创建 Microsoft 365 服务帐户

创建 Microsoft 365 服务帐户的步骤

1. 以全局管理员身份登录 Microsoft 365 管理中心。
2. 点击管理。
3. 进入用户 → 活跃用户。
4. 选择添加用户。
5. 输入显示名和用户名。(名和姓是可选的)
6. 选择自动创建密码选项或提供一个密码。
7. 点击下一步。
8. 服务帐户不需要许可。因此，选择您的使用位置并创建没有产品许可的用户单选按钮。
9. 点击下一步。
10. 在角色选项下，选择管理中心访问权限并选择所需的角色。(Exchange管理员是必须的)
11. 点击下一步。
12. 选择添加完毕。

如何配置启用 MFA 的服务帐户

如果您的服务帐户启用了 MFA，则需要使用 Microsoft 365 的条件访问或受信任的 IP 功能来绕过 MFA。

配置可信 IP 的步骤

Azure AD 的受信任 IP 功能可帮助属于定义的 IP 地址范围的用户绕过多重身份验证。简而言之，此类用户将禁用 MFA 提示。

• 使用您的全局管理员凭据登录到 portal.azure.cn。
• 点击Azure服务下的Azure Active Directory。
• 从左侧栏中选择安全组。
• 点击左侧栏管理类别下的命名位置。
• 点击新建位置。
• 在打开的新窗口中，添加新命名位置。
• 输入安装了M365 Manager Plus的计算机的IP地址，将其标记为可信位置。
• 点击创建。

配置条件访问的步骤

在本节中，我们将创建一个策略来强制执行 MFA，并排除 M365 Manager Plus 的用户，这样他们就不必进行多重身份验证。

• 使用您的全局管理员凭据登录到 portal.azure.cn。
• 点击Azure服务下的Azure Active Directory。
• 从左侧栏中选择安全组。
• 点击左侧栏保护类别下的条件访问。
• 点击新建策略。
• 提供一个策略名称。
• 点击用户和组选项。
• 选择排除选项。
• 选中用户和组复选框，然后选择不得对其强制执行 MFA 的 M365 Manager Plus 用户。
• 点击选择。
• 在访问控制部分下，点击授予。
• 选择授予访问权单选按钮，并选择需要多重身份验证复选框。
• 点击选择。
• 点击创建和保存。

最小范围

下面列出了 M365 Manager Plus 中配置的服务帐户所需的角色和权限（最小范围）。

模块	角色名称	范围
管理	用户管理员	管理用户、联系人和组。
	特权认证管理员	重置密码、锁定或解锁管理员。
	特权角色管理员	管理 Azure Active Directory 中的角色分配。
	Exchange管理员	更新邮箱属性。
	Teams服务管理员	管理Microsoft Teams。
报表	全局读取者	获取所有Microsoft 365服务的报表。
	安全读取者	安全读取者
审计和告警	安全读取者	获取审计日志和登录报表
监控	-	-
内容搜索	-	-

下面列出了 M365 Manager Plus 中配置的应用程序所需的角色和权限（最小范围）。

模块	API名称	权限	范围
管理	Microsoft Graph	User.ReadWrite.All	用户创建、修改、删除和恢复。
		Group.ReadWrite.All	组的创建、修改、删除、恢复。并添加或删除成员和所有者。
报表	Microsoft Graph	User.Read.All	用户和组成员报表。
		Group.Read.All	组报表。
		Contacts.Read	联系人报表。
		Files.Read.All	OneDrive for Business报表。
		Reports.Read.All	使用报表。
		Organization.Read.All	许可明细报表。
		AuditLog.Read.All	基于审计日志的报表。
	Azure Active Directory Graph	Domain.Read.All	基于域的报表。
Auditing and Alerting	Microsoft Graph	AuditLog.Read.All	审计报表和告警。
Monitoring	Office 365 Management APIs	ServiceHealth.Read	健康和性能报表。
Content Search	Microsoft Graph	Mail.Read	内容搜素报表。