Erstellen eines externen Mandanten

  • 10 Minuten

Übung: Erstellen eines externen Mandanten

Sie müssen einen Mandanten mit externer Konfiguration im Microsoft Entra Admin Center erstellen, um erste Schritte ausführen zu können. Nachdem dieser externe Mandant erstellt wurde, können Sie sowohl im Microsoft Entra Admin Center als auch im Azure-Portal darauf zugreifen. In dieser Einheit gibt es zwei Abschnitte: Vorgehensweise ohne Azure-Abonnement und Vorgehensweise mit Azure-Abonnement. Scrollen Sie zu der Einheit, die Ihrer Situation am besten entspricht.

Hinweis

Sie benötigen mindestens die Verzeichnisrolle Mandantenersteller, um einen externen Mandanten zu erstellen.

Haben Sie Feedback? Teilen Sie uns mit, wie Ihr Proof of Concept-Projekt läuft. Wir würden uns freuen, von Ihnen zu hören!

Vorgehensweise ohne Azure-Abonnement

Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie kostenlos einen Testmandanten erstellen.

Wichtig

Am Ende des 30-tägigen kostenlosen Testzeitraums sind Erweiterungen nicht verfügbar. Wenn kein Azure-Abonnement hinzugefügt wird, wird Ihr kostenloser Testmandant deaktiviert und gelöscht. Sie haben die folgenden Optionen:

  1. Um einen Testmandanten zu erstellen, navigieren Sie zu aka.ms/ciam-free-trial.

  2. Verwenden Sie auf der Anmeldeseite das Anmeldefeld (A), um Ihre Outlook- oder Hotmail-E-Mail-Adresse einzugeben. Wenn Sie keine solche Adresse haben, können Sie Erstellen auswählen (B), um ein neues Outlook-Konto zu erstellen. Alternativ können Sie sich auch mit Ihrem GitHub-Konto (C) anmelden. Screenshot der Anmeldung, um mit Microsoft Entra fortzufahren, drei Rechtecken und Linien, die von jedem Rechteck zu den Bezeichnungen A, B und C führen, markieren die Optionen.

  3. Nachdem Sie sich angemeldet oder ein Konto erstellt haben, werden Sie zum Microsoft Entra Admin Center umgeleitet. Dies ist der Beginn der Einrichtung Ihres kostenlosen Testmandanten. Um die Mandantendomäne und den Mandantennamen sowie den Speicherort anzupassen, wählen Sie Einstellungen ändern aus.

    Screenshot der hervorgehobenen Option „Einstellungen ändern“.

  4. Die folgenden Felder können für Ihren kostenlosen Testmandanten angepasst werden:

    • Mandantenname: Sie können Ihren Firmennamen und einen Hinweis eingeben, dass es sich um einen externen Testmandanten handelt. Beispiel: Woodgrove CIAM Dev

    • Domänenname: Als bewährte Methode sollten Sie den Zweck des Mandanten einschließen. Wenn Ihr Entwicklerteam beispielsweise das Produkt mit einer Möglichkeit zum späteren Upgrade ausprobieren möchte, können Sie Dev nach ihrem Firmennamen hinzufügen: woodgrove-ciam-dev.

    • Standort: Geben Sie den Speicherort für den Testmandanten an.

      Screenshot von „Einstellungen ändern“ mit hervorgehobenen bearbeitbaren Feldern für Mandantenname, Domänenname und Speicherort.

  5. Wenn Sie fertig sind, aktivieren Sie das Kontrollkästchen, um der Microsoft-Kundenvereinbarung und den Datenschutzbestimmungen zuzustimmen, und wählen Sie dann Weiter aus. Es dauert ein paar Minuten, bis der nächste Schritt gestartet wird.

    Screenshot mit rot hervorgehobenem aktiviertem Kontrollkästchen für die Zustimmung zur Microsoft-Kundenvereinbarung und den Datenschutzbestimmungen und der Schaltfläche „Weiter“.

  6. Möglicherweise wird zweimal ein Dialogfeld angezeigt, in dem Sie gefragt werden, ob Sie die Website verlassen möchten. Wählen Sie zweimal Verlassen aus. Dies geschieht, da das Microsoft Entra Admin Center versucht, die Einrichtung der kostenlosen Testversion zu verlassen und den Leitfaden für die ersten Schritte mit dem Titel Anmelden Ihrer Benutzer in drei einfachen Schritten zu starten.

    Screenshot des geöffneten Dialogfelds „Website verlassen?“ über dem Ladebildschirm für das Microsoft Entra Admin Center, hervorgehoben. Eine Schaltfläche im Dialog mit der Bezeichnung „Verlassen“ ist ebenfalls hervorgehoben.

  7. Der Leitfaden Anmelden Ihrer Benutzer in drei einfachen Schritten, auch bekannt als Leitfaden für erste Schritte, wurde gestartet. Sie können auswählen, wie Ihre Kunden sich anmelden sollen und wie das Branding angezeigt wird.

    Screenshot des Leitfadens „Anmelden Ihrer Benutzer in drei einfachen Schritten“ mit den hervorgehobenen Feldern „Wie sollen sich Ihre Kunden anmelden“ und „Optionen auswählen, um das Aussehen und Verhalten anzupassen“.

  8. Sie können nach unten scrollen, um eine Vorschau Ihrer Anmeldeseite anzuzeigen. Wenn Sie fertig sind, wählen Sie Weiter aus.

    Screenshot der Vorschauoption für die Anmeldeseite mit hervorgehobener Schaltfläche „Weiter“.

  9. Warten Sie einige Minuten, bis die Schaltfläche Jetzt ausführen bereit ist. Wenn sie bereit ist, wählen Sie Jetzt ausführen aus, um die Anmeldeoberfläche anzuzeigen.

    Screenshot einer hervorgehobenen Schaltfläche mit der Bezeichnung „Jetzt ausführen“.

  10. Die Vorschau wird gestartet und spiegelt die bisher vorgenommenen Anpassungen wider.

    Screenshot der Vorschau für die Anmeldeseite.

  11. Gehen Sie zurück zum Microsoft Entra Admin Center, und wählen Sie Weiter aus. Wenn Sie Änderungen an den bisherigen Anpassungen vornehmen möchten, wählen Sie Vorherige aus.

    Screenshot des Leitfadens „Erste Schritte“ mit hervorgehobener Schaltfläche „Weiter“.

  12. (Dieser Schritt ist optional) Schließlich können Sie ihre Anmeldeoberfläche einer Beispiel-App hinzufügen. Wählen Sie aus den Optionen Single-Page-Anwendung (SPA), Webanwendung, Desktop-App und Mobile App aus.

    Screenshot mit hervorgehobenem Abschnitt „Wählen Sie Ihren App-Typ“.

  13. (Dieser Schritt ist optional) Abhängig vom zuvor ausgewählten App-Typ können Sie Sprachen zur Auswahl anzeigen. Unter Beispiel-App einrichten und ausführen haben Sie die Möglichkeit, Ihre Beispiel-App herunterzuladen und den Code in Ihrer Umgebung auszuführen. Wählen Sie Weiter aus, wenn Sie den benötigten Beispielcode heruntergeladen haben.

    Screenshot mit den hervorgehobenen Abschnitten „Sprache auswählen“ und „Beispiel-App einrichten und ausführen“.

Vorgehensweise mit Azure-Abonnement

  1. Melden Sie sich zum Erstellen eines Mandanten beim Microsoft Entra Admin Center an, und navigieren Sie zu Identität>Übersicht. Wählen Sie dann Mandanten verwalten aus.

    Screenshot: Seite mit der Identitätsübersicht. Die Symbolleistenschaltfläche „Mandanten verwalten“ ist hervorgehoben.

  2. Wählen Sie auf der Seite Mandanten verwalten die Option Erstellen aus.

    Screenshot: Seite „Mandanten verwalten“. Die Symbolleistenschaltfläche „Erstellen“ ist hervorgehoben.

  3. Wählen Sie Extern und anschließend Weiter aus.

    Screenshot: „Konfiguration für Ihren Mandanten auswählen“. Die Auswahlgruppe „Extern“ ist ausgewählt.

  4. Geben Sie auf der Registerkarte Allgemeine Informationen der Seite Mandant erstellen die folgenden Informationen ein: Geben Sie ihren gewünschten Mandantennamen ein (z. B. Woodgrove Live Demo). Geben Sie ihren gewünschten Domänennamen ein (z. B. woodgrovelive). Wählen Sie den gewünschten Speicherort aus. Diese Auswahl kann später nicht mehr geändert werden. Wählen Sie anschließend Weiter: Abonnement hinzufügen aus.

    Screenshot: Navigation im Assistenten zum Erstellen von Mandanten mit ausgewähltem erstem Schritt „Allgemeine Informationen“. Der Mandantenname, der Domänenname und der Standort sind ausgefüllt.

  5. Geben Sie auf der Registerkarte Abonnement hinzufügen folgende Informationen ein: Wählen Sie neben Abonnement im Menü Ihr Abonnement aus. Wählen Sie neben Ressourcengruppe aus dem Menü eine Ressourcengruppe aus. Wenn keine Ressourcengruppen verfügbar sind, wählen Sie Neu erstellen aus, fügen Sie einen Namen hinzu, und wählen Sie dann OK aus. Wenn der Speicherort der Ressourcengruppe angezeigt wird, wählen Sie aus dem Menü den geografischen Standort der Ressourcengruppe aus. Wählen Sie dann Überprüfen + erstellen aus.

    Screenshot: Navigation im Assistenten zum Erstellen von Mandanten mit ausgewähltem zweitem Schritt „Abonnement hinzufügen“. Das Abonnement und die Ressourcengruppe sind ausgefüllt.

  6. Wenn die eingegebenen Informationen korrekt sind, wählen Sie Erstellen aus. Dieser Mandantenerstellungsvorgang kann bis zu 30 Minuten dauern.

    Screenshot: Navigation im Assistenten zum Erstellen von Mandanten mit ausgewähltem drittem und letztem Schritt „Überprüfen + erstellen“. Das grüne Informationsfeld bestätigt, dass die Überprüfung erfolgreich war. Die Schaltfläche „Erstellen“ unten im Assistenten ist hervorgehoben.

  7. Sie können den Fortschritt des Mandantenerstellungsvorgangs im Bereich Benachrichtigungen überwachen. Nachdem der Mandant erstellt wurde, können Sie sowohl im Microsoft Entra Admin Center als auch im Azure-Portal darauf zugreifen.

    Screenshot: Auf der rechten Seite geöffneter Bereich „Benachrichtigungen“ mit dem neuesten Aktivitätsprotokoll namens „Mandanten erstellen“, das bestätigt, dass die Mandantenerstellung erfolgreich war.

  8. Verwenden Sie das Symbol Einstellungen im oberen Menü, um zu Ihrem Kundenmandanten zu wechseln, den Sie im Menü Verzeichnisse + Abonnements erstellt haben. Wenn der von Ihnen erstellte Mandant nicht in der Liste angezeigt wird, aktualisieren Sie die Seite (mithilfe der Schaltfläche „Aktualisieren“ des Webbrowsers).

    Screenshot: Seite „Verzeichnisse und Abonnements“ mit hervorgehobener Schaltfläche „Wechseln“ für das aufgeführte Verzeichnis

  9. Navigieren Sie zu Start>Mandantenübersicht, um mit der Konfiguration Ihres Mandanten zu beginnen.

    Screenshot: Seite „Identitätsübersicht“ mit hervorgehobener Option „Übersicht“ auf der Seitenleiste

    Gut gemacht. Zu diesem Zeitpunkt ist der Microsoft Entra External ID-Mandant einsatzbereit.

Hinweis

Bevor Sie beginnen, beachten Sie, dass Sie zum Erstellen eines externen Mandanten die Azure-REST-API- und nicht Microsoft Graph verwenden. Sie können auf den Link zum Überprüfen der Verfügbarkeit und Gültigkeit eines Domänennamens für den Mandanten klicken, um die REST-API direkt über Ihren Browser auszuführen. Der folgende Screenshot zeigt, was Sie nach dem Öffnen des Links auswählen müssen, und wie Sie eine bestimmte API ausführen. Screenshot: Schaltfläche „Ausprobieren“ auf der rechten Seite des Headers für den HTTP-Anforderungscode. Die HTTP-Anforderung überprüft die Verfügbarkeit und Gültigkeit eines Domänennamens für den Mandanten.

1. Überprüfen der Verfügbarkeit eines Domänennamens

Bevor Sie einen neuen Mandanten erstellen, überprüfen Sie die Verfügbarkeit und Gültigkeit eines Domänennamens für den Mandanten. Ersetzen Sie die folgenden Werte, und führen Sie dann die Azure-REST-API-Anforderung aus:

  • {subscriptionId} durch die Azure-Abonnement-ID.
  • {tenant-name} durch den zu überprüfenden Namen des Mandanten. Beispiel: woodgrove.
   POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.AzureActiveDirectory/checkNameAvailability?api-version=2023-05-17-preview
   {
      countryCode: "US",
      name: "{tenant-name}"
   }
Beispiel

Im folgenden Beispiel wird die Verfügbarkeit des Mandantennamens woodgrove mithilfe der Abonnement-ID „aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e“ überprüft.

    POST https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.AzureActiveDirectory/checkNameAvailability?api-version=2023-05-17-preview
    {
      "name": "woodgrove",
      "countryCode": "US"
    }
1.1 Überprüfen der Antwort

Überprüfen Sie nameAvailable und message. Das folgende Beispiel zeigt einen nicht verfügbaren Mandantennamen:

{
  "nameAvailable": false,
  "reason": "AlreadyExists",
  "message": "The given domain name is not available."
}

Das folgende Beispiel zeigt einen verfügbaren Mandantennamen:

{
  "nameAvailable": true,
  "reason": null,
  "message": null
}

2. Erstellen einer Ressourcengruppe

Zum Erstellen eines neuen externen Mandanten müssen Sie über eine Ressourcengruppe verfügen, in der der Mandant erstellt wird. Sie können eine vorhandene Ressourcengruppe auswählen oder eine Ressourcengruppe erstellen. Ersetzen Sie in der folgenden Azure-REST-API Folgendes:

  • {subscriptionId} durch die Azure-Abonnement-ID.
  • {resourceGroupName} durch den Namen der zu erstellenden Ressourcengruppe.
  • {azure-location} durch den Standort der Ressourcengruppe. Dieser kann nicht geändert werden, nachdem die Ressourcengruppe erstellt wurde. Es muss einer der unterstützten Azure-Standorte sein.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}?api-version=2021-04-01
{
"location": "{azure-location}"
}
Beispiel

Im folgenden Beispiel wird die Ressourcengruppe my-resource-group in eastus erstellt.

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group?api-version=2021-04-01
{
  "location": "eastus"
}

3. Erstellen eines externen Mandanten

Die folgende Anforderung initiiert eine asynchrone Anforderung, um einen externen Mandanten zu erstellen, der mit Ihrem Abonnement verknüpft ist und sich innerhalb der von Ihnen erstellten Ressourcengruppe befindet. Ersetzen Sie in der folgenden Azure-REST-API-Anforderung Folgendes:

  • {subscriptionId} durch die Azure-Abonnement-ID.
  • {resourceGroupName} durch den Namen der zuvor erstellten Ressourcengruppe.
  • {resourceName} durch die Anfangsunterdomäne des Mandanten. Beispiel: contoso oder woodgrove.
  • {location} durch den Standort, an dem die Ressource gehostet wird und Daten gespeichert sind. Mögliche Optionen: „USA“, „Europa“, „Asien-Pazifik“ oder „Australien“.
  • {displayName} durch den Anzeigenamen Ihres Mandanten.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureActiveDirectory/ciamDirectories/{resourceName}?api-version=2023-05-17-preview
{
  "location": "{location}",
  "sku": {
    "name": "Standard",
    "tier": "A0"
  },
  "properties": {
    "createTenantProperties": {
      "displayName": "{displayName}",
      "countryCode": "US"
    }
  }
}
Beispiel

Im folgenden Beispiel wird die Ressourcengruppe my-resource-group in eastus erstellt. Im folgenden Beispiel wird ein Mandant namens contoso in der Ressourcengruppe my-resource-group erstellt und mit dem Abonnement aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e verknüpft.

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.AzureActiveDirectory/ciamDirectories/contoso?api-version=2023-05-17-preview
{
  "location": "United States",
  "sku": {
    "name": "Standard",
    "tier": "A0"
  },
  "properties": {
    "createTenantProperties": {
      "displayName": "Contoso",
      "countryCode": "US"
    }
  }
}

Feedback geben