Was ist Microsoft Entra ID?

  • 10 Minuten

Auch wenn der Name früher ähnlich klang: Microsoft Entra ID ist nicht eine Cloudversion von Windows Server Active Directory. Es soll auch ein lokales Active Directory nicht komplett ersetzen. Es dient vielmehr dazu, einen bereits vorhandenen Windows AD-Server mit Microsoft Entra ID zu verbinden, um das Verzeichnis in Azure zu erweitern. Dadurch können Benutzer mit denselben Anmeldeinformationen auf lokale und auf cloudbasierte Ressourcen zugreifen.

Darstellung der Ressourcenverwaltung mit Windows AD und Microsoft Entra ID.

Ein Benutzer kann Microsoft Entra ID auch unabhängig von Windows AD verwenden. Kleinere Unternehmen können mit Microsoft Entra ID als einzigem Verzeichnisdienst den Zugriff auf ihre Anwendungen und SaaS-Produkte wie Microsoft 365, Salesforce und Dropbox verwalten.

Hinweis

Beachten Sie, dass es auf diese Weise kein vollständig zentralisiertes Verwaltungsmodell bereitgestellt wird. Lokale Windows-Computer werden z. B. weiter mit lokalen Anmeldeinformationen authentifiziert. Benutzer können Anwendungen schreiben, die Microsoft Entra ID verwenden und die Authentifizierung und Autorisierung durch einen Benutzer an einer einzigen Stelle verwalten.

Verzeichnisse, Abonnements und Benutzer

Microsoft bietet heute mehrere cloudbasierte Angebote an, die alle Microsoft Entra ID verwenden können, um Benutzer zu identifizieren und den Zugriff zu kontrollieren:

  • Microsoft Azure
  • Microsoft 365
  • Microsoft Intune
  • Microsoft Dynamics 365

Wenn sich Unternehmen oder Organisationen für eines dieser Angebote registrieren, wird ihnen ein Standardverzeichnis als Instanz von Microsoft Entra ID zugewiesen. Dieses Verzeichnis enthält die Benutzer und Gruppen, die Zugriff auf alle Dienste erhalten, die das Unternehmen gebucht hat. Sie können dieses Standardverzeichnis als Mandanten bezeichnen. Ein Mandant stellt die Organisation und das Standardverzeichnis dar, die ihm zugewiesen wurden.

Bei einem Abonnement handelt es sich in Azure sowohl um eine Abrechnungsentität als auch um eine Sicherheitsgrenze. Ressourcen, wie z. B. virtuelle Computer, Websites und Datenbanken, sind einem einzelnen Abonnement zugeordnet. Jedes Abonnement hat auch einen einzelnen Kontobesitzer, der für alle Gebühren verantwortlich ist, die durch Ressourcen in diesem Abonnement anfallen. Wenn Ihre Organisation ein Abonnement über ein anderes Konto abrechnen möchte, können Sie das Abonnement übertragen. Ein Abonnement ist einem einzelnen Microsoft Entra-Verzeichniszugeordnet. Mehrere Abonnements können demselben Verzeichnis vertrauen, ein bestimmtes Abonnement kann jedoch nur einem einzelnen Verzeichnis vertrauen.

Sie können Benutzer und Gruppen zu mehreren Abonnements hinzufügen. Dadurch kann der Benutzer die Ressourcen im Abonnement erstellen, kontrollieren und darauf zugreifen. Wenn Sie einem Abonnement einen Benutzer hinzufügen möchten, muss er dem zugewiesenen Verzeichnis wie in der folgenden Abbildung dargestellt bekannt sein:

Darstellung von Benutzern, Verzeichnissen und Abonnements in Azure

Wenn Sie mehreren Verzeichnissen angehören, können Sie das aktuelle Verzeichnis über die Schaltfläche Verzeichnis und Abonnement im Header des Azure-Portals wechseln.

Screenshot des Dialogfelds zur Auswahl des Verzeichnisses im Azure-Portal

Sie können auch das Standardverzeichnis festlegen: das zuletzt besuchte oder ein bestimmtes Verzeichnis. Zudem können Sie den Standardfilter für angezeigte Abonnements festlegen. Standardfilter sind nützlich, wenn Sie auf mehrere Abonnements Zugriff haben, aber in der Regel nur mit einigen wenigen davon arbeiten.

Erstellen eines neuen Verzeichnisses

Hinweis

Sie können viele dieser Aufgaben entweder im Azure-Portal oder im Microsoft Entra Admin Center ausführen. In diesem Tutorial wird Microsoft Entra Admin Center für die meisten Aufgaben verwendet, sofern nicht anders angegeben.

Eine Organisation (Mandant) verfügt über ein Microsoft Entra-Standardverzeichnis. Besitzer können für Entwicklungs- oder Testzwecke jedoch weitere Verzeichnisse erstellen. Ein weiterer Grund für getrennte Verzeichnisse kann die Synchronisierung mit lokalen Windows Server AD-Gesamtstrukturen sein.

Wichtig

Führen Sie die folgenden Schritte aus, um ein neues Verzeichnis zu erstellen. Diese Option steht Ihnen jedoch nur zur Verfügung, wenn Sie auch der Besitzer Ihres Azure-Kontos sind. Die Azure Sandbox ermöglicht es Ihnen nicht, neue Microsoft Entra-Verzeichnisse zu erstellen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf der Azure-Startseite unter Azure-Dienste auf die Option Ressource erstellen.

  3. Wählen Sie im linken Menübereich Identitätaus und suchen Sie dann nach Microsoft Entra ID und wählen Sie es aus.

  4. Klicken Sie auf Erstellen.

  5. Wählen Sie Microsoft Entra ID für den Mandantentyp und dann "Weiter" aus : Konfiguration.

  6. Füllen Sie die folgenden Werte für jede Einstellung aus.

    • Organisationsname: Geben Sie einen Namen für das Verzeichnis ein, damit es von anderen Verzeichnissen unterscheidbar ist. Das zu erstellende Verzeichnis wird in der Produktion verwendet. Wählen Sie einen Namen aus, den Ihre Benutzer als den Namen Ihrer Organisation erkennen. Der Name kann später jederzeit geändert werden.

    • Name der Anfangsdomäne: Geben Sie einen Domänennamen ein, der mit Ihrer Organisation verknüpft ist. Eine unbekannte oder fehlende Domäne verursacht einen Überprüfungsfehler. Der Standarddomänenname enthält immer das Suffix .onmicrosoft.com. Die Standarddomäne kann nicht geändert werden. Sie können jedoch später eine benutzerdefinierte Domäne im Besitz Ihrer Organisation hinzufügen, sodass definierte Benutzer eine für Ihr Unternehmen übliche E-Mail-Adresse wie john@contoso.com nutzen können.

    • Land oder Region: Wählen Sie das Land/die Region aus, in dem bzw. der das Verzeichnis angelegt werden soll. Das Land bzw. die Region gibt die Region und das Rechenzentrum an, in dem die Microsoft Entra-Instanz untergebracht ist; Sie können dies später nicht mehr ändern.

    Screenshot der Erstellung eines AD-Verzeichnisses

  7. Klicken Sie auf Erstellen, um das neue Verzeichnis zu erstellen. Es wird ein Verzeichnis im Free-Tarif erstellt, in dem Sie Benutzer hinzufügen, Rollen erstellen, Apps und Geräte registrieren und Lizenzen verwalten können.

Nachdem Sie das Verzeichnis erstellt haben, klicken Sie auf Click here to manage your new tenant (Hier klicken, um Ihren neuen Mandanten zu verwalten), um zum Übersichtsdashboard zu wechseln, über das Sie alle Verzeichnisaspekte steuern können.

Screenshot des Microsoft Entra-Dashboards.

Sehen wir uns eines der primären Elemente an, mit dem Sie in Microsoft Entra ID arbeiten: Benutzer.

Überprüfen Sie Ihr Wissen

1.

Ein Azure-Abonnement ist

2.

Welche der folgenden Aussagen beschreibt die Beziehung zwischen einem Abonnement und einem Microsoft Entra-Verzeichnis am besten?

3.

Richtig oder Falsch, eine Organisation kann mehr als ein Microsoft Entra-Verzeichnis haben.