Einrichten der Microsoft Entra-Testumgebung für Ihre Anwendung

Damit Ihre App den Entwicklungs-, Test- und Produktionslebenszyklus durchlaufen kann, richten Sie eine Microsoft Entra-Testumgebung ein. Sie können Ihre Microsoft Entra-Testumgebung in den frühen Entwicklungsphasen der App und langfristig als permanente Testumgebung nutzen.

Wählen Sie zwischen einem dedizierten Testmandanten oder einem Microsoft Entra-Produktionsmandanten

Sie müssen entscheiden, ob Sie einen dedizierten Testmandanten oder Ihren Produktionsmandanten zum Testen verwenden möchten.

Die Verwendung eines Produktionsmandanten kann bestimmte Testaspekte vereinfachen, erfordert jedoch eine ordnungsgemäße Isolierung zwischen Test- und Produktionsressourcen, insbesondere für hochprivilegierte Szenarien.

Vermeiden Sie die Verwendung Ihres Produktionsmandanten, wenn:

• Ihre App erfordert mandantenweite eindeutige Einstellungen, z. B. Nur-App-Berechtigungen, die Administratorzustimmung benötigen.
• Sie können keinen nicht autorisierten Zugriff auf Testressourcen durch Mandantenmitglieder riskieren.
• Ihre Produktionsumgebung kann durch Konfigurationsänderungen unterbrochen werden.
• Sie keine Benutzer erstellen oder Daten in Ihrem Produktionsmandanten testen können.
• Ihr Produktionsmandant verfügt über Richtlinien, die eine Benutzerinteraktion während der Authentifizierung erfordern, z. B. obligatorische mehrstufige Authentifizierung. In solchen Fällen können Sie keine automatisierten Anmeldungen für Integrationstests verwenden.
• Ihre Dienst- oder Einschränkungsgrenzwerte durch Hinzufügen von Nichtproduktionsressourcen überschritten werden können.

Wenn diese Einschränkungen gelten, richten Sie eine Testumgebung in einem separaten Mandanten ein.

Falls nicht, können Sie eine Testumgebung in Ihrem Produktionsmandanten einrichten. Benutzer mit privilegierten Rollen in Ihrem Produktionsmandanten (z. B. Cloudanwendungsadministrator) können jederzeit auf ihre Ressourcen zugreifen und ihre Konfiguration ändern. Um den Zugriff auf Testressourcen bzw. deren Konfiguration zu verhindern, verwenden Sie für diese Daten einen separaten Mandanten.

Einrichten einer Testumgebung in einem separaten Tenant

Durch das Einrichten einer Testumgebung in einem separaten Mandanten wird sichergestellt, dass Ihre Produktionsumgebung von Änderungen oder Konfigurationen, die während des Tests vorgenommen wurden, unberührt bleibt. Sie müssen einen Testmandanten einrichten, ihn mit Benutzern auffüllen und mit Richtlinien konfigurieren, die Ihrem Produktionsmandanten entsprechen.

Besorgen Sie sich einen Test-Tenant

Wenn Sie noch keinen dedizierten Test-Tenant haben, können Sie mit dem Microsoft 365 Developer Program kostenlos einen erstellen oder selbst einen erstellen.

Microsoft 365-Entwicklerprogramm

Der empfohlene Ansatz besteht darin, dem Microsoft 365 Developer Programbeizutreten. Dieses Programm ist kostenlos und kann Testbenutzerkonten sowie Beispieldatenpakete automatisch zum Mandanten hinzufügen.

1. Öffnen Sie die Seite Microsoft 365-Entwicklerprogramm und wählen Sie Jetzt beitreten.
2. Melden Sie sich mit einem neuen Microsoft-Konto an, oder verwenden Sie ein vorhandenes (Geschäfts-)Konto.
3. Wählen Sie auf der Anmeldeseite Ihre Region aus, geben Sie einen Firmennamen ein, und akzeptieren Sie die Geschäftsbedingungen des Programms, bevor Sie Nextauswählen.
4. Wählen Sie Abonnement einrichten aus. Geben Sie die Region an, in der Sie Ihren neuen Mandanten erstellen möchten, erstellen Sie einen Benutzernamen und eine Domäne, und geben Sie ein Kennwort ein. Ein neuer Mandant wird erstellt, und der erste Administrator des Mandanten wird hinzugefügt.
5. Geben Sie die Sicherheitsinformationen ein, die zum Schutz des Administratorkontos Ihres neuen Mandanten erforderlich sind. Dadurch wird die mehrstufige Authentifizierung für das Konto eingerichtet.

Manuelles Erstellen eines Mandanten

Sie können manuell einen Mandanten erstellen, der beim Erstellen leer ist und mit Testdaten konfiguriert werden muss.

Bevölkern Sie Ihren Tenant mit Benutzern

Zur Vereinfachung können Sie sich und andere Mitglieder Ihres Entwicklungsteams einladen, Gastbenutzer innerhalb des Mandanten zu sein. Dadurch werden separate Gastobjekte im Testmandanten erstellt. Es bedeutet jedoch, dass Sie nur Anmeldeinformationen für Ihr Unternehmenskonto und Ihr Testkonto verwalten müssen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.
2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
3. Wählen Sie Neuer Benutzer>Externen Benutzer einladen und laden Sie die E-Mail-Adresse Ihres Geschäftskontos ein.
4. Wiederholen Sie diesen Vorgang für andere Mitglieder des Entwicklungs- und/oder Testteams für Ihre Anwendung.

Sie können auch Testbenutzer in Ihrem Testmandanten erstellen. Wenn Sie eines der Microsoft 365-Beispielpakete verwendet haben, verfügen Sie möglicherweise bereits über einige Testbenutzer in Ihrem Tenant. Falls nicht, sollten Sie als Tenant-Administrator in der Lage sein, selbst welche anzulegen.

1. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
2. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus und erstellen Sie einige neue Testbenutzer*innen in Ihrem Verzeichnis.

Erhalten Sie ein Microsoft Entra-Abonnement (optional)

Wenn Sie die Microsoft Entra ID P1- oder P2-Features in Ihrer Anwendung vollständig testen möchten, müssen Sie Ihren Mandanten für eine Premium P1- oder Premium P2-Lizenz anmelden.

Wenn Sie sich über das Microsoft 365-Entwicklerprogramm angemeldet haben, wird Ihr Testmandant mit Microsoft Entra ID P2-Lizenzen geliefert. Falls nicht, können Sie trotzdem eine einmonatige kostenlose Testversion von Microsoft Entra ID P1 oder P2 aktivieren.

Erstellen und konfigurieren Sie eine App-Registrierung

Sie müssen eine App-Registrierung erstellen, die in Ihrer Testumgebung verwendet werden soll. Dies sollte eine von der späteren Produktionsregistrierung getrennte Registrierung sein, um die Sicherheitsisolierung zwischen Ihrer Testumgebung und Ihrer Produktionsumgebung aufrechtzuerhalten. Wie Sie Ihre Anwendung konfigurieren, hängt vom Typ der App ab, die Sie erstellen. Weitere Informationen finden Sie unter Registrieren einer Anwendung.

Befüllen Sie Ihren Tenant mit Richtlinien

Wenn eine einzelne Organisation (häufig als einzelner Mandant bezeichnet) ihre App in erster Linie verwendet und Sie Zugriff auf den Produktionsmandanten haben, verringern Sie die Wahrscheinlichkeit unerwarteter Fehler in der Produktion, indem Sie die Einstellungen Ihres Produktionsmandanten replizieren, die das Verhalten Ihrer App so weit wie möglich beeinflussen können.

Richtlinien für bedingten Zugriff

Durch die Replizierung der Richtlinien für bedingten Zugriff wird sichergestellt, dass bei dem Übergang zur Produktion keine unerwarteten Zugriffsblockaden auftreten und Ihre Anwendung die zu erwartenden Fehler angemessen behandeln kann.

Die Anzeige der Richtlinien für bedingten Zugriff Ihres Produktionsmandanten muss möglicherweise von einem Administrator für bedingten Zugriff durchgeführt werden.

1. Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen>Bedingter Zugriff.
2. Zeigen Sie die Liste der Richtlinien in Ihrem Mandanten an, und wählen Sie die erste Richtlinie aus.
3. Navigieren Sie zu Cloud-Anwendungen oder -Aktionen.
4. Wenn die Richtlinie nur für eine ausgewählte Gruppe von Anwendungen gilt, fahren Sie mit der nächsten Richtlinie fort. Wenn nicht, wird sie wahrscheinlich auch für Ihre Anwendung gelten, wenn Sie in die Produktion wechseln. Kopieren Sie die Richtlinie in Ihren Test-Tenant.

Melden Sie sich auf einer neuen Registerkarte oder in einer neuen Browsersitzung beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an, um auf Ihren Testmandanten zuzugreifen.

1. Browsen Sie zu Schutz>Bedingter Zugriff.
2. Wählen Sie Neue Richtlinie erstellen aus.
3. Kopieren Sie die Einstellungen aus der Richtlinie des Produktionsmieters, die Sie in den vorherigen Schritten ermittelt haben.

Richtlinien für die Erteilung von Berechtigungen

Durch die Replizierung von Berechtigungsrichtlinien wird sichergestellt, dass Sie bei der Umstellung auf die Produktion keine unerwarteten Aufforderungen zur Erteilung der Administratorberechtigung erhalten.

Navigieren Sie zu den Einstellungen unter Identität>Anwendungen>Unternehmensanwendungen>Zustimmung und Berechtigungen>Benutzerzustimmung. Kopieren Sie die dortigen Einstellungen in Ihren Testmandanten.

Richtlinien für die Token-Lebensdauer

Die Replikation von Richtlinien für die Token-Lebensdauer stellt sicher, dass die für Ihre Anwendung ausgestellten Token in der Produktion nicht unerwartet ablaufen.

Token-Lebensdauerrichtlinien können derzeit nur über PowerShell verwaltet werden. Lesen Sie über konfigurierbare Token-Lebensdauern, um zu erfahren, wie Sie Richtlinien für die Token-Lebensdauer identifizieren, die für Ihre gesamte Produktionsorganisation gelten. Kopieren Sie diese Richtlinien in Ihren Test-Tenant.

Richten Sie eine Testumgebung in Ihrem Produktions-Tenant ein

Wenn Sie Ihre Test-App in Ihrem Produktionsmandanten sicher einschränken können, können Sie Ihren Mandanten für Testzwecke konfigurieren.

Erstellen und konfigurieren Sie eine App-Registrierung

Sie müssen eine App-Registrierung erstellen, die in Ihrer Testumgebung verwendet werden soll. Dies sollte eine von der späteren Produktionsregistrierung getrennte Registrierung sein, um die Sicherheitsisolierung zwischen Ihrer Testumgebung und Ihrer Produktionsumgebung aufrechtzuerhalten. Wie Sie Ihre Anwendung konfigurieren, hängt vom Typ der App ab, die Sie erstellen. Weitere Informationen finden Sie in den Schritten zur App-Registrierung für Ihr App-Szenario im linken Navigationsbereich.

Erstellen Sie einige Testbenutzer

Sie müssen einige Testbenutzer mit zugehörigen Testdaten erstellen, die beim Testen Ihrer Szenarien verwendet werden sollen. Dieser Schritt muss eventuell von einem Administrator durchgeführt werden.

1. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
2. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus und erstellen Sie einige neue Testbenutzer*innen in Ihrem Verzeichnis.

Hinzufügen der Testbenutzer zu einer Gruppe (optional)

Der Einfachheit halber können Sie alle diese Benutzer einer Gruppe zuordnen, was weitere Zuordnungsvorgänge erleichtert.

1. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
2. Wählen Sie Neue Gruppe aus.
3. Wählen Sie entweder Sicherheit oder Microsoft 365 als Gruppentyp.
4. Benennen Sie die Gruppe.
5. Fügen Sie die im vorherigen Schritt erstellten Testbenutzer hinzu.

Beschränken Sie Ihre Testanwendung auf bestimmte Benutzer

Sie können die Benutzer in Ihrem Mandanten, die Ihre Testanwendung verwenden dürfen, durch Benutzerzuweisung auf bestimmte Benutzer oder Gruppen beschränken. Als Sie eine App über App-Registrierungen erstellten, wurde auch eine Darstellung Ihrer App in Unternehmensanwendungen erstellt. Verwenden Sie die Einstellungen in Unternehmensanwendungen, um einzuschränken, wer die Anwendung in Ihrem Mandanten verwenden kann.

Wichtig

Wenn Es sich bei Ihrer App um eine mehrinstanzenfähige App handelt, schränkt dieser Vorgang Benutzer in anderen Mandanten nicht ein, sich bei ihrer App anzumelden und sie zu verwenden. Er schränkt nur Benutzer in dem Tenant ein, in dem die Benutzerzuweisung konfiguriert ist.

Detaillierte Anweisungen zur Beschränkung einer App auf bestimmte Benutzer in einem Tenant finden Sie unter Beschränkung Ihrer App auf eine Gruppe von Benutzern.

Nächster Schritt

Erfahren Sie mehr über Microsoft Entra-Nutzungseinschränkungen und Dienstbeschränkungen, die Sie hier möglicherweise erreichen. Allgemeine Informationen zu Einschränkungen für Azure-Abonnements und -Dienste, Kontingenten und Beschränkungen finden Sie hier.

Ausführlichere Informationen zu Testumgebungen finden Sie unter Sicherung von Azure-Umgebungen mit Microsoft Entra ID.