 ID,请执行以下步骤:

  1. 登录 Azure 门户
  2. 确保正在使用的目录包含 Azure AD B2C 租户。 在门户工具栏中选择“目录 + 订阅”图标。
  3. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
  4. 在 Azure 门户中,搜索并选择“Azure Active Directory”。
  5. 在“概述”中,复制“租户 ID” 。

Screenshot demonstrates how to get the Azure AD B2C tenant ID.

获取租户使用情况

可以读取 Azure AD B2C 的总目录大小以及正在使用的目录大小。 为此,请按照使用 Microsoft Graph API 获取租户使用情况中的步骤操作。

后续步骤