Benutzer erstellen und verwalten
Jeder Benutzer benötigt für den Zugriff auf Azure-Ressourcen ein Azure-Benutzerkonto. Ihr Benutzerkonto enthält alle Informationen, die erforderlich sind, um Sie während der Anmeldung zu authentifizieren. Nach der Authentifizierung erstellt Microsoft Entra ID ein Zugriffstoken, mit dem Sie autorisiert werden. Zudem wird bestimmt, auf welche Ressourcen Sie zugreifen und welche Aktionen Sie damit ausführen können.
Das Microsoft Entra Admin Center ist ein webbasiertes Identitätsportal für Microsoft Entra-Produkte. Es bietet eine einheitliche Verwaltungsoberfläche für Organisationen und Administratoren, um die Microsoft Entra-Lösungen an einem zentralen Ort zu konfigurieren und zu verwalten.
In dieser Übung verwenden Sie das Microsoft Entra Admin Center, um mit Benutzerobjekten zu arbeiten. Beachten Sie, dass Sie jeweils nur mit einem einzelnen Verzeichnis arbeiten können. Über den Bereich Verzeichnis + Abonnement können Sie das Verzeichnis jedoch jederzeit wechseln.
Anzeigen von Benutzern
Wenn Sie die Microsoft Entra-Benutzer anzeigen möchten, wählen Sie im linken Bereich Benutzer aus und anschließend Alle Benutzer. Der Bereich Alle Benutzer wird angezeigt. Beachten Sie die Spalten Benutzertyp und Identitäten im folgenden Screenshot:
In der Regel definiert Microsoft Entra ID Benutzer*innen auf drei Arten:
Cloudidentitäten: Diese Benutzer*innen sind nur in Microsoft Entra ID vorhanden. Dabei kann es sich z. B. um Administratorkonten oder von Ihnen selbst verwaltete Benutzer handeln. Ihre Quelle ist Microsoft Entra ID oder eine externe Microsoft Entra ID-Instanz, wenn die Benutzer*innen in einer anderen Microsoft Entra-Instanz definiert sind, aber Zugriff auf Abonnementressourcen benötigen, die von diesem Verzeichnis gesteuert werden. Diese Konten werden gelöscht, wenn sie aus dem primären Verzeichnis entfernt werden.
Mit dem Verzeichnis synchronisierte Identitäten: Diese Benutzer*innen sind in einem lokalen Active Directory vorhanden. Diese Benutzer*innen gelangen über eine Synchronisierung mit Microsoft Entra Connect in Azure. Ihre Quelle lautet Windows Server AD.
Gastbenutzer: Diese Benutzer*innen sind außerhalb von Azure vorhanden. Dabei kann es sich z. B. um Konten anderer Cloudanbieter oder um Microsoft-Konten wie Xbox Live handeln. Ihre Quelle lautet Eingeladener Benutzer. Diese Art von Konto eignet sich für externe Anbieter oder Auftragnehmer, die Zugriff auf Ihre Azure-Ressourcen benötigen. Sobald deren Mitwirkung nicht mehr erforderlich ist, können Sie das Konto und den gesamten Zugriff entfernen.
Hinzufügen von Benutzern
Cloudidentitäten können in Microsoft Entra ID auf verschiedene Weise hinzugefügt werden:
- Über die Synchronisierung mit einer lokalen Windows Server Active Directory-Instanz
- Verwenden des Microsoft Entra Admin Centers
- Verwenden des Azure-Portals
- Verwenden der Befehlszeile
- Weitere Optionen
Synchronisieren einer lokalen Windows Server Active Directory-Instanz
Mit dem separaten Dienst Microsoft Entra Connect können Sie ein herkömmliches Active Directory mit Ihrer Microsoft Entra-Instanz synchronisieren. Auf diese Weise fügen die meisten Unternehmenskunden dem Verzeichnis Benutzer hinzu. Der Vorteil dieser Methode besteht darin, dass Benutzer über das einmalige Anmelden (Single Sign-On, SSO) Zugriff auf lokale und cloudbasierte Ressourcen erhalten.
Verwenden des Microsoft Entra Admin Center
Im Microsoft Entra Admin Center können Sie neue Benutzer manuell hinzufügen. Wenn Sie eine kleine Gruppe von Benutzern hinzufügen möchten, ist dies die einfachste Möglichkeit. Für diese Aufgabe ist die Rolle Benutzeradministrator erforderlich.
Um einen neuen Benutzer hinzuzufügen, klicken Sie in der oberen Menüleiste auf Neuer Benutzer, und wählen Sie dann Neuen Benutzer erstellen aus.
Neben dem Namen und dem Benutzernamen können Sie auf der Registerkarte Eigenschaften auch Profilinformationen wie Position und Abteilung hinzufügen.
Als Standardverhalten wird ein neuer Benutzer in der Organisation erstellt. Der Benutzer erhält einen Benutzernamen, der den Standarddomänennamen und das zugewiesene Verzeichnis enthält, wie z. B. alice@staracoustics.onmicrosoft.com.
Sie können einen Benutzer auch in das Verzeichnis einladen. In diesem Fall wird eine E-Mail an eine bekannte E-Mail-Adresse gesendet. Wird die Einladung durch die Benutzer*innen angenommen, wird ein Konto erstellt und mit dieser E-Mail-Adresse verknüpft.
Ist die entsprechende E-Mail-Adresse noch keinem Microsoft-Konto zugeordnet, muss der eingeladene Benutzer oder die eingeladene Benutzerin ein zugeordnetes Microsoft-Konto (MSA) erstellen. Anschließend wird das Konto in Microsoft Entra ID als Gastbenutzer hinzugefügt.
Über die Befehlszeile
Wenn Sie viele Benutzer hinzufügen möchten, ist die Verwendung eines Befehlszeilentools die bessere Option. Sie können den PowerShell-Befehl New-MgUser ausführen, um cloudbasierte Benutzer hinzuzufügen.
# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }
# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled
Mit dem Befehl wird das neue Benutzerobjekt zurückgegeben, das Sie erstellt haben:
DisplayName Id UserPrincipalName
----------- -- -----------------
Abby Brown f36634c8-8a93-4909-9248-0845548bc515 AbbyB@contoso.com
Wenn Sie eine Befehlszeilenschnittstelle bevorzugen, die mehr dem Standard entspricht, können Sie die Azure CLI verwenden:
az ad user create --display-name "Abby Brown" \
--password "<password>" \
--user-principal-name "AbbyB@contoso.com" \
--force-change-password-next-login true \
--mail-nickname "AbbyB"
Befehlszeilentools ermöglichen über die Skripterstellung das Hinzufügen von Benutzern in einem Massenvorgang. Die gängigste Methode hierfür ist die Verwendung einer CSV-Datei. Diese können Sie entweder manuell erstellen oder aus einer vorhandenen Datenquelle exportieren.
Beachten Sie bei der Verwendung von CSV-Dateien bitte Folgendes:
Namenskonvention: Richten Sie eine Namenskonvention für Benutzernamen, Anzeigenamen und Aliase ein, oder implementieren Sie diese. Ein Benutzername kann beispielsweise aus dem Nachnamen gefolgt von einem Punkt (.) gefolgt vom Vornamen bestehen, wie in Smith.John@contoso.com.
Kennwörter: Implementieren Sie eine Konvention für das anfängliche Kennwort neu erstellter Benutzer*innen. Legen Sie fest, auf welchem Weg mit erhöhter Sicherheit neue Benutzer ihr Kennwort erhalten sollen. Eine gängige Methode hierfür ist das Generieren eines Zufallskennworts, das per E-Mail an den neuen Benutzer oder seinen Vorgesetzten gesendet wird.
Gehen Sie folgendermaßen vor, um eine CSV-Datei mit Azure PowerShell zu verwenden:
Führen Sie den Befehl Connect-MgGraph aus, um eine PowerShell-Verbindung mit Ihrem Verzeichnis zu erstellen. Stellen Sie eine Verbindung mit einem Administratorkonto her, das über Berechtigungen für Ihr Verzeichnis verfügt.
Erstellen Sie für die neuen Benutzer neue Kennwortprofile. Die Kennwörter für die neuen Benutzer*innen müssen den Komplexitätsregeln für Kennwörter entsprechen, die Sie für Ihr Verzeichnis festgelegt haben.
Importieren Sie mit
Import-CSVdie CSV-Datei. Geben Sie dabei den Pfad und Dateinamen der CSV-Datei an.Durchlaufen Sie jeden Benutzer in der Datei, und erstellen Sie dabei die für den jeweiligen Benutzer erforderlichen Benutzerparameter. Mögliche Parameter sind beispielsweise Benutzerprinzipalname, Anzeigename, Vorname, Abteilung oder Position.
Führen Sie den Befehl
New-MgUseraus, um die einzelnen Benutzer zu erstellen. Vergewissern Sie sich, dass jedes Konto aktiviert wurde.
Weitere Optionen
Sie können Benutzer*innen auch programmgesteuert mithilfe der Microsoft Graph-API zu Microsoft Entra ID hinzufügen. Wenn Sie dasselbe Verzeichnis verwenden, ist dies auch über das Microsoft 365 Admin Center und die Microsoft Intune-Verwaltungskonsole möglich.