Microsoft Entra-Bereitstellungspläne

Azure Active Directory heißt jetzt Microsoft Entra ID und kann Ihre Organisation durch Cloudidentitäts- und Zugriffsverwaltung schützen. Die Lösung vernetzt Mitarbeiter*innen, Kund*innen und Partner mit ihren Apps, Geräten und Daten.

Verwenden Sie die Anleitungen in diesem Artikels, um Ihren Plan für die Bereitstellung von Microsoft Entra ID zu erstellen. Sie erfahren mehr über die Grundlagen der Planung und verwenden dann die folgenden Abschnitte für die Authentifizierungsbereitstellung, Apps und Geräte, Hybridszenarios, Benutzeridentitäten und mehr.

Projektbeteiligte und Rollen

Beziehen Sie Ihre wichtigsten Stakeholder ein, wenn Sie mit der Bereitstellungsplanung beginnen. Bestimmen und dokumentieren Sie Projektbeteiligte, betroffene Rollen und die Verantwortungs- und Zuständigkeitsbereiche, die eine effektive Bereitstellung ermöglichen. Die Titel und Rollen unterscheiden sich je nach Organisation, aber die Verantwortungsbereiche sind ähnlich. In der folgenden Tabelle finden Sie übliche und einflussreiche Rollen, die sich auf einen Bereitstellungsplan auswirken.

Rolle	Verantwortlichkeit
Projektsponsor	Eine Führungskraft im Unternehmen mit der Befugnis, Budget und Ressourcen zu genehmigen oder zuzuweisen. Der Projektsponsor ist das Bindeglied zwischen Projektleitung und Geschäftsleitung.
Endbenutzer	Die Personen, für die der Dienst implementiert wird. Benutzer können an einem Pilotprogramm teilnehmen.
IT-Supportmanager	Stellt Informationen zur Umsetzbarkeit der vorgeschlagenen Änderungen bereit.
Identitätsarchitekt	Definiert, wie eine Änderung mit der Infrastruktur der Identitätsverwaltung in Einklang gebracht wird.
Geschäftsbesitzer einer Anwendung	Verantwortlich für die betroffenen Anwendungen, wozu auch die Zugriffsverwaltung gehören kann. Stellt Informationen zum Benutzererlebnis bereit.
Sicherheitsverantwortlicher	Bestätigt, dass die geplanten Änderungen die Sicherheitsanforderungen erfüllen.
Compliance Manager	Stellt die Einhaltung von Unternehmens-, Branchen- oder behördlichen Anforderungen sicher.

RACI

Das RACI-Modell (Responsible, Accountable, Consulted, Informed) ist ein Modell für die Beteiligung verschiedener Rollen, um Aufgaben oder Lieferungen für ein Projekt oder einen Geschäftsprozess zu erledigen. Verwenden Sie dieses Modell, um sicherzustellen, dass die Rollen in Ihrer Organisation ihre Zuständigkeiten bei einer Bereitstellung verstehen.

• Responsible (Zuständig): Die Personen, die für die korrekte Erledigung der Aufgabe verantwortlich sind.
  • Es gibt mindestens eine Person mit der Rolle „Zuständig“, obwohl Sie die Arbeit an andere Personen delegieren können.
• Accountable (Verantwortlich): Diese Person trägt letztendlich die Verantwortung dafür, dass die Lieferung oder Aufgabe korrekt und vollständig abgeschlossen wird. Eine Person mit der Rolle „Verantwortlich“ sorgt dafür, dass die Voraussetzungen erfüllt sind und delegiert Arbeit an Personen mit der Rolle „Zuständig“. Eine Person mit der Rolle „Verantwortlich“ bestätigt die Arbeit von Personen mit der Rolle „Zuständig“. Für jede Aufgabe oder Lieferung sollte einer Person die Rolle „Verantwortlich“ zugewiesen werden.
• Consulted (Konsultiert): Personen mit der Rolle „Consulted“ sind üblicherweise fachliche Ansprechpartner, die Ratschläge geben.
• Informed (Informiert): Diese Personen werden über den Fortschritt auf dem Laufenden gehalten, üblicherweise nach der Erledigung einer Aufgabe oder Lieferung.

Authentifizierungsbereitstellung

Verwenden Sie die folgende Liste, um die Bereitstellung der Authentifizierung zu planen.

• Multi-Faktor-Authentifizierung (MFA) von Microsoft Entra: Mit von Administratoren genehmigten Authentifizierungsmethoden trägt Multi-Faktor-Authentifizierung zum Schutz des Zugriffs auf Ihre Daten und Anwendungen bei, während gleichzeitig die Forderung nach einer einfachen Anmeldung erfüllt wird:

  • Siehe das Video Konfigurieren und Erzwingen der Multi-Faktor-Authentifizierung in Ihrem Mandanten
  • Siehe Planen einer Bereitstellung mit Multi-Faktor-Authentifizierung

• Bedingter Zugriff: Implementieren Sie basierend auf Bedingungen automatisierte Entscheidungen zur Zugriffssteuerung für den Zugriff auf Ihre Cloud-Apps:

  • Lesen Sie auch Was ist bedingter Zugriff?
  • Siehe Planen einer Bereitstellung für bedingten Zugriff

• Microsoft Entra-Self-Service-Kennwortzurücksetzung (SSPR): Unterstützen Sie Benutzer beim Zurücksetzen eines Kennworts ohne Administratoreingriff:

  • Siehe Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID

  • Planen der Bereitstellung der Self-Service-Kennwortzurücksetzung von Microsoft Entra

• Kennwortlose Authentifizierung: Implementieren Sie die kennwortlose Authentifizierung mit der Microsoft Authenticator-App oder FIDO2-Sicherheitsschlüsseln:

  • Siehe Aktivieren der kennwortlosen Anmeldung mit Microsoft Authenticator
  • Siehe Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID

Anwendungen und Geräte

Verwenden Sie die folgende Liste als Unterstützung bei der Bereitstellung von Anwendungen und Geräten.

• Einmaliges Anmelden (Single Sign-On, SSO): Ermöglichen Sie den Benutzerzugriff auf Apps und Ressourcen mit einer Anmeldung, ohne die Anmeldeinformationen erneut einzugeben:
  • Siehe Weitere Informationen finden Sie unter Was ist SSO in Microsoft Entra ID?
  • Siehe Planen einer SSO-Bereitstellung
• Portal „Meine Apps“: Hier finden Sie Anwendungen und können auf diese zugreifen. Steigern Sie die Benutzerproduktivität mit Self-Service-Funktionen wie dem Anfordern des Zugriffs auf Gruppen oder dem Verwalten des Zugriffs auf Ressourcen im Namen von anderen Personen.
  • Siehe Übersicht über das Portal „Meine Apps“
• Geräte – Bewerten Sie die Geräteintegrationsmethoden mit Microsoft Entra ID, wählen Sie den Implementierungsplan aus und vieles mehr.
  • Siehe Planen Ihrer Microsoft Entra-Gerätebereitstellung

Hybridszenario

In der folgenden Liste werden die Features und Dienste in Hybridszenarios beschrieben.

• Active Directory-Verbunddienste (AD FS): Migrieren Sie die Benutzerauthentifizierung mithilfe der Passthrough-Authentifizierung oder der Kennworthashsynchronisierung vom Verbund zur Cloud:
  • Siehe Was ist ein Verbund mit Microsoft Entra ID?
  • Siehe Migrieren vom Verbund zur Cloudauthentifizierung
• Microsoft Entra-Anwendungsproxy: Ermöglichen Sie es Mitarbeiter*innen, von einem Gerät aus produktiv zu sein. Erfahren Sie mehr über SaaS-Anwendungen (Software-as-a-Service) in der Cloud und lokale Unternehmens-Apps. Der Microsoft Entra-Anwendungsproxy ermöglicht den Zugriff ohne virtuelle private Netzwerke (VPNs) oder demilitarisierte Zonen (DMZs):
  • Siehe Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy
  • Siehe Planen Sie eine Microsoft Entra Anwendungsproxybereitstellung
• Nahtloses einmaliges Anmelden (Nahtloses SSO): Verwenden Sie das nahtlose einmalige Anmelden für die Benutzeranmeldung bei Unternehmensgeräten, die mit einem Unternehmensnetzwerk verbunden sind. Die Benutzer*innen benötigen zur Anmeldung bei Microsoft Entra ID keine Kennwörter und müssen normalerweise auch keine Benutzernamen eingeben. Autorisierte Benutzer greifen auf cloudbasierte Apps ohne zusätzliche lokale Komponenten zu:
  • Siehe Microsoft Entra SSO: Schnellstart
  • Siehe Microsoft Entra nahtloses einmaliges Anmelden

Benutzer

• Benutzeridentitäten: Erfahren Sie mehr über die Automatisierung der Erstellung, Verwaltung und Entfernung von Benutzeridentitäten in Cloud-Apps wie Dropbox, Salesforce, ServiceNow und anderen.
  • Siehe Planen einer automatischen Benutzerbereitstellung in Microsoft Entra ID
• Microsoft Entra ID Governance: Richten Sie Identitätsgovernance ein, und verbessern Sie Geschäftsprozesse, die auf Identitätsdaten angewiesen sind. Verwalten Sie mit HR-Produkten wie Workday oder Successfactors den Lebenszyklus der Identität von internen und externen Arbeitskräften anhand von Regeln. Durch diese Regeln werden JLM-Prozesse (Joiner-Mover-Leaver) wie Neueinstellungen, Kündigungen und Versetzungen IT-Aktivitäten wie „Erstellen“, „Aktivieren“ und „Deaktivieren“ zugeordnet. Im folgenden Abschnitt finden Sie weitere Details.
  • Siehe Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung
• Microsoft Entra B2B-Zusammenarbeit: Verbessern Sie die Zusammenarbeit mit externen Benutzern durch sicheren Zugriff auf Anwendungen:
  • Siehe Übersicht über die B2B-Zusammenarbeit
  • Siehe Planen einer Microsoft Entra B2B-Zusammenarbeitsbereitstellung

Identity Governance und Berichterstellung

Microsoft Entra ID Governance ermöglicht es Organisationen, die Produktivität zu steigern, die Sicherheit zu stärken und Complianceanforderungen und gesetzliche Vorschriften einfacher zu erfüllen. Verwenden Sie Microsoft Entra ID Governance, um sicherzustellen, dass die richtigen Personen über den richtigen Zugriff auf die richtigen Ressourcen verfügen. Verbessern Sie die Automatisierung von Identitäts- und Zugriffsprozessen, die Delegierung an Geschäftsgruppen, und erhöhen Sie die Transparenz. Verwenden Sie die folgende Liste, um mehr über Identity Governance und Berichterstellung zu erfahren.

Weitere Informationen:

• Sicherer Zugang in einer vernetzten Welt – Microsoft Entra

• Steuern des Zugriffs für Anwendungen in Ihrer Umgebung

• Privileged Identity Management (PIM): Verwalten Sie privilegierte Verwaltungsrollen für Microsoft Entra ID, Azure-Ressourcen und andere Microsoft-Onlinedienste. Nutzen Sie Just-in-Time-Zugriff (JIT), Genehmigungsworkflows und integrierte Zugriffsüberprüfungen, um schädliche Aktivitäten zu verhindern:

  • Siehe Einstieg in Privileged Identity Management
  • Siehe Planen einer Bereitstellung von Privileged Identity Management

• Berichterstellung und Überwachung: Die Gestaltung der Berichts- und Überwachungslösung von Microsoft Entra unterliegt rechtlichen, sicherheitsbezogenen, operativen, umgebungs- und prozessbedingten Abhängigkeiten und Beschränkungen.

  • Siehe Bereitstellungsabhängigkeiten für Microsoft Entra-Berichterstellung und -Überwachung

• Zugriffsüberprüfungen: Verstehen und Verwalten des Zugriffs auf Ressourcen:

  • Siehe Was sind Zugriffsüberprüfungen?
  • Siehe Planen der Bereitstellung von Microsoft Entra-Zugriffsüberprüfungen

Bewährte Methoden für einen Pilotversuch

Nutzen Sie Pilotprojekte für Tests mit einer kleinen Gruppe, bevor Sie eine Änderung für größere Gruppen oder alle Benutzer*innen vornehmen. Stellen Sie sicher, dass jeder Anwendungsfall in Ihrer Organisation getestet wird.

Pilotprojekt: Phase 1

In der ersten Phase sollten Sie sich auf die IT-Abteilung, die Benutzerfreundlichkeit und Benutzer konzentrieren, die das System testen und Feedback geben können. Nutzen Sie dieses Feedback, um Erkenntnisse über potenzielle Probleme für die Supportmitarbeiter zu gewinnen und um Mitteilungen und Anweisungen zu entwickeln, die Sie an alle Benutzer senden.

Pilotprojekt: Phase 2

Weiten Sie das Pilotprojekt auf größere Benutzergruppen aus, indem Sie dynamische Mitgliedschaften verwenden oder Benutzer den Zielgruppen manuell hinzufügen.

Weitere Informationen: Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID