如何创建、邀请和删除用户

Microsoft Entra ID 允许在租户中创建多种类型的用户,从而在管理组织的用户方面具有更大的灵活性。

本文介绍了如何在工作人员租户中创建新用户、邀请外部来宾和删除用户。

注意

若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心 的 GDPR 部分,以及服务信任门户的 GDPR 部分。

用户类型

在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 工作人员租户中的访问权限。 例如,是否需要创建内部来宾、内部用户或外部来宾? 新用户是否需要来宾或成员特权?

工作人员租户中的用户

Microsoft Entra 工作人员租户具有以下用户类型:

  • 内部成员:这些用户很可能是组织中的全职员工。
  • 内部来宾:这些用户在租户中有一个帐户,但具有来宾级特权。 在 B2B 协作功能可用之前,这些可能是在您的租户中创建的。
  • 外部成员:这些用户使用外部帐户进行身份验证,但有权访问租户。 这些类型的用户在多租户组织中很常见。
  • 外部来宾:这些用户是租户的真实来宾,他们使用外部方法和具有来宾级特权进行身份验证。

有关内部和外部来宾与成员之间的差异的详细信息,请参阅 B2B 协作属性

身份验证方法因创建的用户类型而异。 内部来宾和成员在Microsoft Entra 租户中具有可由管理员管理的凭据。 这些用户还可以重置自己的密码。 外部成员通过其主Microsoft Entra 租户进行身份验证,Microsoft Entra 租户通过与外部成员的 Microsoft Entra 租户的联合登录对用户进行身份验证。 如果外部成员忘记了其密码,则其Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。

查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅 “设置默认用户权限”。

先决条件

所需的最低权限角色会根据您要添加的用户类型而有所不同,并且如果您需要同时分配 Microsoft Entra 角色,这也会有所影响。 应尽可能地使用最低特权角色。

任务 角色
创建新用户 用户管理员
邀请外部来宾 邀请来宾的人
分配 Microsoft Entra 角色 特权角色管理员

创建新用户

执行以下步骤:

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”“用户”>“所有用户”。>

    Microsoft Entra ID 中“所有用户”页的屏幕截图。

  3. 选择“ 新建用户>创建新用户”。

    Microsoft Entra ID 中创建新用户菜单的屏幕截图。

  4. 完成“新建用户”页中的剩余选项卡。

    基础

    “基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前, 请查看有关用户名属性的指导

    • 用户主体名称:输入唯一用户名,并在 @ 符号后从菜单中选择域。 如果需要创建新域,请选择“未列出的域”。 有关详细信息,请参阅 “添加自定义域名”。
    • 邮件别名:如果需要输入与输入的用户主体名称不同的电子邮件昵称,请取消选中“ 派生自用户主体名称 ”选项,然后输入邮件昵称。
    • 显示名称:输入用户的姓名,例如 Chris Green 或 Chris A. Green
    • 密码:提供一个密码供用户在初始登录期间使用。 取消选中“自动生成密码”选项以输入不同的密码。
    • 启用帐户:此选项默认处于选中状态。 请取消勾选以防止新用户登录。 可以在创建用户后更改此设置。 此设置称为在旧版创建用户过程中称为“阻止登录”。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

    “新建用户基本信息”选项卡的屏幕截图。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。

    性能

    可以提供六个类别的用户属性。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到“标识>用户>所有用户”,然后选择要更新的用户。

    • 身份: 输入用户的名字和姓氏。 将“用户类型”设置为“成员”或“来宾”。
    • 作业信息: 添加任何与作业相关的信息,例如用户的职务、部门或经理。
    • 联系人信息: 为用户添加任何相关的联系信息。
    • 家长控制: 对于 K-12 学区等组织,可能需要提供用户的年龄组。 未成年人 为12岁及以下, 未成年 为13-18岁, 成人 为18岁及以上。 父母选项提供的年龄组和同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问和授权。
    • 设置: 指定用户的全局位置。

    选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。

    任务

    创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 用户创建后可以添加任务。

    若要向新用户分配组,请执行以下作:

    1. 选择“+ 添加组”。
    2. 在显示的菜单中,从列表中选择最多 20 个组,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    添加组分配过程的屏幕截图。

    若要向新用户分配角色,请执行以下作:

    1. 选择 “+ 添加角色”。
    2. 在显示的菜单中,从列表中选择最多 20 个角色,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    向新用户添加管理单元

    1. 选择“+ 添加管理单元”。
    2. 在显示的菜单中,从列表中选择一个管理单元,然后选择“选择”按钮。
    3. 选择“查看 + 创建”按钮。

    查看并创建

    最后一个选项卡记录用户创建过程中的几个关键信息。 查看详细信息,如果一切正常,请选择“创建”按钮。

邀请外部用户

除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”“用户”>“所有用户”。>

  3. 选择“新建用户”>“邀请外部用户”。

    邀请外部用户菜单选项的屏幕截图。

  4. 完成“新建用户”页中的剩余选项卡(如下所示)。

    外部用户的基本信息

    在本部分中,你将使用 来宾的电子邮件地址邀请来宾加入租户。 如果需要使用域帐户创建来宾用户,请使用 创建新用户进程 ,但将 用户类型 更改为 “来宾”。

    • 电子邮件:输入要邀请的来宾用户的电子邮件地址。
    • 显示名称:提供显示名称。
    • 邀请消息:选中“ 发送邀请消息 ”复选框以自定义来宾的简短消息。 如有必要,请提供抄送收件人。

    邀请外部用户“基本信息”选项卡的屏幕截图。

    来宾用户邀请

    通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。

    1. 浏览到“标识”“用户”>“所有用户”。>
    2. 选择受邀的来宾用户。
    3. “我的源”部分中,找到“B2B 协作”磁贴。
      • 如果邀请状态为 PendingAcceptance,请选择 “重新发送邀请 ”链接以发送另一封电子邮件。
      • 还可以选择用户的“属性”并查看“邀请状态”。

    用户详细信息的屏幕截图,其中突出显示了邀请状态选项。

    添加其他用户

    某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。

    重要

    自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 若要了解详细信息,请参阅常见问题解答中的 Azure AD B2C 是否仍可供购买

    若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅 将本地目录与 Microsoft Entra ID 集成

删除用户

可以使用 Microsoft Entra 管理中心删除现有用户。

  1. 必须至少具有“用户管理员”角色分配才能删除组织中的用户。

  2. 具有特权身份验证管理员角色的用户可以删除任何用户,包括其他管理员。

  3. 用户管理员可以删除任何非管理员用户、支持管理员和其他用户管理员。

  4. 有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限

    若要删除用户,请执行以下步骤:

    1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
    2. 浏览到“标识”“用户”>“所有用户”。>
    3. 搜索并选择要删除的用户。
    4. 选择“删除用户

    “所有用户”页的屏幕截图,其中已选中用户,并突出显示了“删除”按钮。

    该用户已删除并不再显示在“所有用户”页上。 接下来的30天内,用户可以在已删除用户页面上看到,并且在此期间可以恢复。 有关恢复用户的更多信息,请参阅 使用 Microsoft Entra ID 恢复或删除最近删除的用户

    删除用户后,用户使用的任何许可证都可供其他用户使用。

    注意

    若要更新其颁发机构来源为 Windows Server Active Directory 的用户的标识、联系信息或作业信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。