Was beinhaltet die Verwaltung von Unternehmensbenutzern?
Dieser Artikel führt Administrator*innen für Microsoft Entra ID, Teil von Microsoft Entra, in die Beziehung zwischen den wichtigsten Identitätsverwaltungsaufgaben für Benutzer*innen in Bezug auf ihre Gruppen, Lizenzen, bereitgestellten Unternehmensanwendungen und Administratorrollen ein. Wenn Ihre Organisation wächst, können Sie Microsoft Entra-Gruppen und -Administratorrollen für folgende Zwecke nutzen:
- Zuweisen von Lizenzen zu Gruppen anstatt zu einzelnen Benutzern
- Erteilen von Berechtigungen zum Delegieren von Microsoft Entra-Verwaltungsaufgaben an Mitarbeiter mit weniger privilegierten Rollen.
- Zuweisen des Zugriffs auf Unternehmens-Apps zu Gruppen
Zuweisen von Benutzern zu Gruppen
Sie können Gruppen in Microsoft Entra ID verwenden, um Lizenzen oder bereitgestellte Unternehmensanwendungen einer großen Anzahl von Benutzern zuzuweisen. Sie können außerdem Gruppen verwenden, um alle Administratorrollen mit Ausnahme der Rolle „Globaler Administrator“ in Microsoft Entra ID zuzuweisen, oder Sie können den Zugriff auf externe Ressourcen gewähren, z. B. SaaS-Anwendungen oder SharePoint-Websites.
Sie können dynamische Mitgliedergruppen in Microsoft Entra ID verwenden, um dynamische Mitgliedergruppen automatisch zu erweitern und zu verkleinern. Dynamische Gruppen bieten Ihnen mehr Flexibilität und reduzieren den Verwaltungsaufwand für dynamische Mitgliedergruppen.
Hinweis
Sie benötigen eine Microsoft Entra ID P1-Lizenz für alle einzelnen Benutzenden, die Mitglieder einer oder mehrerer dynamischer Mitgliedergruppen sind.
Zuweisen von Lizenzen zu Gruppen
Die individuelle Verwaltung von Benutzerlizenzzuweisungen ist zeitaufwendig und fehleranfällig. Wenn Sie stattdessen Gruppen Lizenzen zuweisen, können Sie Lizenzen im großen Maßstab einfacher verwalten.
Microsoft Entra-Benutzern, die einer lizenzierten Gruppe beitreten, werden automatisch die richtigen Lizenzen zugewiesen. Wenn Benutzer die Gruppe verlassen, entfernt Microsoft Entra ID ihre Lizenzzuweisungen. Ohne Microsoft Entra-Gruppen müssen Sie ein PowerShell-Skript schreiben oder eine Graph-API verwenden, um Lizenzen für Benutzer, die der Organisation beitreten oder diese verlassen, per Massenvorgang hinzuzufügen oder zu entfernen. Weitere Informationen zu Massenvorgängen für Gruppen finden Sie unter Massenupload zum Hinzufügen zu oder Erstellen von Mitgliedern einer Gruppe.
Wenn nicht genügend Lizenzen verfügbar sind oder ein Problem auftritt (z. B. Servicepläne, die nicht gleichzeitig zugewiesen werden können), können Sie den Status der Lizenzprobleme für die Gruppe im Azure-Portal anzeigen.
Delegieren von Administratorrollen
Viele große Organisationen wünschen sich Optionen für ihre Benutzer, mit denen ausreichende Berechtigungen für ihre Arbeitsaufgaben gewährt werden können, ohne dass die umfassende Rolle „Globaler Administrator“ beispielsweise Benutzern zugewiesen werden muss, die Anwendungen registrieren müssen. Hier ist ein Beispiel für neue Microsoft Entra-Administratorrollen, mit denen Sie die Aufgaben der Anwendungsverwaltung präziser verteilen können:
Rollenname | Zusammenfassung der Berechtigungen |
---|---|
Anwendungsadministrator | Kann Unternehmensanwendungen und Anwendungsregistrierungen hinzufügen und verwalten und Anwendungsproxyeinstellungen konfigurieren. Anwendungsadministratoren können Richtlinien und Geräte für bedingten Zugriff anzeigen, aber nicht verwalten. |
Cloudanwendungsadministrator | Kann Unternehmensanwendungen und Registrierungen für Unternehmens-Apps hinzufügen und verwalten. Diese Rolle verfügt über alle Berechtigungen des Anwendungsadministrators, mit Ausnahme der Verwaltung von Anwendungsproxyeinstellungen. |
Anwendungsentwickler | Kann Anwendungsregistrierungen hinzufügen und aktualisieren, aber keine Unternehmensanwendungen verwalten oder einen Anwendungsproxy konfigurieren. |
Neue Microsoft Entra-Administratorrollen werden derzeit hinzugefügt. Im Azure-Portal oder in der Referenz zu den Berechtigungen der Administratorrolle können Sie sich die derzeit verfügbaren Rollen ansehen.
Zuweisen des App-Zugriffs
Sie können Microsoft Entra ID verwenden, um Gruppenzugriff auf Unternehmens-Apps zuzuweisen, die in Ihrer Microsoft Entra-Organisation bereitgestellt werden. Wenn Sie Gruppen mit dynamischer Mitgliedschaft mit der Gruppenzuweisung zu Apps kombinieren, können Sie die Zuweisungen des Benutzerzugriffs auf Apps automatisieren, wenn Ihre Organisation wächst. Sie benötigen eine Lizenz vom Typ Microsoft Entra ID Premium P1 oder Premium P2, um den Zugriff auf Unternehmens-Apps zuweisen zu können.
Mit Microsoft Entra ID können Sie auch die Daten präzise steuern, die zwischen der App und den Gruppen ausgetauscht werden, denen Sie die Zugriffsberechtigung zuweisen. Öffnen Sie in Unternehmensanwendungen eine App, und wählen Sie Bereitstellung, um Folgendes durchzuführen:
- Einrichten der automatischen Bereitstellung für Apps, die dies unterstützen
- Bereitstellen von Anmeldeinformationen zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der App
- Einrichten der Zuordnungen, mit denen gesteuert wird, welche Benutzerattribute zwischen Microsoft Entra ID und der App fließen, wenn Benutzerkonten bereitgestellt oder aktualisiert werden
- Starten und Beenden des Microsoft Entra-Bereitstellungsdiensts für eine App, Löschen des Bereitstellungscaches oder Neustarten des Diensts
- Anzeigen des Bereitstellungsaktivitätsberichts mit einem Protokoll aller Benutzer und Gruppen, die zwischen Microsoft Entra ID und der App erstellt, aktualisiert und entfernt wurden, und des Fehlerberichts zur Bereitstellung mit ausführlicheren Fehlermeldungen
Nächste Schritte
Wenn Sie mit der Rolle „Microsoft Entra Administrator“ noch nicht vertraut sind, informieren Sie sich über die Grundlagen von Microsoft Entra.
Sie können auch mit dem Erstellen von Gruppen, Zuweisen von Lizenzen, Zuweisen des App-Zugriffs oder Zuweisen von Administratorrollen beginnen.