管理 Azure AD 目录

  • 项目

更新时间:2015 年 9 月 15 日

适用于:Azure、Office 365、Windows Intune

注意

本主题为依赖于 Microsoft Azure Active Directory 提供标识和目录服务的云服务(如 Microsoft Intune 和 Office 365)提供联机帮助内容。

Azure Active Directory (AD) 提供大多数 Microsoft 云服务背后的核心目录和标识管理功能。 这些服务包括但不限于:

  • Azure

  • Microsoft Office 365

  • Microsoft Dynamics CRM Online

  • Windows Intune

管理目录数据

作为一个或多个 Microsoft 云服务订阅的管理员,可以使用 Azure 管理门户、Microsoft Intune 帐户门户或 Office 365 管理中心来管理组织目录数据。 还可以使用适用于 Windows PowerShell cmdlet 的可下载Microsoft Azure Active Directory模块来管理 Azure AD 中存储的数据。 有关目录的详细信息,请参阅什么是 Azure AD 目录?

通过上述任一门户(或 cmdlet),可以执行以下操作:

  • 创建和管理用户帐户和组帐户

  • 管理组织订阅的相关云服务

  • 设置与目录服务的本地集成

Azure 管理门户、Office 365 Admin中心、Microsoft Intune帐户门户和 cmdlet 都会读取和写入与组织目录关联的 Azure AD 的单个共享实例,如下图所示。 门户(或 cmdlet)通过这种方式充当用于输入和/或修改目录数据的前端接口。

How portals work with Windows Azure AD

上面列出的帐户门户和用于管理用户和组的相关 Azure AD PowerShell cmdlet 基于 Azure AD 平台构建。

警告

如果在上述服务之一的上下文中登录时使用任何门户(或 cmdlet)更改了组织数据,则下次在该服务的上下文中登录时,此更改也会显示在其他门户中,因为此数据在订阅的 Microsoft 云服务之间共享。

例如,如果使用 Office 365 管理中心阻止某个用户登录,则该操作会阻止该用户登录到组织当前订阅的任何其他服务。 如果在 Microsoft Intune 帐户门户的上下文中请求相同的用户帐户,则会看到该用户被阻止。

使用 Azure 管理门户

Azure 管理门户通常用于管理与你的 Azure 订阅关联的服务。 可用于标识管理和目录租户功能的较新的 Azure 服务之一是 Active Directory 服务。 如果你是管理员,可以通过单击管理门户中的“Active Directory”扩展来管理这些功能。

如果使用 Microsoft 帐户拥有现有的 Azure 订阅,还可以使用管理门户管理目录。 若要在管理门户中创建新目录,请单击“Active Directory”,单击“添加”,然后指定要使用的“域名”“国家/地区”“组织名称”

如果没有 Azure 订阅,可以 注册 Azure 作为组织,以便开始使用 Azure 管理门户创建、分发和管理用户帐户和其他标识管理功能,供组织使用。 在以组织的名义注册 Azure 时,系统将根据你在注册期间提供的“组织名称”字段值自动为你创建一个目录。

使用Office 365或Microsoft Intune帐户门户

可以使用帐户门户来管理Office 365或Microsoft Intune订阅,并指定可以访问其各种服务的用户。 在帐户门户中,你可以执行如下任务:手动添加用户帐户和安全组、设置和管理服务设置、检查服务状态,以及访问联机帮助。

Azure AD 目前支持使用以下一个或多个帐户门户对组织的订阅数据的前端访问,具体取决于你是否订阅了相应的服务:

  • Office 365帐户门户

  • Microsoft Intune 帐户门户

用户也可以访问这些帐户门户,但只能更改其密码或访问已为其分配许可证的各项服务。

同时使用 Windows Intune 和 Office 365 的许可注意事项

目前,注册Microsoft Intune或Office 365服务时,可以在该服务的帐户门户中向用户分配特定于服务的许可证。 这意味着,如果在某个时候最终将这两个服务添加到同一目录,则需要转到Microsoft Intune帐户门户来管理Microsoft Intune许可证,Office 365许可证需要在Office 365帐户门户中单独管理。

在某些情况下,你可能无法删除先前因使用其他服务而获得了许可证的任何用户帐户。 若要在这种情况下删除用户帐户,则需要从你尝试删除时使用的帐户门户中注销,然后登录到首先分配许可证的相应帐户门户,删除关联的许可证,然后重新尝试删除该用户。

使用 Azure AD PowerShell cmdlet

你可以使用“用于 Windows PowerShell 的 Azure Active Directory 模块”cmdlet 完成许多 Azure AD 租户范围的管理任务。 有关详细信息,请参阅使用 Windows PowerShell 管理Azure Active Directory

目录管理员的职责是什么?

不管你使用哪种方法来管理目录,都可以分配不同类型的管理员来执行各种任务,如创建和编辑用户、管理计费操作和重置密码。 全局管理员根据管理员角色为组织内的不同管理员授予权限。 有关详细信息,请参阅 分配管理员角色

除了执行与其角色相关的特定任务之外,我们建议所有管理员都具有以下各领域的经验:

  • 有关组织的 IT 环境、网络和 Internet 连接方面的知识

  • 支持和管理个人计算机的操作系统和应用程序的经验

  • 为用户提供帮助或培训的经验

  • 解决用户问题的能力

以下示例列举了管理员可能负有的责任:

  • 创建、更改或删除用户帐户

  • 监视服务许可证和服务运行情况

  • 管理密码

  • 解决用户在电子邮件和其他服务方面的问题

  • 管理网站和网站集

  • 支付订阅费用

  • 从现有的组织环境迁移到云

  • 就如何使用云服务为工作人员提供培训和支持

  • 将问题上报给 Microsoft 支持部门

社区资源

另请参阅

概念

Active Directory 与 Microsoft Azure AD 的相似之处

其他资源

什么是 Azure Active Directory?