Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
In Azure Active Directory B2C (Azure AD B2C) stellt ein Mandant Ihr Verzeichnis von Kunden-, Arbeits- und Gastkonten dar. Mit einer Administratorrolle können Arbeits- und Gastkonten den Mandanten verwalten.
In diesem Artikel erfahren Sie, wie Sie:
- Hinzufügen eines Administrators (Geschäftskonto)
- Einladen eines Administrators (Gastkonto)
- Hinzufügen einer Rollenzuweisung zu einem Benutzerkonto
- Entfernen einer Rollenzuweisung aus einem Benutzerkonto
- Löschen eines Administratorkontos
- Verwaltungskonten schützen
Voraussetzungen
- Wenn Sie Ihren eigenen Azure AD B2C-Mandanten noch nicht erstellt haben, erstellen Sie jetzt einen. Sie können einen vorhandenen Azure AD B2C-Mandanten verwenden.
- Grundlegendes zu Benutzerkonten in Azure AD B2C.
- Grundlegendes zum Steuern des Ressourcenzugriffs mithilfe von Benutzerrollen
Hinzufügen eines Administrators (Geschäftskonto)
Führen Sie die folgenden Schritte aus, um ein neues Administratorkonto zu erstellen:
Melden Sie sich im Azure-Portal mit mindestens den Berechtigungen eines privilegierten Rollenadministrators an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
Wählen Sie unter Verwalten das Element Benutzer aus.
Wählen Sie Neuer Benutzer aus.
Wählen Sie "Benutzer erstellen" aus (Sie können viele Benutzer gleichzeitig erstellen, indem Sie "Benutzer in Massen erstellen" auswählen).
Geben Sie auf der Seite "Benutzer " Informationen für diesen Benutzer ein:
-
Benutzerprinzipalname.
Erforderlich. Der Benutzername des neuen Benutzers. Beispiel:
mary@contoso.com. Der Domänenteil des Benutzernamens muss entweder der anfängliche Standarddomänenname (<Mandantenname>.onmicrosoft.com) oder Ihr benutzerdefinierter Domänenname (z. B.contoso.com) sein. - Anzeigename: Erforderlich. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
- Kennwort: Erforderlich. Die Standardeinstellung besteht darin, ein Kennwort automatisch zu generieren, Sie haben jedoch die Möglichkeit, Ihr gewünschtes Kennwort einzugeben.
- Gruppen. Optional. Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
- Verzeichnisrolle: Wenn Sie Administratorberechtigungen für Microsoft Entra für den Benutzer benötigen, können Sie diese einer Microsoft Entra-Rolle hinzufügen. Sie können dem Benutzer die Rolle „Globaler Administrator“ oder mindestens eine der eingeschränkten Administratorrollen in Microsoft Entra zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Verwenden von Rollen zum Steuern des Ressourcenzugriffs.
- Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
-
Benutzerprinzipalname.
Erforderlich. Der Benutzername des neuen Benutzers. Beispiel:
Kopieren Sie das automatisch generierte Kennwort im Feld Kennwort. Sie müssen dem Benutzer dieses Kennwort erteilen, um sich zum ersten Mal anzumelden.
Klicken Sie auf Erstellen.
Der Benutzer wird erstellt und Ihrem Azure AD B2C-Mandanten hinzugefügt. Es ist vorzuziehen, mindestens ein geschäftseigenes Konto für Ihren Azure AD B2C-Mandanten zu haben, dem die Rolle "Globaler Administrator" zugewiesen wurde. Dieses Konto kann als Notfallkonto oder Konto für den Notfallzugriff betrachtet werden.
Einladen eines Administrators (Gastkonto)
Sie können auch einen neuen Gastbenutzer einladen, um Ihren Mandanten zu verwalten. Das Gastkonto ist die bevorzugte Option, wenn Ihre Organisation auch über Microsoft Entra-ID verfügt, da der Lebenszyklus dieser Identität extern verwaltet werden kann.
Führen Sie die folgenden Schritte aus, um einen Benutzer einzuladen:
Melden Sie sich im Azure-Portal mit mindestens den Berechtigungen eines privilegierten Rollenadministrators an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
Wählen Sie unter Verwalten das Element Benutzer aus.
Wählen Sie "Neues Gastkonto" aus.
Geben Sie auf der Seite "Benutzer " Informationen für diesen Benutzer ein:
-
E-Mail-Adresse.
Erforderlich. Die E-Mail-Adresse des Benutzers, den Sie einladen möchten, das muss ein Microsoft-Konto sein. Beispiel:
mary@contoso.com. - Persönliche Nachricht: Sie fügen eine persönliche Nachricht hinzu, die in der Einladungs-E-Mail enthalten ist.
- Gruppen. Optional. Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
- Verzeichnisrolle: Wenn Sie Administratorberechtigungen für Microsoft Entra für den Benutzer benötigen, können Sie diese einer Microsoft Entra-Rolle hinzufügen. Sie können dem Benutzer die Rolle „Globaler Administrator“ oder mindestens eine der eingeschränkten Administratorrollen in Microsoft Entra zuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Verwenden von Rollen zum Steuern des Ressourcenzugriffs.
- Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
-
E-Mail-Adresse.
Erforderlich. Die E-Mail-Adresse des Benutzers, den Sie einladen möchten, das muss ein Microsoft-Konto sein. Beispiel:
Klicken Sie auf Erstellen.
Eine Einladungs-E-Mail wird an den Benutzer gesendet. Der Benutzer muss die Einladung annehmen, um sich anmelden zu können.
Erneutes Senden der Einladungs-E-Mail
Wenn der Gast die Einladungs-E-Mail nicht erhalten hat oder die Einladung abgelaufen ist, können Sie die Einladung erneut senden. Als Alternative zur Einladungs-E-Mail können Sie einem Gast einen direkten Link geben, um die Einladung anzunehmen. So senden Sie die Einladung erneut, und rufen Sie den direkten Link ab:
Melden Sie sich beim Azure-Portal an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
Wählen Sie unter Verwalten das Element Benutzer aus.
Suchen Und wählen Sie den Benutzer aus, an den Sie die Einladung erneut senden möchten.
Im Benutzer | Profilseite unter "Identität" wählen Sie (Verwalten) aus.
Wählen Sie für " Einladung erneut senden"die Option "Ja" aus. Wenn Sie sicher sind, dass Sie eine Einladung erneut senden möchten? wird angezeigt, und wählen Sie "Ja" aus.
Azure AD B2C sendet die Einladung. Sie können die Einladungs-URL auch kopieren und direkt an den Gast bereitstellen.
Hinzufügen einer Rollenzuweisung
Sie können eine Rolle zuweisen, wenn Sie einen Benutzer erstellen oder einen Gastbenutzer einladen. Sie können eine Rolle hinzufügen, die Rolle ändern oder eine Rolle für einen Benutzer entfernen:
- Melden Sie sich im Azure-Portal mit mindestens den Berechtigungen eines privilegierten Rollenadministrators an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
- Wählen Sie unter Verwalten das Element Benutzer aus.
- Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
- Wählen Sie Zuweisung hinzufügen und die Rolle aus, die zugewiesen werden soll (z. B. Anwendungsadministrator), und wählen Sie dann Hinzufügen aus.
Entfernen einer Rollenzuweisung
Wenn Sie eine Rollenzuweisung von einem Benutzer entfernen müssen, führen Sie die folgenden Schritte aus:
- Wählen Sie Azure AD B2C aus, wählen Sie "Benutzer" aus, und suchen Sie dann nach dem Benutzer, und wählen Sie den Benutzer aus.
- Wählen Sie Zugewiesene Rollen aus. Wählen Sie die Rolle aus, die Sie entfernen möchten, z. B. Anwendungsadministratorund wählen Sie dann Zuweisung entfernen aus.
Überprüfen von Rollenzuweisungen für Administratorkonten
Im Rahmen eines Überwachungsprozesses überprüfen Sie in der Regel, welche Benutzer bestimmten Rollen im Azure AD B2C-Verzeichnis zugewiesen sind. Verwenden Sie die folgenden Schritte, um zu überwachen, welchen Benutzern derzeit privilegierte Rollen zugewiesen sind.
- Melden Sie sich beim Azure-Portal als Administrator für privilegierte Rollen an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
- Wählen Sie unter "Verwalten"die Option "Rollen und Administratoren" aus.
- Wählen Sie eine Rolle aus, z. B. Globaler Administrator. Die Seite Rolle | Aufgaben listet die Benutzer mit dieser Rolle auf.
Löschen eines Administratorkontos
Um einen vorhandenen Benutzer zu löschen, müssen Sie über die zugewiesene Rolle Globaler Administrator verfügen. Globale Administratoren können jeden Benutzer löschen, einschließlich anderer Administratoren. Benutzeradministratoren können alle Benutzer löschen, die keine Administratoren sind.
- Wählen Sie in Ihrem Azure AD B2C-Verzeichnis "Benutzer" und dann den Benutzer aus, den Sie löschen möchten.
- Wählen Sie Löschen und dann Ja, um den Löschvorgang zu bestätigen.
Der Benutzer wird gelöscht und wird nicht mehr auf der Seite "Benutzer – Alle Benutzer " angezeigt. Sie können den Benutzer für die nächsten 30 Tage auf der Seite Gelöschte Benutzer anzeigen und während dieses Zeitraums wiederherstellen. Weitere Informationen zum Wiederherstellen eines Benutzers finden Sie unter Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers mithilfe von Microsoft Entra ID.
Verwaltungskonten schützen
Es wird empfohlen, alle Administratorkonten mit mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA) zu schützen, um mehr Sicherheit zu gewährleisten. MFA ist ein Identitätsüberprüfungsprozess bei der Anmeldung, der den Benutzer zur Eingabe einer weiteren Form der Identifizierung auffordert, z. B. einen Überprüfungscode auf ihrem mobilen Gerät oder eine Anforderung in der Microsoft Authenticator-App.
Wenn Sie keinen bedingten Zugriff verwenden, können Sie microsoft Entra-Sicherheitsstandards aktivieren, um zu erzwingen, dass alle Administrativen Konten MFA verwenden.