通过

添加并管理管理员帐户

适用于带灰色 X 符号的白色圆圈。 员工租户 绿色圆圈,带有白色复选标记符号。 外部租户(了解详细信息

管理员帐户是已分配有管理员角色的 Microsoft Entra 外部租户中的用户。 可以通过 Microsoft Entra 管理中心或 Microsoft Graph 创建或邀请用户并为其分配管理员角色,从而将管理员帐户添加到租户。 如果未分配管理员角色,则用户具有 默认用户权限

本文重点介绍如何使用 Microsoft Entra 管理中心管理管理员帐户。 必须至少具有 用户管理员 权限才能添加或删除用户。

有关应用最终用户的信息,另请参阅 “管理使用者和企业客户的用户帐户 ”。 这些用户通常没有分配管理员角色,因此他们保留 默认用户权限

先决条件

  • 如果尚未创建自己的Microsoft Entra 外部租户, 请立即创建一个
  • 了解 Microsoft Entra 外部 ID 中的用户帐户。
  • 了解控制资源访问的用户角色。

添加管理员帐户

使用以下步骤创建新的用户帐户,并通过添加Microsoft Entra 角色向帐户授予管理员权限。 (此处仅介绍了所需的步骤。有关所有属性的完整说明,请参阅Microsoft Entra ID 文章 How to create users.

  1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户

  3. 浏览到 Entra ID>用户

  4. 选择“新建用户”“创建新用户”。

  5. “基本信息 ”选项卡上的 “标识”下,输入此管理员的信息:

    • 用户主体名称:输入唯一用户名,并在 @ 符号后从菜单中选择域。
    • 显示名称:输入用户名,例如 Chris Green 或 Chris A.Green。
    • 密码:复制自动生成的密码,或取消选中 自动生成的密码 选项并输入其他密码。 需要向管理员提供此密码才能首次登录。

  6. 选择“ 分配 ”选项卡,并使用以下步骤向用户分配角色。 (添加组是可选的)。

    • 选择 “+ 添加角色”。
    • 从显示的菜单中,从列表中选择最多 20 个角色。 可以将用户分配到Microsoft Entra ID 中的一个或多个 管理员角色
    • 选中“选择”按钮。

  7. 选择“查看 + 创建”按钮。

管理员随即创建并添加到外部租户。

邀请管理员(来宾帐户)

你还可以邀请新的来宾用户管理你的租户。 若要邀请具有管理员权限的新来宾用户,请执行以下步骤:

  1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户

  3. 浏览到 Entra ID>用户

  4. 选择“新建用户邀请外部用户>”(预览版)。

  5. “基本信息 ”选项卡上,输入用户的信息:

    • 电子邮件。 “必需”。 你要邀请的用户的电子邮件地址。
    • 显示名称。 新用户的名字和姓氏。 例如, Mary Parker
    • 在“邀请消息”下:
      • 如果要向用户发送邀请电子邮件,请选中“ 发送邀请消息 ”复选框。 否则,请清除该复选框。
      • “邮件”中,添加个人邮件以包含在邀请电子邮件中。
      • 若要向某人发送邀请电子邮件的副本,请在 “抄送收件人 ”文本框中添加其电子邮件地址。
      • 邀请重定向 URL 默认为 MyApplications,这是用户在兑换邀请时重定向到的位置。 可以将它更改为其他 URL。

  6. 选择“ 分配 ”选项卡,并使用以下步骤向用户分配角色。 (添加组是可选的)。

    • 选择 “+ 添加角色”。
    • 从显示的菜单中,从列表中选择最多 20 个角色。 可以将用户分配到Microsoft Entra ID 中的一个或多个 管理员角色
    • 选中“选择”按钮。

  7. 选择“查看 + 邀请”按钮。

将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。

更改或添加角色分配

你可以在创建用户或邀请来宾用户时分配角色。 可以为用户添加角色、更改角色或删除角色:

  1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到 Entra ID>用户
  4. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  5. 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”

删除角色分配

如果你需要删除用户角色分配,请执行以下步骤:

  1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到 Entra ID>用户
  4. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  5. 选择要移除的角色,例如“应用程序管理员”,然后选择“移除分配”

审阅管理员帐户角色分配

在审核过程中,通常会检查为哪些用户分配了客户目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。

  1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到 Entra ID>角色和管理员
  4. 选择一个角色,如“用户管理员”。 “分配”页将列出具有该角色的用户。

删除管理员帐户

若要删除现有用户,必须至少具有 用户管理员 角色分配。 特权身份验证管理员可以 删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。

  1. 以至少特权身份验证管理员身份登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标 ,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到 Entra ID>用户
  4. 选择要删除的用户。
  5. 选择“删除”,然后选择“是”,确认进行删除。

该用户已删除并不再显示在“所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅 使用 Microsoft Entra ID 还原或删除最近删除的用户

保护管理帐户

建议使用多重身份验证(MFA)保护所有管理员帐户,以确保安全性更高。 MFA 是在登录期间提示用户输入一次性密码的身份验证过程。

Microsoft建议组织将两个仅限云的紧急访问帐户永久分配为全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限于正常帐户无法使用或所有其他管理员意外被锁定的紧急或“破玻璃”情况下。这些帐户应按照紧急访问帐户建议创建。