Microsoft Entra ID 允许在租户中创建多种类型的用户,从而在管理组织的用户方面具有更大的灵活性。
本文介绍了如何在工作人员租户中创建新用户、邀请外部来宾和删除用户。
注意
若要了解如何查看或删除个人数据,请在符合 GDPR 的 Windows 数据主体请求站点中查看 Microsoft 的指南。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心 的
在创建或邀请新用户之前,请花一些时间查看用户类型、其身份验证方法及其在 Microsoft Entra 工作人员租户中的访问权限。 例如,是否需要创建内部来宾、内部用户或外部来宾? 新用户是否需要来宾或成员特权?
Microsoft Entra 工作人员租户具有以下用户类型:
- 内部成员:这些用户很可能是组织中的全职员工。
- 内部来宾:这些用户在租户中有一个帐户,但具有来宾级特权。 在 B2B 协作功能可用之前,这些可能是在您的租户中创建的。
- 外部成员:这些用户使用外部帐户进行身份验证,但有权访问租户。 这些类型的用户在多租户组织中很常见。
- 外部来宾:这些用户是租户的真实来宾,他们使用外部方法和具有来宾级特权进行身份验证。
有关内部和外部来宾与成员之间的差异的详细信息,请参阅 B2B 协作属性。
身份验证方法因创建的用户类型而异。 内部来宾和成员在Microsoft Entra 租户中具有可由管理员管理的凭据。 这些用户还可以重置自己的密码。 外部成员通过其主Microsoft Entra 租户进行身份验证,Microsoft Entra 租户通过与外部成员的 Microsoft Entra 租户的联合登录对用户进行身份验证。 如果外部成员忘记了其密码,则其Microsoft Entra 租户中的管理员可以重置其密码。 外部来宾使用创建帐户时在电子邮件中收到的链接设置自己的密码。
查看默认用户权限还可能有助于确定需要创建的用户类型。 有关详细信息,请参阅 “设置默认用户权限”。
所需的最低权限角色会根据您要添加的用户类型而有所不同,并且如果您需要同时分配 Microsoft Entra 角色,这也会有所影响。 应尽可能地使用最低特权角色。
| 任务 | 角色 |
|---|---|
| 创建新用户 | 用户管理员 |
| 邀请外部来宾 | 邀请来宾的人 |
| 分配 Microsoft Entra 角色 | 特权角色管理员 |
执行以下步骤:
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”“用户”>“所有用户”。>
选择“ 新建用户>创建新用户”。
完成“新建用户”页中的剩余选项卡。
基础
“基本信息”选项卡包含创建新用户所需的核心字段。 在开始之前, 请查看有关用户名属性的指导。
- 用户主体名称:输入唯一用户名,并在 @ 符号后从菜单中选择域。 如果需要创建新域,请选择“未列出的域”。 有关详细信息,请参阅 “添加自定义域名”。
- 邮件别名:如果需要输入与输入的用户主体名称不同的电子邮件昵称,请取消选中“ 派生自用户主体名称 ”选项,然后输入邮件昵称。
- 显示名称:输入用户的姓名,例如 Chris Green 或 Chris A. Green
- 密码:提供一个密码供用户在初始登录期间使用。 取消选中“自动生成密码”选项以输入不同的密码。
- 启用帐户:此选项默认处于选中状态。 请取消勾选以防止新用户登录。 可以在创建用户后更改此设置。 此设置称为在旧版创建用户过程中称为“阻止登录”。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:属性”以完成下一部分。
性能
可以提供六个类别的用户属性。 创建用户后,可以添加或更新这些属性。 若要管理这些详细信息,请转到“标识>用户>所有用户”,然后选择要更新的用户。
- 身份: 输入用户的名字和姓氏。 将“用户类型”设置为“成员”或“来宾”。
- 作业信息: 添加任何与作业相关的信息,例如用户的职务、部门或经理。
- 联系人信息: 为用户添加任何相关的联系信息。
- 家长控制: 对于 K-12 学区等组织,可能需要提供用户的年龄组。 未成年人 为12岁及以下, 未成年 为13-18岁, 成人 为18岁及以上。 父母选项提供的年龄组和同意的组合决定了法定年龄组分类。 法定年龄组分类可能会限制用户的访问和授权。
- 设置: 指定用户的全局位置。
选择“查看 + 创建”按钮以创建新用户,或选择“下一步:分配”以完成下一部分。
任务
创建帐户时,可以将用户分配到管理单元、组或 Microsoft Entra 角色。 最多可以将用户分配到 20 个组或角色。 只能将用户分配到一个管理单元。 用户创建后可以添加任务。
若要向新用户分配组,请执行以下作:
- 选择“+ 添加组”。
- 在显示的菜单中,从列表中选择最多 20 个组,然后选择“选择”按钮。
- 选择“查看 + 创建”按钮。
若要向新用户分配角色,请执行以下作:
- 选择 “+ 添加角色”。
- 在显示的菜单中,从列表中选择最多 20 个角色,然后选择“选择”按钮。
- 选择“查看 + 创建”按钮。
向新用户添加管理单元:
- 选择“+ 添加管理单元”。
- 在显示的菜单中,从列表中选择一个管理单元,然后选择“选择”按钮。
- 选择“查看 + 创建”按钮。
查看并创建
最后一个选项卡记录用户创建过程中的几个关键信息。 查看详细信息,如果一切正常,请选择“创建”按钮。
除了“基本信息”选项卡上的一些详细信息和电子邮件邀请流程以外,邀请外部来宾用户的整个过程与此类似。 无法将外部用户分配到管理单元。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”“用户”>“所有用户”。>
选择“新建用户”>“邀请外部用户”。
完成“新建用户”页中的剩余选项卡(如下所示)。
外部用户的基本信息
在本部分中,你将使用 来宾的电子邮件地址邀请来宾加入租户。 如果需要使用域帐户创建来宾用户,请使用 创建新用户进程 ,但将 用户类型 更改为 “来宾”。
- 电子邮件:输入要邀请的来宾用户的电子邮件地址。
- 显示名称:提供显示名称。
- 邀请消息:选中“ 发送邀请消息 ”复选框以自定义来宾的简短消息。 如有必要,请提供抄送收件人。
来宾用户邀请
通过发送电子邮件邀请来邀请外部来宾用户时,可以根据用户的详细信息检查邀请的状态。
- 浏览到“标识”“用户”>“所有用户”。>
- 选择受邀的来宾用户。
- 在“我的源”部分中,找到“B2B 协作”磁贴。
- 如果邀请状态为 PendingAcceptance,请选择 “重新发送邀请 ”链接以发送另一封电子邮件。
- 还可以选择用户的“属性”并查看“邀请状态”。
添加其他用户
某些情况下,可能需要在 Azure Active Directory B2C (Azure AD B2C) 目录中手动创建所有者帐户。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 若要了解详细信息,请参阅常见问题解答中的 Azure AD B2C 是否仍可供购买 ?
若环境同时具有 Microsoft Entra ID(云)和 Windows Server Active Directory(内部部署),则可以通过同步现有用户帐户数据来添加新用户。 有关混合环境和用户的详细信息,请参阅 将本地目录与 Microsoft Entra ID 集成。
可以使用 Microsoft Entra 管理中心删除现有用户。
必须至少具有“用户管理员”角色分配才能删除组织中的用户。
具有特权身份验证管理员角色的用户可以删除任何用户,包括其他管理员。
用户管理员可以删除任何非管理员用户、支持管理员和其他用户管理员。
有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限。
若要删除用户,请执行以下步骤:
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”“用户”>“所有用户”。>
- 搜索并选择要删除的用户。
- 选择“删除用户。
该用户已删除并不再显示在“所有用户”页上。 接下来的30天内,用户可以在已删除用户页面上看到,并且在此期间可以恢复。 有关恢复用户的更多信息,请参阅 使用 Microsoft Entra ID 恢复或删除最近删除的用户。
删除用户后,用户使用的任何许可证都可供其他用户使用。
注意
若要更新其颁发机构来源为 Windows Server Active Directory 的用户的标识、联系信息或作业信息,必须使用 Windows Server Active Directory。 完成更新后,必须等待下一个同步周期完成才能看到此次更改。