Hinzufügen eines Administratorkontos

  • 10 Minuten

Übung: Hinzufügen eines Administratorkontos

In Microsoft Entra External ID ist ein externer Mandant Ihr Consumer- und Gastkontenverzeichnis. Mit einer Administratorrolle können Geschäfts- und Gastkonten den Mandanten verwalten.

Hinweis

Sie benötigen mindestens die Verzeichnisrolle Benutzeradministrator, um ein Administratorkonto zu erstellen.

Diese Rolle ist eine privilegierte Rolle. Lesen Sie die bewährten Methoden für die Verwendung privilegierter Rollen.

Haben Sie Feedback? Teilen Sie uns mit, wie Ihr Proof of Concept-Projekt läuft. Wir würden uns freuen, von Ihnen zu hören!

Warnung

Beim Erstellen von Administratorkonten wird empfohlen, Benutzern die Rolle mit den geringsten Berechtigungen zuzuweisen, um sicherzustellen, dass sie nur über die erforderlichen Berechtigungen zum Ausführen ihrer Aufgaben verfügen.

  1. Melden Sie sich zum Hinzufügen eines Administratorkontos beim Microsoft Entra Admin Center mindestens mit Berechtigungen vom Typ „Administrator für privilegierte Rollen“ an, und navigieren Sie zu Identität>Benutzer>Alle Benutzer. Wählen Sie dann Neuer Benutzer>Neuen Benutzer erstellen aus.

    Screenshot: Blatt „Benutzer“ mit hervorgehobener Schaltfläche „Neuer Benutzer“ und hervorgehobener Option „Neuen Benutzer erstellen“ im Dropdownmenü, mit der Sie einen neuen internen Benutzer in Ihrer Organisation erstellen können

  2. Geben Sie auf der Seite Neuen Benutzer erstellen die folgenden Informationen ein:

    • Geben Sie unter Allgemeine Informationen Informationen für diesen Administrator ein:
      1. Benutzerprinzipalname (Erforderlich): Der Benutzername des neuen Benutzers. Beispiel: emily@woodgrovelive.com.
      2. Anzeigename: Der Name des neuen Benutzers. Beispiel: Emily Doe.
    • Kopieren Sie unter Kennwort das im Kennwortfeld angegebene automatisch generierte Kennwort. Sie müssen dieses Kennwort dem Administrator nennen, damit dieser sich zum ersten mal anmelden kann.

    Screenshot: Blatt „Neuen Benutzer erstellen“, auf dem die erforderlichen Felder „Benutzerprinzipalname“, „E-Mail-Kontoname“, „Anzeigename“ und „Kennwort“ ausgefüllt sind

  3. Unter Eigenschaften können Sie auch einen Vornamen und Nachnamen zusammen mit einigen weiteren Eigenschaften eingeben.

    Screenshot: Blatt „Neuen Benutzer erstellen“, auf dem eine der Registerkarten mit dem Titel „Eigenschaften“ in der Navigation im Assistenten ausgewählt ist Es zeigt Eigenschaften wie Vorname, Nachname und andere Informationen zum Benutzer an, die ausgefüllt werden können.

  4. Um Administratorberechtigungen für den Benutzer hinzuzufügen, fügen Sie ihn mindestens einer Administratorrolle in Microsoft Entra ID hinzu. Wählen Sie unter Zuweisungen die Option Rolle hinzufügen aus. Suchen Sie dann die Rolle, die Sie diesem Benutzer zuweisen möchten, und wählen Sie Auswählen aus.

    Warnung

    Beim Erstellen von Administratorkonten wird empfohlen, Benutzern die Rolle mit den geringsten Berechtigungen zuzuweisen, um sicherzustellen, dass sie nur über die erforderlichen Berechtigungen zum Ausführen ihrer Aufgaben verfügen.

    Screenshot: Blatt „Neuen Benutzer erstellen“, auf dem die nächste Registerkarte mit dem Titel „Zuweisungen“ in der Navigation im Assistenten ausgewählt ist Es enthält die hervorgehobene Schaltfläche „Rolle hinzufügen“. Im Bereich „Verzeichnisrollen“ auf der rechten Seite ist die Rolle „Sicherheitsadministrator“ hervorgehoben.

  5. Wählen Sie Erstellen aus, um das Konto zu erstellen.

    Screenshot: Blatt „Neuen Benutzer erstellen“, auf dem die letzte Registerkarte mit dem Titel „Überprüfen und erstellen“ in der Navigation im Assistenten ausgewählt ist Es zeigt eine Übersicht über konfigurierte und zugewiesene allgemeine Informationen, Eigenschaften und Zuweisungen für diesen Benutzer.

    Gut gemacht. Der Administrator wird erstellt und Ihrem externen Mandanten hinzugefügt.

1. Erstellen eines Benutzers

Ersetzen Sie zum Erstellen eines Benutzers die folgenden Werte in der Microsoft Graph-Anforderung:

  • displayName durch den Anzeigenamen des Benutzers.
  • mailNickname durch den E-Mail-Alias für den Benutzer. Diese Eigenschaft muss angegeben werden, wenn ein Benutzer erstellt wird.
  • userPrincipalName durch den Prinzipalnamen (UPN) des Benutzers. Das übliche Muster ist „Alias@Domäne“, wobei die Domäne in der Auflistung überprüfter Domänen des Mandanten enthalten sein muss.
  • password durch ein temporäres Kennwort, das Sie für den Benutzer freigeben. Während der ersten Anmeldung wird der Benutzer aufgefordert, sein Kennwort zu ändern.
Beispiel

Im folgenden Beispiel sehen Sie, wie Sie ein neues Benutzerkonto für Adele Vance erstellen.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Kopieren der Benutzer-ID

Kopieren Sie den Wert von id aus der Antwort. Beispiel:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Zuweisen einer Administratorrolle

Nachdem der neue Benutzer erstellt wurde, erstellen Sie eine (einheitliche) Rollenzuweisung. Ersetzen Sie in der folgenden Microsoft Graph-Anforderung Folgendes:

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Beispiel

Im folgenden Beispiel wird Adele Vance die Rolle Sicherheitsadministrator zugewiesen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Feedback geben