Microsoft Entra ID 允许你在租户中创建多种类型的用户,从而在管理组织用户的方式上具有更大的灵活性。
本文介绍了如何在工作人员租户中创建新用户、邀请外部来宾和删除用户。
注释
若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心的 GDPR 部分 以及 服务信任门户的 GDPR 部分。
用户类型
在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 工作人员租户中的访问权限。 例如,是否需要创建内部来宾、内部用户或外部来宾? 新用户是否需要来宾或成员特权?
工作人员租户中的用户
Microsoft Entra 工作力租户具有以下用户类型:
- 内部成员:这些用户很可能是组织中的全职员工。
- 内部来宾:这些用户在租户中有一个帐户,但具有来宾级特权。 在 B2B 协作功能可用之前,这些可能是在您的租户中创建的。
- 外部成员:这些用户使用外部帐户进行身份验证,但对租户具有成员访问权限。 这些类型的用户在多租户组织中很常见。
- 外部来宾:这些用户是租户的真实来宾,他们使用外部方法和具有来宾级特权进行身份验证。
有关内部和外部来宾与成员之间的差异的详细信息,请参阅 B2B 协作属性。
身份验证方法因创建的用户类型而异。 内部访客和成员在 Microsoft Entra 租户中拥有可以由管理员管理的凭证。 这些用户还可以重置自己的密码。 外部成员向其主 Microsoft Entra 租户进行身份验证,Microsoft Entra 租户则通过与外部成员的 Microsoft Entra 租户联合登录对用户进行身份验证。 如果外部成员忘记了其密码,则其Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。
查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅 “设置默认用户权限”。
先决条件
最低权限角色的要求因要添加的用户类型以及是否需要同时分配 Microsoft Entra 角色而有所不同。 应尽可能地使用最低特权角色。
| 任务 | 角色 |
|---|---|
| 创建新用户 | 用户管理员 |
| 邀请外部来宾 | 邀请来宾的人 |
| 分配 Microsoft Entra 角色 | 特权角色管理员 |
创建新用户
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>用户。
选择“ 新建用户>创建新用户”。
完成“新建用户”页中的剩余选项卡。
Basics
“基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前, 请查看有关用户名属性的指导。
- 用户主体名称:输入唯一用户名,并在 @ 符号后从菜单中选择域。 如果需要创建新域,请选择“未列出的域”。 有关详细信息,请参阅 “添加自定义域名”。
- 邮件别名:如果需要输入与输入的用户主体名称不同的电子邮件昵称,请取消选中“ 派生自用户主体名称 ”选项,然后输入邮件昵称。
- 显示名称:输入用户的姓名,例如 Chris Green 或 Chris A. Green
- 密码:提供一个密码供用户在初始登录期间使用。 取消选中“自动生成密码”选项以输入不同的密码。
-
启用帐户:此选项默认处于选中状态。 请取消勾选以防止新用户登录。 可以在创建用户后更改此设置。 此设置在旧版创建用户过程中被称为“阻止登录”。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。
属性
提供的用户属性有五个类别。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到 Entra ID>Users并选择要更新的用户。
- 身份: 输入用户的名字和姓氏。 将“用户类型”设置为“成员”或“来宾”。
- 工作信息:添加与工作相关的任何信息(如用户的职务、部门或经理)。
- 联系人信息: 为用户添加任何相关的联系信息。
- 家长控制: 对于 K-12 学区等组织,可能需要提供用户的年龄组。 未成年人 为12岁及以下, 未成年 为13-18岁, 成人 为18岁及以上。 父母选项提供的年龄组和同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问和授权。
- 设置:指定用户的全局位置。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。
Assignments
创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 用户创建后可以添加任务。
要向新用户分配组,请执行以下操作:
选择“+ 添加组”。
在显示的菜单中,从列表中选择最多 20 个组,然后选择“选择”按钮。
选择查看 + 创建按钮。
要向新用户分配角色,请执行以下操作:
- 选择 “+ 添加角色”。
- 在显示的菜单中,从列表中选择最多 20 个角色,然后选择“选择”按钮。
- 选择查看 + 创建按钮。
向新用户添加管理单元:
- 选择“+ 添加管理单元”。
- 在显示的菜单中,从列表中选择一个管理单元,然后选择“选择”按钮。
- 选择查看 + 创建按钮。
查看和创建
最后一个选项卡记录了用户创建过程中的几个关键详细信息。 查看详细信息,如果一切正常,请选择“创建”按钮。
邀请外部用户
除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>用户。
选择 “新建用户>邀请外部用户”。
完成“新建用户”页中的剩余选项卡(如下所示)。
外部用户的基本信息
在本部分中,你将通过使用来宾的电子邮件地址来邀请他们加入你的租户。 如果需要使用域帐户创建来宾用户,请使用创建新用户过程,但需将“用户类型”更改为“来宾”。
- 电子邮件:输入所邀请来宾用户的电子邮件地址。
- 显示名称:提供显示名称。
- 邀请电子邮件:选中“发送邀请电子邮件”复选框可自定义要发给来宾的简短电子邮件。 如有必要,请提供抄送收件人。
来宾用户邀请
通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。
- 浏览到 Entra ID>用户。
- 选择受邀的来宾用户。
- 在“我的动态”部分中,找到“B2B 协作”磁贴。
- 如果邀请状态为 PendingAcceptance,请选择 “重新发送邀请 ”链接以发送另一封电子邮件。
- 还可以选择用户的“属性”并查看“邀请状态”。
添加其他用户
某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。
Important
自 2025 年 5 月 1 日起,Azure Active Directory B2C(Azure AD B2C)不再可供新客户购买。 若要了解详细信息,请参阅常见问题解答中的 Azure AD B2C 是否仍可供购买 ?
若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅 将本地目录与 Microsoft Entra ID 集成。
删除用户
可以使用 Microsoft Entra 管理中心删除现有用户。
- 必须至少具有“用户管理员”角色分配才能删除组织中的用户。
- 具有特权身份验证管理员角色的用户可以删除任何用户,包括其他管理员。
- 用户管理员可以删除任何非管理员用户、帮助台管理员和其他用户管理员。
- 有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限。
若要删除用户,请执行以下步骤:
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>用户。
搜索并选择要删除的用户。
选择“删除用户”。
该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内,在“已删除用户”页上查看该用户,在此期间可将其还原。 有关还原用户的详细信息,请参阅 使用 Microsoft Entra ID 还原或删除最近删除的用户。
删除用户后,用户使用的任何许可证都可供其他用户使用。
注释
若要更新其授权来源为 Windows Server Active Directory 的用户的标识、联系信息或工作信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。