使用“我的员工”管理用户

使用“我的员工”可将权限委托给某个权威人物，例如商店经理或团队主管，从而确保其员工能够访问他们的 Microsoft Entra 帐户。 组织可将常见任务（例如重置密码或更改电话号码）委托给本地团队经理，而不是依赖于中心支持人员。 通过“我的员工”门户，无法访问帐户的用户只需点击几下即可重新获取访问权限，无需求助支持人员或 IT 人员。

在为组织配置“我的员工”之前，我们建议你查看本文档和 用户文档 ，以确保你了解其工作原理及其对用户的影响。 可以利用用户文档来培训用户，让其准备好适应新的体验，并帮助确保“我的员工”成功推出。

“我的员工”的工作原理

“我的员工”基于管理单元。管理单元是资源的容器，可用于限制角色分配的管理控制范围。 有关详细信息，请参阅 Microsoft Entra ID 中的管理单元管理。 在“我的员工”中，管理单元可用于包含商店或部门中的一组用户。 然后，可将团队经理分配到一个或多个单元范围的管理角色。

开始之前

若要完成本文中的步骤，需要准备好以下资源和特权：

• 一个有效的 Azure 订阅。

  • 如果没有 Azure 订阅， 请创建一个帐户。

• 与订阅关联的 Microsoft Entra 租户。

  • 如果需要， 请创建Microsoft Entra 租户 或 将 Azure 订阅与帐户相关联。

• 你需要Microsoft Entra 租户中的 身份验证策略管理员 权限才能启用基于短信的身份验证。

• 短信身份验证方法策略中启用的每个用户都必须获得许可，即使他们不使用该方法也是如此。 每个启用的用户都必须具有以下 Microsoft Entra ID 或 Microsoft 365 许可证之一：

  • Microsoft Entra ID P1 或 P2
  • Microsoft 365 F1 或 F3
  • 企业移动性 + 安全性（EMS）E3 或 E5 或 Microsoft 365 E3 或 E5

如何启用“我的员工”

配置管理单元后，可将此范围应用到访问“我的员工”的用户。 只有拥有管理角色的用户才可以访问“我的员工”。 若要启用“我的员工”，请完成以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>用户>用户设置。

3. 在“用户功能”下，选择“管理用户功能设置”。

4. 在“管理员可以访问‘我的员工’”下，可以选择为所有用户、选定用户启用“我的员工”，或者不允许任何用户访问“我的员工”。

条件访问

可以使用 Microsoft Entra 条件访问策略来保护“我的员工”门户。 请将其用于要求在访问“我的员工”之前完成多重身份验证等任务。

强烈建议使用 Microsoft Entra 条件访问策略保护“我的员工”。 若要将条件访问策略应用到“我的员工”，首先必须花费几分钟时间访问“我的员工”站点一次，以自动预配租户中供条件访问使用的服务主体。

在创建应用于“我的员工”云应用程序的条件访问策略时，你将看到该服务主体。

使用“我的员工”

当用户选择“我的员工”时，会显示他们拥有管理权限的管理 单元 的名称。 在 “我的员工”用户文档中，我们使用术语“位置”来引用管理单元。 如果管理员的权限没有管理单元范围，则权限将在整个组织中应用。

启用“我的员工”后，拥有管理角色的已启用用户可以通过 https://mystaff.microsoft.com 访问“我的员工”。 他们可以选择某个管理单元来查看该单元中的用户，并选择一个用户来打开其配置文件。

局限性

“我的员工界面”显示每个管理单元最多 999 个用户。

重置用户的密码

必须满足以下先决条件才能为本地用户重置密码。 有关详细说明，请参阅 “启用自助密码重置 ”教程。

• 配置密码写回权限
• 在 Microsoft Entra Connect 中启用密码写回
• 在 Microsoft Entra 自助式密码重置 (SSPR) 中启用密码写回

以下角色拥有重置用户密码的权限：

• 身份验证管理员
• 特权身份验证管理员
• 支持人员管理员
• 用户管理员
• 密码管理员

在“我的员工”中打开用户的配置文件。 选择重置密码。

• 如果该用户是仅限云的用户，则你可以看到一个可为该用户指定的临时密码。

• 如果用户从本地 Active Directory 同步，则可以输入符合本地域策略的密码。 然后，可将该密码提供给该用户。

  

下次登录时，用户需要更改其密码。

管理电话号码

在“我的员工”中打开用户的配置文件。

• 选择“添加电话号码”部分可以添加用户的电话号码
• 选择“编辑电话号码”可以更改电话号码
• 选择“删除电话号码”可以删除用户的电话号码

然后，根据你的设置，用户可以使用设置的电话号码通过短信登录、执行多重身份验证，以及执行自助式密码重置。

必须拥有以下角色之一才能管理用户的电话号码：

• 身份验证管理员
• 特权身份验证管理员

管理 QR 码身份验证

可以使用 “我的员工 ”来管理用户的 QR 码身份验证方法。

在“我的员工”中为用户添加 QR 码身份验证方法

1. 以一线经理身份登录到“我的员工”门户。 选择管理单位和一线员工。

   

   

2. 单击“ 管理 QR 码身份验证方法”。

   

3. 单击“添加 QR 码方法”。

   

4. 指定到期日期和激活日期，然后单击“ 添加” 为用户生成 QR 码和 PIN。

   

5. 保存 PIN，下载或打印 QR 码，然后单击“ 完成”。 下载的 QR 码图像具有最小的最佳打印尺寸。 如果减小大小，则很难扫描 QR 码。 无法重新生成相同的 QR 码，因为它具有唯一的机密。 如果 QR 码因某种原因无法正常工作，请将其删除。 为用户创建新的 QR 码。

   

在“我的员工”中编辑用户的 QR 码身份验证方法

• 若要编辑标准 QR 码的到期日期，请单击“ 编辑”。 编辑到期日期并保存更改。

  

• 若要删除标准 QR 码，请单击“ 删除”，然后确认该作。

  

• 若要添加新的标准 QR 码，请单击标准 QR 码旁边的 “添加新 代码”。

  

  选择 QR 码的激活时间和到期日期，然后单击“ 添加”。

  

  下载或打印 QR 码，然后单击“ 完成”。

  

• 若要添加临时 QR 码，请单击临时 QR 码旁边的 “添加新 代码”。 指定 生存期（以小时 为单位）和 激活日期，然后单击“ 添加”。

  

  下载或打印 QR 码，然后单击“ 完成”。

  

• 若要重置 PIN，请单击“ 重置 PIN”。

  

  单击 “复制 PIN ”将 PIN 复制到剪贴板。

  

在“我的员工”中删除用户的 QR 码身份验证方法

1. 若要删除 QR 码身份验证方法本身，请单击“ 删除 QR 码方法”。

   

2. 单击删除以确认操作。

   

搜寻

可以使用“我的员工”中的搜索栏搜索组织中的管理单元和用户。 你可以跨组织中的所有管理单元和用户进行搜索，但只能更改你对其拥有管理权限的管理单元中的用户。

审核日志

可以在 Microsoft Entra 管理中心查看在“我的员工”中执行的操作的审核日志。 如果审核日志是“我的员工”中执行的操作生成的，则审核事件中“更多详细信息”下面会指示这一点。

后续步骤

我的教职员工用户文档管理单元文档