Verwalten von Administratorkonten in Azure Active Directory B2C
Ein Mandant in Azure Active Directory B2C (Azure AD B2C) stellt Ihr Verzeichnis von Consumer-, Arbeits- und Gastkonten dar. Mit einer Administratorrolle können Arbeits- und Gastkonten den Mandanten verwalten.
In diesem Artikel werden folgende Vorgehensweisen behandelt:
- Hinzufügen eines Administrators (Arbeitskonto)
- Einladen eines Administrators (Gastkonto)
- Hinzufügen einer Rollenzuweisung zu einem Benutzerkonto
- Entfernen einer Rollenzuweisung für ein Benutzerkonto
- Löschen eines Administratorkontos
- Verwaltungskonten schützen
Voraussetzungen
- Wenn Sie Ihren eigenen Azure AD B2C-Mandanten noch nicht erstellt haben, erstellen Sie jetzt einen. Sie können einen vorhandenen Azure AD B2C-Mandanten verwenden.
- Grundlegendes zu Benutzerkonten in Azure AD B2C
- Grundlegendes zum Steuern des Ressourcenzugriffs mithilfe von Benutzerrollen
Hinzufügen eines Administrators (Arbeitskonto)
Führen Sie diese Schritte aus, um ein neues Administratorenkonto zu erstellen:
Melden Sie sich im Azure-Portal als Benutzer mit Berechtigungen der Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.
Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder verwenden Sie das Suchfeld, um nach Azure AD B2C zu suchen und diese Option auszuwählen.
Wählen Sie unter Verwalten die Option Benutzer aus.
Wählen Sie Neuer Benutzer aus.
Wählen Sie Benutzer erstellen aus (Sie können viele Benutzer gleichzeitig erstellen, indem Sie Ich möchte Benutzer per Massenvorgang erstellenauswählen).
Geben Sie auf der Seite Benutzer Informationen für diesen Benutzer ein:
- Benutzername. Erforderlich. Der Benutzername des neuen Benutzers. Beispiel:
mary@contoso.com
. Der Domänenteil des Benutzernamens muss entweder der anfängliche Standarddomänenname, <Mandantenname>.onmicrosoft.com oder Ihr benutzerdefinierter Domänennamen, z. B.contoso.com
, sein. - Name: Erforderlich. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
- Gruppen. Optional: Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
- Verzeichnisrolle: Wenn Sie Microsoft Entra-Administratorberechtigungen für den Benutzer benötigen, können Sie diese einer Microsoft Entra-Rolle hinzufügen. Sie können dem Benutzer die Rolle „Globaler Administrator“ oder mindestens eine der eingeschränkten Administratorrollen in Microsoft Entra zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Verwenden von Rollen zum Steuern des Ressourcenzugriffs.
- Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
- Benutzername. Erforderlich. Der Benutzername des neuen Benutzers. Beispiel:
Kopieren Sie das automatisch generierte Kennwort aus dem Feld Kennwort. Sie müssen dieses Kennwort dem Benutzer für die erste Anmeldung bereitstellen.
Klicken Sie auf Erstellen.
Der Benutzer wird erstellt und Ihrem Azure AD B2C-Mandanten hinzugefügt. Es ist besser, mindestens ein natives Arbeitskonto für Ihren Azure AD B2C-Mandanten zu verwenden, dem die Rolle „Globaler Administrator“ zugewiesen ist. Dieses Konto kann als Break-Glass-Konto oder Konto für den Notfallzugriff betrachtet werden.
Einladen eines Administrators (Gastkonto)
Sie können auch einen neuen Gastbenutzer einladen, um Ihren Mandanten zu verwalten. Das Gastkonto ist die bevorzugte Option, wenn Ihre Organisation auch über Microsoft Entra ID verfügt, da der Lebenszyklus dieser Identität extern verwaltet werden kann.
Um einen Benutzer einzuladen, befolgen Sie diese Schritte:
Melden Sie sich im Azure-Portal als Benutzer mit Berechtigungen der Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.
Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder verwenden Sie das Suchfeld, um nach Azure AD B2C zu suchen und diese Option auszuwählen.
Wählen Sie unter Verwalten die Option Benutzer aus.
Wählen Sie Neues Gastkonto aus.
Geben Sie auf der Seite Benutzer Informationen für diesen Benutzer ein:
- Name: Erforderlich. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
- E-Mail-Adresse. Erforderlich. Die E-Mail-Adresse des Benutzers, den Sie einladen möchten, bei der es sich um ein Microsoft-Konto handeln muss. Beispiel:
mary@contoso.com
. - Persönliche Nachricht: Sie fügen eine persönliche Nachricht hinzu, die in der Einladungs-E-Mail enthalten ist.
- Gruppen. Optional: Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
- Verzeichnisrolle: Wenn Sie Microsoft Entra-Administratorberechtigungen für den Benutzer benötigen, können Sie diese einer Microsoft Entra-Rolle hinzufügen. Sie können dem Benutzer die Rolle „Globaler Administrator“ oder mindestens eine der eingeschränkten Administratorrollen in Microsoft Entra zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Verwenden von Rollen zum Steuern des Ressourcenzugriffs.
- Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
Klicken Sie auf Erstellen.
Eine Einladungs-E-Mail wird an den Benutzer gesendet. Der Benutzer muss die Einladung annehmen, um sich anmelden zu können.
Erneutes Senden der Einladungs-E-Mail
Wenn der Gast die Einladungs-E-Mail nicht erhalten hat oder die Einladung abgelaufen ist, können Sie die Einladung erneut senden. Alternativ zur Einladungs-E-Mail können Sie einem Gast einen direkten Link zu Ihrer App zur Verfügung stellen, um die Einladung anzunehmen. So senden Sie die Einladung erneut und erhalten den direkten Link:
Melden Sie sich beim Azure-Portal an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.
Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder verwenden Sie das Suchfeld, um nach Azure AD B2C zu suchen und diese Option auszuwählen.
Wählen Sie unter Verwalten die Option Benutzer aus.
Suchen Sie nach dem Benutzer, an den Sie die Einladung erneut senden möchten, und wählen Sie diesen aus.
Wählen Sie auf der Benutzer | Profil-Seite unter Identität die Option (Verwalten) aus.
Wählen Sie für Einladung erneut senden? die Option Ja aus. Wenn Sind Sie sicher, dass Sie die Einladung erneut senden möchten? angezeigt wird, wählen Sie Ja aus.
Azure AD B2C sendet die Einladung. Sie können die Einladungs-URL auch kopieren und direkt für den Gast bereitstellen.
Hinzufügen einer Rollenzuweisung
Sie können eine Rolle zuweisen, wenn Sie einen Benutzer erstellen oder einen Gastbenutzer einladen. Sie können eine Rolle hinzufügen, die Rolle ändern oder eine Rolle für einen Benutzer entfernen:
- Melden Sie sich im Azure-Portal als Benutzer mit Berechtigungen der Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.
- Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder verwenden Sie das Suchfeld, um nach Azure AD B2C zu suchen und diese Option auszuwählen.
- Wählen Sie unter Verwalten die Option Benutzer aus.
- Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
- Wählen Sie Zuweisung hinzufügen und die Rolle aus, die zugewiesen werden soll (z. B. Anwendungsadministrator), und wählen Sie dann Hinzufügen aus.
Entfernen einer Rollenzuweisung
Wenn Sie eine Rollenzuweisung von einem Benutzer entfernen müssen, führen Sie die folgenden Schritte aus:
- Wählen Azure AD B2C aus, wählen Sie Benutzer aus, suchen Sie dann nach dem Benutzer und wählen Sie diesen aus.
- Wählen Sie Zugewiesene Rollen aus. Wählen Sie die Rolle aus, die Sie entfernen möchten, z. B. Anwendungsadministratorund wählen Sie dann Zuweisung entfernen aus.
Überprüfen von Rollenzuweisungen für Administratorkonten
Im Rahmen eines Überwachungsprozesses überprüfen Sie in der Regel, welche Benutzer bestimmten Rollen im Azure AD B2C zugewiesen sind. Verwenden Sie die folgenden Schritte, um zu überwachen, welchen Benutzern derzeit privilegierte Rollen zugewiesen sind.
- Melden Sie sich im Azure-Portal als Benutzer mit Berechtigungen der Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.
- Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder verwenden Sie das Suchfeld, um nach Azure AD B2C zu suchen und diese Option auszuwählen.
- Wählen Sie unter Verwalten den Eintrag Rollen und Administratoren aus.
- Wählen Sie eine Rolle aus, z. B. Globaler Administrator. Die auf der Seite Rolle | Zuweisungen werden die Benutzer mit dieser Rolle aufgeführt.
Löschen eines Administratorkontos
Um einen vorhandenen Benutzer zu löschen, müssen Sie über die zugewiesene Rolle Globaler Administrator verfügen. Globale Administratoren können alle Benutzer löschen, auch andere Administratoren. Benutzeradministratoren können alle Benutzer löschen, die keine Administratoren sind.
- Wählen Sie im Azure AD B2C Verzeichnis Benutzer, und wählen Sie dann den Benutzer aus, den Sie löschen möchten.
- Wählen Sie Löschen und dann Ja, um den Löschvorgang zu bestätigen.
Der Benutzer wird gelöscht und nicht mehr auf der Seite Benutzer – Alle Benutzer angezeigt. Sie können den Benutzer für die nächsten 30 Tage auf der Seite Gelöschte Benutzer anzeigen und während dieses Zeitraums wiederherstellen. Weitere Informationen zum Wiederherstellen eines Benutzers finden Sie unter Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers mithilfe von Microsoft Entra ID.
Verwaltungskonten schützen
Es wird empfohlen, alle Administratorkonten mit mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA) zu schützen, um mehr Sicherheit zu gewährleisten. MFA ist ein Identitätsüberprüfungsprozess während der Anmeldung, bei dem der Benutzer zur Eingabe einer besseren Form der Identifizierung aufgefordert wird, z. B. über einen Prüfcode auf dem mobilen Gerät oder eine Anforderung in der Microsoft Authenticator-App.
Wenn Sie keinen bedingten Zugriff verwenden, können Sie Microsoft Entra-Sicherheitsstandards aktivieren, um für alle Administratorkonten die Verwendung der MFA zu erzwingen.