Office 365身份验证和访问:管理用户和权限

教程

Office 365 身份与访问:管理用户和权限。本文演示了如何使用身份和访问管理工具在 Office 365 中管理用户帐户和权限。

我们首先探讨了 Office 365 身份和访问管理解决方案的概述。在这一部分中,我们讨论了如何在 Office 365 身份和访问管理中创建不同类型的用户并授予他们对资源的访问权限。

特别是,本节重点介绍了如何使用 Microsoft 365、Azure AD 门户或 Azure AD PowerShell 创建内部和外部用户。此外,我们演示了如何利用这三种工具为用户授予对必要资源的访问权限。

此外,管理用户帐户和权限涉及重置用户密码。因此,本文讨论了使用三种方法重置 Office 365 用户的密码。

另请阅读防范 Office 365 钓鱼攻击

Office 365 身份和访问管理概述

Office 365 身份和访问管理 (IAM) 工具允许管理员管理用户帐户和权限。Microsoft 365 提供两种类型的用户:内部用户和外部用户。 

内部用户是组织的一部分,而外部用户属于添加到 Office 365 租户的另一个组织,用于协作目的。

创建内部或外部用户后,通过角色或组向他们授予对资源的访问权限。要通过角色授予访问权限,请将用户添加到角色中。

当通过组成员身份向用户授予资源访问权限时,建议将用户添加到组中。然后,将该组添加到适当的Azure AD角色。

这种方法确保用户继承分配给组的权限。

请注意,在创建组并将组添加到角色时,必须首先启用角色分配。但是,一旦启用了此设置,对于该组就是永久的。

或者,您可以将可分配角色的组访问权限分配给内置角色,然后将用户添加到组中。

还可阅读 在Office 365中实施基于角色的访问控制的方法

方法1:

使用M365门户来管理用户帐户和Office 365身份验证与访问控制权限

此外,我们提供逐步指导,介绍如何创建Microsoft 365组,将用户添加到组中,以及将用户或组分配到角色。

第1步骤2选择:在Microsoft 365门户中创建Office

要开始在Microsoft 365中管理用户和权限,请使用具有适当权限的帐户访问admin.microsoft.com

接下来,访问活跃用户页面。点击导航菜单图标(如果尚未展开),然后从用户节点中选择“活跃用户”。

在“活跃用户”页面上,点击“添加用户”以启动新用户创建工作流程。这将引导您完成添加必要用户详细信息的过程,并在需要时分配许可证和角色。

还阅读如何监视Office 365活动日志以改善安全性

步骤1选项2:在Microsoft 365门户中创建Office 365外部用户

为了确保其他用户可以将外部用户的日历添加到自己的日历中,建议您在创建Microsoft 365中的外部用户之前,首先将用户作为Exchange Online中的邮件联系人添加。

根据我的经验,如果您跳过此步骤,其他用户可能会遇到问题,无法将外部用户的日历添加到自己的日历中。

但是,如果内部用户不需要将外部用户添加到其日历中,则可以跳过此步骤,并继续下面的第2阶段:阶段1:在Exchange Online中为用户添加邮件联系人(可选)。

阶段1:在Exchange Online中为用户添加邮件联系人(可选)。

要打开Exchange Online联系人页面,请使用管理员凭据登录到admin.exchange.microsoft.com。登录后,导航至收件人 -> 联系人页面。

最后,点击“添加邮件联系人”并完成步骤。我添加了我的Gmail帐户以进行演示。

阶段2:将邮件联系人添加为访客用户。

登录到admin.microsoft.com,在用户选项卡中导航至“访客用户”部分。接下来,点击“添加访客用户”以开始添加新的访客用户。

此操作将在新的浏览器选项卡中打开Azure AD“新用户”页面。在Azure AD页面中,选择邀请用户选项,添加所需信息,然后点击邀请按钮。

要激活他们的帐户,外部用户需要检查他们从Microsoft收到的电子邮件,并按照消息中提供的链接进行操作。

还阅读使用条件访问策略增强Office 365安全性

步骤2选项1:通过Office 365门户中的角色授予用户帐户权限

要在 Office 365 中为用户分配角色,请转到 Microsoft 365 门户并按照以下说明操作。

将内部和外部用户分配到 Microsoft 365 角色。

1. 在菜单上展开角色,然后单击角色分配

2. 接下来,单击Azure AD角色以分配用户,例如,“Helpdesk 管理员”。

3. 在角色弹出窗口上,单击已分配选项卡。然后,单击“添加用户”。最后,选择要分配角色的用户,然后单击添加

添加后,请检查“已分配”选项卡以确认它们已成功添加。

还可阅读查看 Office 365 用户报告

第 2 步选项 2:通过 Microsoft 365 门户中的组为用户帐户授予权限

要通过组为用户分配访问权限,请按照 2 步骤进行。

首先,将用户添加到群组中。接下来,使用角色管理界面将群组分配给一个角色。

如前所述,在创建群组时必须选择将角色分配给群组的选项。因此,要将用户角色分配给群组,需要在创建过程中创建一个群组并启用角色分配功能。

1. 要做到这一点,在Microsoft 365门户中,展开“Teams & groups”,然后选择“Active teams & groups”。

2. 接下来,要打开“添加群组”工作流程,请单击添加群组

在创建新群组时,您可以在工作流程的“成员”部分将用户添加到群组中。此外,您可以在“设置”部分中选中“允许将管理员角色分配给此群组”复选框。

请参考下面的第二个屏幕截图进行配置。

3. 要将角色分配给群组,请导航到菜单,展开角色,然后单击角色分配

4. 单击角色分配后,选择要分配给群组的Azure AD角色,例如“Helpdesk Administrator”。

5. 然后,在角色弹出窗口中,单击已分配选项卡。然后,单击“添加群组”。

最后,选择您想要分配角色的群组,然后单击添加

将群组添加到角色后,请检查“已分配”选项卡,确认它们已成功添加。

还可阅读前10名最佳IAM工具 – 身份访问管理(优缺点)

在Microsoft 365门户中重置Office 365用户密码

1. 要在Microsoft 365门户中重置用户密码,请在导航面板中展开“用户”菜单。然后选择“活动用户”,悬停在需要密码重置的用户帐户上。

2. 单击悬停在帐户上时出现的钥匙符号。这将启动密码重置过程。

3. 最后,在“重置密码”弹出窗口上选择所需选项,然后单击“重置密码”。Microsoft 365门户将显示带有密码的确认消息。

另请阅读检查Azure AD审计日志以查看用户登录(成功失败)

方法2:

使用Azure AD门户管理Office 365 IAM用户帐户和权限

此门户提供了一系列功能和工具,使管理员能够管理用户帐户,包括配置权限等。本节探讨了在Azure AD门户中管理用户帐户的关键步骤。

步骤1选项1:在Azure AD门户中创建Office 365内部用户

1. 首先,登录到portal.azure.com,然后在菜单中选择用户选项。

2. 然后,单击“+添加”并选择用户。最后,选择创建 用户模板,提供所需的详细信息,然后单击创建

另请阅读New-MgGroupMemberByRef – 使用Powershell将用户添加到Azure AD组

步骤1选项2:在Azure AD门户中创建Office 365外部用户

早些时候,我建议在创建外部用户之前为用户添加邮件联系人。如果您的内部用户需要将外部用户的日历添加到自己的日历中,则建议这样做。

要创建邮件联系人,请登录到Exchange Online联系人页面,网址为admin.exchange.microsoft.com。登录后,转到收件人 -> 联系人页面。然后,点击“添加邮件联系人”并完成所需步骤。

要在完成上述可选步骤后向 Azure AD 中的外部用户发送邀请,请按照以下步骤操作:

1. 首先,按照“第1步”指南操作,直至到达第2步。

2. 然后,选择邀请用户模板。最后,提供所需信息并点击邀请

完成上述步骤后,用户将收到来自Microsoft的电子邮件

邮件中包含一个链接,用于完成他们的Azure AD注册。用户应点击链接以完成该过程。

另请阅读Get-MgUser – 查找 Azure AD 用户并使用 PowerShell 脚本进行筛选

第2步选项1:通过 Azure AD 门户为用户帐户授予权限

1. 创建用户后,请使用 Azure AD 门户为用户分配角色。单击 Azure Active Directory 菜单中的“角色和管理员”以完成此任务。

2. 然后,选择要分配给用户的角色。如有需要,请使用搜索功能。

3. 接下来,单击“+ 添加分配”以完成流程。

另请阅读如何在 Azure AD Connect 上启用密码写回

第2步选项2:通过 Azure AD 门户中的组为用户帐户授予权限

在上述的第1步中,我们演示了如何通过Azure AD 角色为用户分配权限。然而,一个潜在更好的方法是基于组 成员资格来分配用户角色。

按照以下步骤完成Azure AD中的任务:

首先,创建一个组并启用它以分配AD角色。其次,将用户添加为新组的成员。

最后,通过将角色分配给Azure AD组来分配您想要分配给用户的角色。

以下是实际操作步骤:

1. 在菜单中点击“组”,然后点击“新建组”。

2. 打开“将Azure AD角色分配给组”,选择下面截图中的选项,然后点击“创建”以完成创建组。

接下来,按照以下步骤 添加用户 到组并将其分配到一个角色:

3. 在 节点中点击组,然后在组页面上点击“成员”。然后,点击“+ 添加成员”将用户添加到 Azure AD 组中。

4. 要为Azure Active Directory角色分配,请在Azure Active Directory菜单中点击“角色和管理员”。然后,选择要分配给该组的角色。最后,点击“+添加分配”。


另请阅读如何使用PowerShell连接到Office 365

在Azure AD门户中重置Office 365用户密码

管理员必须能够重置密码,以使用Office 365 IdentityAccess Management解决方案管理用户帐户和权限。因此,了解用户密码可以在Azure AD门户中重置是很有帮助的。

1. 点击用户节点以在Azure Active Directory门户中重置用户帐户。

2. 利用搜索功能选择用户。然后,点击位于用户详情上方的“重置密码”完成流程。

另请阅读 如何检查 Office 365 用户是否已启用 MFA

方法三:

使用 PowerShell 管理 Office 365 身份验证和访问权限

现在,让我们继续介绍第三种方法,即使用PowerShell来完成相同的任务。

首先,我们需要安装所需的 PowerShell模块

步骤1:安装所需的模块:AzureAD、ExchangePowerShell、Az.Accounts 和 Az.Resources

1. 以管理员身份打开 PowerShell。搜索PowerShell,然后点击“以管理员身份运行”。

2. 在以管理员身份打开的 PowerShell 中执行以下命令,以打开运行从已下载模块中的命令的新实例。

powershell.exe -ExecutionPolicy "RemoteSigned"

3. 然后,运行以下命令安装必要的PowerShell模块。第一个命令安装模块,第二个命令将其导入到您的当前PowerShell会话。

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

还可以阅读使用PowerShell获取Active Directory组成员并导出为CSV

第2步选项1:在PowerShell中创建Office 365内部用户

1. 运行以下命令连接到您的Azure AD租户。这将提示PowerShell请求您的登录详细信息。

Connect-AzureAD

2. 连接后,运行以下命令创建新的Office 365用户。

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

还可以阅读Get-AzureADAuditSignInLogs – 查找最近30天的登录日志

第2步选项2:在PowerShell中创建Office 365外部用户

如前两种方法所述,可以通过首先创建邮件联系人来添加外部用户,这是一个可选步骤。

如果您的内部用户需要将外部用户的日历添加到自己的日历中,请按照步骤1至2,使用PowerShell添加邮件联系人。或者,直接跳至步骤3。

1. 在打开的 PowerShell 控制台上连接到Exchange Online,运行下面的命令,并在 PowerShell 提示时输入您的登录详细信息

Connect-ExchangeOnline

2. 使用此命令添加要邀请的外部用户的邮件联系人。根据需要修改命令的部分。

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. 接下来,通过运行提供的命令发送邀请:在运行命令之前修改参数。

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

还可阅读0xc000006a – 用户登录拼写错误或密码错误

步骤3 选项1:通过 PowerShell 授予用户帐户权限。

运行以下命令将用户分配给角色。根据您的需求修改命令。

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#步骤1获取要添加到角色的用户的ID

#步骤2获取要分配给用户的角色的ID

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#步骤3分配角色给用户

步骤3选项2:通过PowerShell在组中授予用户帐户权限

要通过组成员身份将角色分配给用户,请运行以下脚本中的命令。

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#步骤 1在Azure Active Directory中创建一个角色分配组如果你已经有一个现有的角色分配组,可以跳过这一步

#步骤 2获取你想要添加到角色中的用户的ID

#步骤 3将用户添加到AAD

#步骤 4将Azure AD组添加到Azure AD角色

另请阅读SSPR:启用Azure Active Directory自助密码重置

在PowerShell中重置Office 365用户密码

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/