Freigeben über


Übersicht über Benutzerkonten in Azure Active Directory B2C

In Azure Active Directory B2C (Azure AD B2C) gibt es mehrere Kontoarten, die erstellt werden können. In Microsoft Entra ID, Microsoft Entra B2B und Azure Active Directory B2C (Azure AD B2C) können dieselben Arten von Benutzerkonten verwendet werden.

Die folgenden Arten von Konten sind verfügbar:

  • Geschäftskonto: Ein Geschäftskonto kann auf Ressourcen in einem Mandanten zugreifen und mit einer Administratorrolle Mandanten verwalten.
  • Gastkonto: Ein Gastkonto kann nur ein Microsoft-Konto oder ein Microsoft Entra-Benutzerkonto sein, das für die Freigabe von Verwaltungsaufgaben wie das Verwalten eines Mandanten verwendet werden kann.
  • Consumerkonto: Ein Consumerkonto wird von einem Benutzer der Anwendungen verwendet, die Sie bei Azure AD B2C registriert haben. Consumerkonten können wie folgt erstellt werden:
    • Durch den Benutzer, der einen Benutzeranmeldeflow in einer Azure AD B2C-Anwendung durchläuft
    • Mithilfe der Microsoft Graph-API
    • Verwenden des Azure-Portals

Geschäftskonto

Ein Geschäftskonto wird für alle Mandanten auf die gleiche Weise basierend auf Microsoft Entra ID angelegt. Um ein Geschäftskonto zu erstellen, befolgen Sie die Anweisungen unter Schnellstart: Hinzufügen neuer Benutzer zu Microsoft Entra ID. Ein Geschäftskonto wird im Azure-Portal mit der Option Neuer Benutzer erstellt.

Beim Hinzufügen eines neuen Geschäftskontos müssen Sie die folgenden Konfigurationseinstellungen berücksichtigen:

  • Name und Benutzername: Die Eigenschaft Name enthält den Vor- und Nachnamen des Benutzers. Der Benutzername ist der Bezeichner, den der Benutzer eingibt, um sich anzumelden. Der Benutzername enthält den vollständigen Domänennamen. Der Domänennamensteil des Benutzernamens muss entweder der anfängliche Standarddomänenname Ihre_Domäne.onmicrosoft.com oder ein bestätigter, nicht im Verbund konfigurierter benutzerdefinierter Domänenname wie contoso.com sein.

  • E-Mail: Der neue Benutzer kann sich auch mit einer E-Mail-Adresse anmelden. Sonderzeichen oder Multibytezeichen in E-Mails, z. B. japanische Zeichen, werden nicht unterstützt.

  • Profil: Das Konto wird mit einem Profil mit Daten des Benutzers eingerichtet. Sie haben die Möglichkeit, einen Vornamen, Nachnamen, eine Position und einen Abteilungsnamen einzugeben. Sie können das Profil bearbeiten, nachdem das Konto erstellt wurde.

  • Gruppen: Verwenden Sie Gruppen zum Ausführen von Verwaltungsaufgaben, z. B. zum gleichzeitigen Zuweisen von Lizenzen oder Berechtigungen für viele Benutzer oder Geräte. Sie können das neue Konto einer bestehenden Gruppe in Ihrem Mandanten zuordnen.

  • Verzeichnisrolle: Sie müssen die Zugriffsebene angeben, die das Benutzerkonto auf Ressourcen in Ihrem Mandanten hat. Die folgenden Berechtigungsebenen sind verfügbar:

    • Benutzer: Benutzer können auf zugewiesene Ressourcen zugreifen, aber die meisten Mandantenressourcen nicht verwalten.
    • Globaler Administrator: Globale Administratoren haben Vollzugriff auf alle Mandantenressourcen.
    • Eingeschränkter Administrator: Wählen Sie die Verwaltungsrollen für den Benutzer aus. Weitere Informationen zu Rollen, die ausgewählt werden können, finden Sie unter Zuweisen von Administratorrollen in Microsoft Entra ID.

Erstellen eines Geschäftskontos

Befolgen Sie zum Erstellen eines neuen Geschäftskontos die folgenden Angaben:

Aktualisieren eines Benutzerprofils

Befolgen Sie zum Aktualisieren des Profils eines Benutzers die folgenden Angaben:

Zurücksetzen eines Kennworts für einen Benutzer

Befolgen Sie zum Zurücksetzen des Kennworts eines Benutzers die folgenden Angaben:

Gastbenutzer

Sie können in Ihrem Mandanten externe Benutzer als Gastbenutzer einladen. Ein typisches Szenario für das Einladen von Gastbenutzern in Ihren Azure AD B2C-Mandanten ist das Teilen von Systemadministratoraufgaben. Ein Beispiel der Nutzung eines Gastkontos finden Sie unter Eigenschaften eines Microsoft Entra B2B-Benutzers für die Zusammenarbeit.

Wenn Sie Gastbenutzer in Ihren Mandanten eingeladen haben, geben Sie die E-Mail-Adresse des Empfängers und eine Nachricht ein, die die Einladung beschreibt. Über den Einladungslink gelangt der Benutzer zur Zustimmungsseite. Wenn an die E-Mail-Adresse kein Posteingang angefügt ist, kann der Benutzer zur Zustimmungsseite navigieren, indem er mit den Anmeldeinformationen der Einladung zu einer Microsoft-Seite wechselt. Der Benutzer ist dann gezwungen, die Einladung in gleicher Weise wie beim Klicken auf den Link in der E-Mail einzulösen. Beispiel: https://myapps.microsoft.com/B2CTENANTNAME.

Sie können auch mit der Microsoft Graph-API Gastbenutzer einladen.

Consumerbenutzer

Der Consumerbenutzer kann sich bei Anwendungen anmelden, die mit Azure AD B2C geschützt sind, kann aber nicht auf Azure-Ressourcen wie das Azure-Portal zugreifen. Der Consumerbenutzer kann ein lokales oder Verbundkonto wie Facebook oder Twitter verwenden. Ein Consumerkonto wird durch Verwendung eines Registrierungs- oder Anmeldebenutzerflows, mithilfe der Microsoft Graph-API oder im Azure-Portal erstellt.

Sie können die Daten angeben, die beim Erstellen eines Consumerbenutzerkontos gesammelt werden. Weitere Informationen finden Sie unter Hinzufügen von Benutzerattributen und Anpassen der Benutzereingabe.

Weitere Informationen zum Verwalten von Benutzerkonten finden Sie unter Verwalten von Azure AD B2C-Benutzerkonten mit Microsoft Graph.

Migrieren von Benutzerkonten für Consumer

Möglicherweise müssen Sie bestehende Benutzerkonten von Consumern von Identitätsanbietern in Azure AD B2C migrieren. Weitere Informationen finden Sie unter Migrieren von Benutzern zu Azure Active Directory B2C.