Erstellen und Verwalten von Benutzern

Jeder Benutzer benötigt für den Zugriff auf Azure-Ressourcen ein Azure-Benutzerkonto. Ihr Benutzerkonto enthält alle Informationen, die erforderlich sind, um Sie während der Anmeldung zu authentifizieren. Nach der Authentifizierung erstellt Microsoft Entra ID ein Zugriffstoken, mit dem Sie autorisiert werden. Zudem wird bestimmt, auf welche Ressourcen Sie zugreifen und welche Aktionen Sie damit ausführen können.

Das Microsoft Entra Admin Center ist ein webbasiertes Identitätsportal für Microsoft Entra-Produkte. Es bietet eine einheitliche Verwaltungsoberfläche für Organisationen und Administratoren, um die Microsoft Entra-Lösungen an einem zentralen Ort zu konfigurieren und zu verwalten.

In dieser Übung verwenden Sie das Microsoft Entra Admin Center, um mit Benutzerobjekten zu arbeiten. Denken Sie daran, dass Sie nur jeweils mit einem einzelnen Verzeichnis arbeiten können, aber Sie können den Bereich "Verzeichnis + Abonnement " verwenden, um Verzeichnisse zu wechseln.

Anzeigen von Benutzern

Um die Microsoft Entra-Benutzer anzuzeigen, wählen Sie " Benutzer " im linken Bereich und dann "Alle Benutzer" aus. Der Bereich "Alle Benutzer " wird angezeigt. Beachten Sie die Spalten "Benutzertyp " und "Identitäten ", wie im folgenden Screenshot gezeigt:

In der Regel definiert Microsoft Entra ID Benutzer*innen auf drei Arten:

• Cloudidentitäten: Diese Benutzer sind nur in der Microsoft Entra-ID vorhanden. Dabei kann es sich z. B. um Administratorkonten oder von Ihnen selbst verwaltete Benutzer handeln. Ihre Quelle ist die Microsoft Entra-ID oder die externe Microsoft Entra-ID , wenn der Benutzer in einer anderen Microsoft Entra-Instanz definiert ist, aber Zugriff auf Abonnementressourcen benötigt, die von diesem Verzeichnis gesteuert werden. Diese Konten werden gelöscht, wenn sie aus dem primären Verzeichnis entfernt werden.

• Verzeichnissynchronisierungsidentitäten: Diese Benutzer sind in einem lokalen Active Directory vorhanden. Eine Synchronisierungsaktivität, die über Microsoft Entra Connect erfolgt, bringt diese Benutzer in Azure. Ihre Quelle ist Windows Server AD.

• Gastbenutzer: Diese Benutzer sind außerhalb von Azure vorhanden. Dabei kann es sich z. B. um Konten anderer Cloudanbieter oder um Microsoft-Konten wie Xbox Live handeln. Ihre Quelle ist eingeladener Benutzer. Diese Art von Konto eignet sich für externe Anbieter oder Auftragnehmer, die Zugriff auf Ihre Azure-Ressourcen benötigen. Sobald deren Mitwirkung nicht mehr erforderlich ist, können Sie das Konto und den gesamten Zugriff entfernen.

Hinzufügen von Benutzern

Cloudidentitäten können in Microsoft Entra ID auf verschiedene Weise hinzugefügt werden:

• Über die Synchronisierung mit einer lokalen Windows Server Active Directory-Instanz
• Verwenden des Microsoft Entra Admin Centers
• Verwenden des Azure-Portals
• Verwenden der Befehlszeile
• Weitere Optionen

Synchronisieren einer lokalen Windows Server Active Directory-Instanz

Mit dem separaten Dienst Microsoft Entra Connect können Sie ein herkömmliches Active Directory mit Ihrer Microsoft Entra-Instanz synchronisieren. Auf diese Weise fügen die meisten Unternehmenskunden dem Verzeichnis Benutzer hinzu. Der Vorteil dieser Methode besteht darin, dass Benutzer über das einmalige Anmelden (Single Sign-On, SSO) Zugriff auf lokale und cloudbasierte Ressourcen erhalten.

Verwenden des Microsoft Entra Admin Center

Im Microsoft Entra Admin Center können Sie neue Benutzer manuell hinzufügen. Wenn Sie eine kleine Gruppe von Benutzern hinzufügen möchten, ist dies die einfachste Möglichkeit. Sie müssen in der Rolle " Benutzeradministrator " sein, um diese Funktion auszuführen.

1. Um einen neuen Benutzer hinzuzufügen, wählen Sie in der oberen Menüleiste " Neuer Benutzer" und dann " Neuen Benutzer erstellen" aus.

   

2. Zusätzlich zu Name und Benutzername können Sie profilinformationen wie Position und Abteilung auf der Registerkarte "Eigenschaften " hinzufügen.

   

   Als Standardverhalten wird ein neuer Benutzer in der Organisation erstellt. Der Benutzer erhält einen Benutzernamen, der den Standarddomänennamen und das zugewiesene Verzeichnis enthält, wie z. B. alice@staracoustics.onmicrosoft.com.

3. Sie können einen Benutzer auch in das Verzeichnis einladen . In diesem Fall wird eine E-Mail an eine bekannte E-Mail-Adresse gesendet. Wird die Einladung durch die Benutzer*innen angenommen, wird ein Konto erstellt und mit dieser E-Mail-Adresse verknüpft.

   

   Ist die entsprechende E-Mail-Adresse noch keinem Microsoft-Konto zugeordnet, muss der eingeladene Benutzer oder die eingeladene Benutzerin ein zugeordnetes Microsoft-Konto (MSA) erstellen. Anschließend wird das Konto in Microsoft Entra ID als Gastbenutzer hinzugefügt.

Über die Befehlszeile

Wenn Sie viele Benutzer hinzufügen möchten, ist die Verwendung eines Befehlszeilentools die bessere Option. Sie können den PowerShell-Befehl "New-MgUser " ausführen, um cloudbasierte Benutzer hinzuzufügen.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled 

Mit dem Befehl wird das neue Benutzerobjekt zurückgegeben, das Sie erstellt haben:

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Wenn Sie eine Befehlszeilenschnittstelle bevorzugen, die mehr dem Standard entspricht, können Sie die Azure CLI verwenden:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Befehlszeilentools ermöglichen über die Skripterstellung das Hinzufügen von Benutzern in einem Massenvorgang. Die gängigste Methode hierfür ist die Verwendung einer CSV-Datei. Diese können Sie entweder manuell erstellen oder aus einer vorhandenen Datenquelle exportieren.

Beachten Sie bei der Verwendung von CSV-Dateien bitte Folgendes:

• Benennungskonventionen: Einrichten oder Implementieren einer Benennungskonvention für Benutzernamen, Anzeigenamen und Aliase. Ein Benutzername kann beispielsweise aus dem Nachnamen gefolgt von einem Punkt (.) gefolgt vom Vornamen bestehen, wie in Smith.John@contoso.com.

• Kennwörter: Implementieren sie eine Konvention für das anfängliche Kennwort eines neu erstellten Benutzers. Legen Sie fest, auf welchem Weg mit erhöhter Sicherheit neue Benutzer ihr Kennwort erhalten sollen. Eine gängige Methode hierfür ist das Generieren eines Zufallskennworts, das per E-Mail an den neuen Benutzer oder seinen Vorgesetzten gesendet wird.

Gehen Sie folgendermaßen vor, um eine CSV-Datei mit Azure PowerShell zu verwenden:

1. Führen Sie den Befehl Connect-MgGraph aus, um eine PowerShell-Verbindung mit Ihrem Verzeichnis zu erstellen. Stellen Sie eine Verbindung mit einem Administratorkonto her, das über Berechtigungen für Ihr Verzeichnis verfügt.

2. Erstellen Sie für die neuen Benutzer neue Kennwortprofile. Die Kennwörter für die neuen Benutzer*innen müssen den Komplexitätsregeln für Kennwörter entsprechen, die Sie für Ihr Verzeichnis festgelegt haben.

3. Importieren Sie mit Import-CSV die CSV-Datei. Geben Sie dabei den Pfad und Dateinamen der CSV-Datei an.

4. Durchlaufen Sie jeden Benutzer in der Datei, und erstellen Sie dabei die für den jeweiligen Benutzer erforderlichen Benutzerparameter. Mögliche Parameter sind beispielsweise Benutzerprinzipalname, Anzeigename, Vorname, Abteilung oder Position.

5. Führen Sie den Befehl New-MgUser aus, um die einzelnen Benutzer zu erstellen. Vergewissern Sie sich, dass jedes Konto aktiviert wurde.

Weitere Optionen

Sie können Benutzer*innen auch programmgesteuert mithilfe der Microsoft Graph-API zu Microsoft Entra ID hinzufügen. Wenn Sie dasselbe Verzeichnis verwenden, ist dies auch über das Microsoft 365 Admin Center und die Microsoft Intune-Verwaltungskonsole möglich.