Microsoft Entra ID 统一身份管理与用户导入教程
在企业 IT 架构中,有一个问题堪称所有网管和安全负责人的共同噩梦:员工身份碎皮化。 新员工入职,要分别在 OA、邮件、财务、云平台等七八个系统里手动建账号;员工离职时,一旦哪个系统的账号漏删了,就等于给企业留下一颗随时可能被黑客引爆的潜在炸弹。更别提员工记不住十几套密码,每天催着 IT 重置密码的痛苦了。
要彻底终结这种混乱,你需要一个强悍的统一身份管理中心。今天我们就来聊聊微软云生态下的绝对核心——Microsoft Entra ID(它的前身是大家熟知的 Azure Active Directory,简称 Azure AD)。
本教程不绕弯子,用最接地气的真人写作风格,手把手带你理清 Entra ID 的核心架构,并教会你如何高效、安全地把成百上千名员工的账号一步导入云端。
一、 核心概念:什么是 Entra ID 统一身份管理?
很多人把 Entra ID 简单理解为“云端通讯录”,这完全低估了它。Entra ID 是整个企业云端生态的 “门卫 + 身份证颁发机构”。
它的核心逻辑是 单点登录(SSO,Single Sign-On) 和 集中化身份治理:
┌───────> [ Azure / 微软云资源 ]
│
[ 员工单个账号 ] ───┼─(SSO)─> [ 办公软件 (O365 / Teams) ]
(Entra ID 托管) │
├───────> [ 企业自研系统 / 外部 SaaS (如 Salesforce) ]
│
└─(安全策略)─> 【触发 MFA 二步验证 / 阻断异常登录】
当员工拥有一个 Entra ID 账号后,他只需要登录一次,就能无缝访问公司授权的所有系统。而 IT 管理员只需要在 Entra ID 这一个后台,就能一键冻结离职员工的所有访问权限,真正做到“一夫当关,万夫莫开”。
二、 实战准备:Entra ID 的用户类型与规划
在把员工整册迁入云端之前,我们需要根据业务场景,把用户分成两大类:
- 内部用户(Member): 你们公司的正式员工。他们拥有公司域名的邮箱(如 [email protected]),可以访问内部的核心资源和应用。
- 外部用户(Guest / 嘉宾): 公司的供应商、合作伙伴或外部顾问。他们使用自己的公共邮箱(如 Gmail 或其他公司邮箱),你通过“邀请”的方式让他们临时加入,只能访问指定的特定文件或项目,权限受到严格限制。
今天我们的重点,是解决企业新员工入职或机房上云时,如何批量导入大量的“内部正式员工”。
三、 核心实战:批量导入用户的两种绝招
面对成百上千的用户,在控制台一个一个点击“新建用户”显然会让人社会性死亡。我们重点介绍两种生产环境中最常用的批量导入方法。
方法 A:利用 CSV 模板进行一键批量导入(最适合中小型企业)
如果你们公司目前用的是 Excel 表格管理员工名单,或者刚从其他小众系统导出了一份花名册,用 CSV 批量导入是最快、最直观的办法。
步骤 1:下载官方标准模板
- 登录 Microsoft Entra 管理中心(或 Azure 门户的 Entra ID 界面)。
- 在左侧菜单中点击 “用户 (Users)” -> “所有用户 (All users)”。
- 点击顶部的 “批量操作 (Bulk operations)” -> “批量创建 (Bulk create)”。
- 在弹出的侧边栏中,点击 “下载 (Download)” 按钮,获取官方的 .csv 模板文件。
步骤 2:精准填写 CSV 矩阵(避坑指南)
用 Excel 或文本编辑器打开下载好的 CSV 文件。你会看到前几行是微软自带的说明和示例,千万不要删掉前两行标题行,否则系统识别会报错! 从第三行开始填入你的员工数据:
- 姓名 [DisplayName] (必填): 员工的名字,比如 张三 或 San Zhang。
- 用户主体名称 [UserPrincipalName] (必填): 这是员工的云端登录账号,必须是邮箱格式。例如 [email protected](如果你绑定了公司独立域名,则是 [email protected])。
- 初始密码 [Password] (必填): 给员工设一个初始密码(必须符合复杂性要求)。强烈建议在后续设置中勾选“用户在下次登录时必须修改密码”,保障初始安全。
- 屏蔽登录 [BlockSignin] (必填): 输入 No(如果输入 Yes,员工建好账号也是冻结状态,无法登录)。
步骤 3:上传与验证
填好后,将文件保存为 UTF-8 编码的 CSV 格式(防止中文姓名乱码)。回到 Entra ID 上传页面,把文件拖进去,点击 “提交 (Submit)”。
稍等片刻,点击“批量操作结果”,如果全是一片绿色的勾,说明导入成功。员工们现在就可以用你分配的账号登录 Microsoft 365 或 Azure 资源了。
方法 B:混合云高阶玩法——Entra Connect 同步(最适合大型传统企业)
如果你们公司历史悠久,本地机房里原本就有一套运行多年的 Windows Server AD(Active Directory 域服务器),日常由 HR 或网管在本地维护,那么千万不要用 CSV 重复导入。
你应该使用微软的王牌同步工具:Microsoft Entra Connect。
[ 本地机房 ] [ 微软云端 ]
┌────────────────────────┐ ┌────────────────────────┐
│ 本地 Windows Server │ │ Microsoft Entra ID │
│ Active Directory │ │ (云端身份中心) │
│ (本地 AD) │ │ │
│ │ │ Entra Connect │ ▲ │
│ ▼ │ │ │ │
│ ┌────────────────────┐ │ (增量自动同步) │ │ │
│ │Entra Connect 同步机│─┼──────────────────┼───────────┘ │
│ └────────────────────┘ │ │ │
└────────────────────────┘ └────────────────────────┘
运作逻辑:
- 在本地机房找一台通网的服务器,下载并安装 Microsoft Entra Connect 软件。
- 配置向导会让你输入本地 AD 的管理员凭据,以及云端 Entra ID 的全局管理员账号。
- 建立连接后,该软件会充当“传声筒”,每隔 30 分钟自动扫描本地 AD 的变化。
- 你在本地机房新建一个用户、或者修改了某个员工的密码,半小时内,云端的 Entra ID 就会自动同步更新。员工甚至可以使用完全相同的密码实现本地开机与登录云端(密码哈希同步,Password Hash Synchronization)。
这是大型企业走向混合云、实现身份统一管理的终极形态。
四、 导入后的黄金安全铁律:千万别漏了这一步!
用户成批导入进来了,密码也发下去了,这时候作为管理员的你,工作才刚刚开始。为了防止某个员工图省事把密码设成 12345678 导致全盘崩溃,你必须立刻加装两道安全护栏:
1. 强制开启条件访问(Conditional Access)与多因素认证(MFA)
单纯的“账号+密码”在今天等于裸奔。在 Entra ID 菜单中找到 “保护 (Protection)” -> “条件访问 (Conditional Access)”。
- 创建一个策略:要求所有员工在非公司内网 IP 登录时,必须在手机上通过 Microsoft Authenticator App 进行二次确认(MFA)。
- 这样一来,哪怕员工的密码在互联网上泄露了,黑客没有员工的手机,也休想踏入系统一步。
2. 妥善配置自助密码重置(SSPR)
别让 IT 团队的时间浪费在“帮员工改密码”这种琐事上。
- 在 Entra ID 的 “密码重置 (Password reset)” 选项卡中,将“已启用自助服务密码重置”设为 “全部 (All)”。
- 员工只要绑定了自己的手机号或个人邮箱,以后密码忘了,自己在登录页点击“忘记密码”,就能通过验证码自行找回,省时省力。
总结
Microsoft Entra ID 绝非单纯的云端用户数据库,它是企业数字化转型和零信任安全(Zero Trust)的底座。
通过 CSV 批量导入,中小型企业可以在半小时内让全体员工平滑拥抱云端办公;通过 Entra Connect,大型企业可以完美桥接本地资产与现代化云原生应用。做好身份的统一治理,让权限随人走、安全随身行,你的企业数字化大厦才算打下了最稳固的地基。
