Office 365身份和訪問：管理用戶和權限

教學

Office 365身份和存取：管理使用者和權限。本文示範如何使用Office 365中的身份和存取管理工具管理使用者帳戶和權限。

我們首先探索Office 365身份和存取管理解決方案的概述。在這一部分，我們討論如何在Office 365身份和存取管理中創建不同類型的使用者並授予他們對資源的存取權限。

特別是，本節重點介紹如何使用Microsoft 365、Azure AD門戶或Azure AD PowerShell創建內部和外部使用者。此外，我們演示如何使用這三種工具為使用者授予對必要資源的存取權限。

此外，管理使用者帳戶和權限涉及重設使用者密碼。因此，本文討論了如何使用三種方法重設 Office 365 使用者的密碼。

另請參閱在 Office 365 中防範釣魚攻擊

Office 365 身分和存取管理概述

Office 365 身分和存取管理 (IAM) 工具允許管理員管理使用者帳戶和權限。Microsoft 365 提供 2 種使用者類型: 內部和外部。

內部使用者是組織的一部分，而外部使用者屬於為合作目的而添加到 Office 365 租戶的另一組織。

一旦您創建內部或外部使用者，您可以通過角色或群組授予他們對資源的訪問權限。要通過角色授予訪問權限，請將使用者添加到該角色。

當通過組成員身份授予使用者訪問資源時，建議將使用者添加到該組中。然後，您將該組添加到適當的Azure AD角色。

這種方法確保使用者繼承分配給組的權限。

請注意，在創建組並將組添加到角色時，必須首先啟用角色分配。但是，一旦啟用了此設置，對於該組便是永久的。

或者，您可以將可分配角色的組授予內建角色的訪問權限，然後將使用者添加到該組。

還可閱讀如何在 Office 365 中實施基於角色的存取控制

方法1：

使用 M365 門戶管理使用者帳戶和 Office 365 身份和訪問管理中的權限

此外，我們提供了有關創建 Microsoft 365 組、將使用者添加到該組以及將使用者或組分配到角色的逐步指導。

步驟1 選項2：在 Microsoft 365 門戶中創建 Office 365 內部使用者

1. 要開始在 Microsoft 365 中管理使用者和權限，請使用具有適當權限的帳戶登入 admin.microsoft.com。

2. 接下來，進入 活躍使用者 頁面。點擊導航選單圖示（如果尚未展開），並從 使用者 節點中選擇“活躍使用者”。

3. 在“活躍使用者”頁面上，點擊“新增使用者”以啟動新使用者創建工作流程。這將引導您完成添加必要使用者詳細信息的過程，並在需要時分配許可證和角色。

同時閱讀如何監視 Office 365 活動日誌以提高安全性

步驟1選項2：在 Microsoft 365 門戶中創建 Office 365 外部使用者

為了確保其他使用者可以將外部使用者的日曆添加到自己的日曆中，建議您在在 Microsoft 365 中創建外部使用者之前，先將該使用者作為 Exchange Online 中的郵件聯絡人添加。

根據我的經驗，如果您跳過此步驟，其他使用者可能會遇到添加外部使用者的日曆到自己日曆中的問題。

但是，如果內部使用者不需要將外部使用者添加到他們的日曆中，則可以跳過此步驟並繼續進入下面的第二階段：階段1：在 Exchange Online 中為使用者添加郵件聯絡人（可選）。

階段1：在Exchange Online中為用戶添加郵件聯繫人（可選）。

要打開Exchange Online聯繫人頁面，請使用您的管理員憑證登錄到admin.exchange.microsoft.com。登錄後，導航到接收者 -> 聯繫人頁面。

最後，點擊“添加郵件聯繫人”並完成步驟。我添加了我的Gmail帳戶用於演示。

階段2：將郵件聯繫人添加為來賓用戶。

登錄到admin.microsoft.com並導航到用戶選項卡內的“來賓用戶”部分。接下來，點擊“添加來賓用戶”以開始添加新的來賓用戶。

該操作會在新瀏覽器標籤中打開Azure AD的“新建用戶”頁面。在Azure AD頁面中，選擇邀請用戶選項，添加所需信息，然後點擊邀請按鈕。

為了激活他們的帳戶，外部用戶需要檢查他們的Microsoft電子郵件並按照消息中提供的鏈接進行操作。

另請閱讀使用條件訪問策略增強Office 365安全性

步驟2選項1：通過Office 365門戶中的角色授予用戶帳戶權限

要在Office 365中指派角色給使用者，請前往Microsoft 365入口網站並遵循以下指示。

指派內部和外部使用者至Microsoft 365角色。

1. 在選單中，展開角色並點擊角色指派。

2. 接著，點擊要指派使用者的Azure AD角色，例如，“技術支援管理員”。

3. 在角色飛出視窗中，點擊已指派標籤。然後，點擊“新增使用者”。最後，選擇您想要指派角色的使用者並點擊新增。

新增後，檢查“已指派”標籤以確認他們已成功新增。

亦可閱讀查看Office 365使用者報告

步驟2 選項2：透過Microsoft 365入口網站中的群組授予使用者帳戶權限

要透過群組指派使用者存取權，請遵循一個2步驟的流程。

首先，新增使用者至群組。接著，透過角色管理介面將群組指派給某個角色。

如前所述，在創建群組時必須選擇指派角色給群組的選項。因此，若要使用群組來指派使用者角色，請創建一個群組，並在創建過程中啟用角色指派功能。

1. 為此，在Microsoft 365入口網站中，展開“Teams & groups”，然後選擇“Active teams & groups”。

2. 接下來，要開啟“新增群組”工作流程，請點擊新增群組。

在創建新群組時，您可以在工作流程的“Members”部分將使用者新增至群組。此外，您可以在“Settings”部分勾選“允許將管理員角色指派給此群組”的核取方塊。

請參考下面的第二張螢幕截圖以進行配置。

3. 要將角色指派給群組，請導航至選單，展開Roles，然後點擊Role Assignments。

4. 點擊Role Assignments後，選擇要指派給群組的Azure AD角色，例如“Helpdesk Administrator”。

5. 然後，在角色飛出視窗中，點擊Assigned標籤。接著，點擊“新增群組”。

6. 最後，選擇您想要指派角色的群組，然後點擊新增.

一旦您將群組加入角色，請檢查“已指派”標籤以確認它們已被成功添加.

另請閱讀十大最佳IAM工具 – 身份存取管理（優缺點）

在Microsoft 365 Portal中重設Office 365用戶密碼

1. 要在Microsoft 365入口網站中重設用戶密碼，請在導覽面板中展開“用戶”菜單。接著，選擇“活躍用戶”並將游標懸停在需要密碼重設的用戶帳戶上.

2. 當游標懸停在帳戶上時，點擊出現的鑰匙符號。這將啟動密碼重設過程.

3. 最後，在“重設密碼”彈出窗口中選擇所需的選項，然後點擊“重設密碼”。Microsoft 365入口網站將顯示一條確認消息，其中包含新密碼。

另請閱讀檢查Azure AD審計日誌以查看用戶登錄（成功失敗）

方法2：

使用Azure AD門戶管理用戶帳戶和權限與Office 365 IAM

該門戶提供了一系列功能和工具，使管理員能夠管理用戶帳戶，包括配置權限等。本節探討了在Azure AD門戶中管理用戶帳戶的關鍵步驟。

步驟1選項1：在Azure AD門戶中創建Office 365內部用戶

1. 首先，登錄到portal.azure.com並導航到菜單中的用戶選項。

2. 然後，點擊“+添加”並選擇用戶。最後，選擇創建用戶模板，提供所需詳細信息，然後點擊創建。

另請閱讀使用PowerShell的New-MgGroupMemberByRef – 將用戶添加到Azure AD組

步驟1選項2：在Azure AD門戶中創建Office 365外部用戶

早些時候，我建議在創建外部用戶之前為用戶添加一個郵件聯繫人。如果您的內部用戶需要將外部用戶的日曆添加到自己的日曆中，這是推薦的做法。

要創建郵件聯繫人，請登錄到Exchange Online聯繫人頁面，網址為admin.exchange.microsoft.com。登錄後，導航到收件人 -> 聯繫人頁面。然後，點擊“添加郵件聯繫人”並完成所需的步驟。

在完成上述可選步驟後，向外部用戶發送Azure AD邀請，請按照以下步驟操作：

1. 首先，按照“步驟1之2”指南操作，直到到達步驟2。

2. 然後，選擇邀請用戶模板。最後，提供所需信息並點擊邀請。

完成上述步驟後，用戶將收到來自Microsoft的電子郵件。

該郵件包含一個鏈接，用於完成他們的Azure AD註冊。用戶應該點擊該鏈接以完成流程。

另請參閱使用PowerShell腳本查詢Azure AD用戶並進行過濾

第二步選項1：通過Azure AD門戶中的角色授予用戶帳戶權限

1. 創建用戶後，使用Azure AD門戶將角色分配給用戶。點擊Azure Active Directory菜單中的“角色和管理員”來完成此任務。

2. 然後，選擇您想要分配給用戶的角色。如果需要，可以使用搜索功能。

3. 接下來，點擊“+ 添加分配”以完成過程。

另請參閱如何在Azure AD Connect中啟用密碼寫回

第二步選項2：通過Azure AD門戶中的組授予用戶帳戶權限

在上述第1點的第3步中，我們展示了如何通過Azure AD 角色為用戶分配權限。然而，一個可能更好的方法是根據群組成員資格分配用戶角色。

請按照以下步驟在Azure AD中完成任務：

首先，創建一個群組並啟用它以分配AD角色。其次，將用戶添加為新群組的成員。

最後，通過將角色分配給Azure AD群組來為用戶分配您想要分配的角色。

以下是實際操作步驟：

1. 點擊菜單中的“群組”，然後點擊“新建群組”。

2. 開啟“Azure AD角色被分配給群組”，選擇下圖中的選項，然後點擊“創建”以完成群組的創建。

接下來，請按照以下步驟將用戶添加到群組並將其分配給角色：

3. 點擊群組節點中的群組，然後在群組頁面上點擊“成員”。接著，點擊“+ 添加成員”將用戶添加到Azure AD群組中。

4. 要將群組指派給Azure Active Directory角色，請在Azure Active Directory選單中點擊“角色和管理員”。然後，選擇您想要指派給群組的角色。最後，點擊“+ 新增指派”。

另請閱讀如何使用Powershell連接到Office 365

在Azure AD入口網站中重設Office 365用戶密碼

管理員必須能夠重設密碼，以便使用Office 365身份和訪問管理解決方案來管理用戶帳戶和權限。因此，了解用戶密碼可以在Azure AD入口網站中重設是很好的。

1. 在Azure Active Directory入口網站中，點擊用戶節點以重設用戶帳戶。

2. 利用搜尋功能來選擇用戶。然後，通過點擊位於用戶詳情上方的“重置密碼”來完成流程。

另請閱讀如何在Office 365中檢查用戶是否已啟用MFA

方法3：

使用PowerShell管理用戶帳戶和權限與Office 365身份和訪問管理

現在，讓我們轉到第三種也是最後一種方法，這涉及使用PowerShell來完成相同的任務。

首先，我們需要安裝完成手頭任務所需的PowerShell模塊。

步驟1：安裝所需的模塊：AzureAD、ExchangePowerShell、Az.Accounts和Az.Resources

1. 以管理員身份打開PowerShell。搜索PowerShell，然後點擊“以管理員身份運行”。

2. 在以管理員身份打開PowerShell後，為了打開一個運行下載模塊命令的新實例，執行以下命令。

powershell.exe -ExecutionPolicy "RemoteSigned"

3. 接著，為了安裝必要的PowerShell模組，請執行以下命令。第一條命令安裝模組，而第二條則將它們導入到您當前的PowerShell會話中。

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

另請參閱使用PowerShell獲取Active Directory組的成員並導出到CSV

步驟2 選項1：在PowerShell中創建Office 365內部用戶

1. 通過運行此命令連接到您的Azure AD租戶。這將提示PowerShell請求您的登錄詳細信息。

Connect-AzureAD

2. 連接後，運行以下命令以創建新的Office 365用戶。

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

另請參閱使用PowerShell查找最近30天的登錄日誌 – Get-AzureADAuditSignInLogs

步驟2 選項2：在PowerShell中創建Office 365外部用戶

如前兩種方法所述，可以先將外部用戶創建為郵件聯繫人，這是一個可選步驟。

如果您的內部用戶需要將外部用戶的日曆添加到自己的日曆中，那麼請按照步驟1到2使用PowerShell添加郵件聯繫人。或者，直接跳到步驟3。

1. 在步驟2選項1中打開的PowerShell控制台上連接到Exchange Online，運行以下命令並在PowerShell提示時輸入您的登錄詳細信息。

Connect-ExchangeOnline

2. 使用以下命令為您打算邀請的外部用戶添加郵件聯繫人。根據需要修改命令的部分。

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. 接下來，運行提供的命令發送邀請：在運行命令之前修改參數。

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

也請閱讀0xc000006a – 用戶登錄拼寫錯誤或密碼錯誤

步驟3選項1：通過PowerShell中的角色授予用戶帳戶權限

執行以下命令將用戶分配給角色。修改命令以滿足您的需求。

I have included comments in the script to explain each command.

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#步驟1:取得您想要添加到角色的用戶的ID:

#步驟2:取得您想要分配給用戶的角色的ID

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#步驟3:將角色分配給用戶

步驟3選項2：通過PowerShell中的組授予用戶帳戶權限

要通過其組成員資格將角色分配給用戶，請在以下腳本中運行命令。

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#步驟 1: 在Azure Active Directory中建立一個角色指派群組– 如果您已經有現成的角色指派群組，請跳過此步驟

#步驟 2: 取得您想要加入角色的用戶的ID:

#步驟 3: 將用戶加入到AAD群組

#步驟 4: 將Azure AD群組加入到Azure AD角色

另請閱讀 SSPR: 啟用Azure Active Directory自助式密碼重設

使用PowerShell重設Office 365用戶密碼

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/