Was ist Azure Active Directory?
Azure Active Directory (Azure AD) ist ein cloudbasierter Dienst zur Identitäts- und Zugriffsverwaltung. Mit Azure AD können Ihre Mitarbeiter auf externe Ressourcen wie Microsoft 365, das Azure-Portal und Tausende andere SaaS-Anwendungen zugreifen. Azure Active Directory unterstützt sie auch beim Zugreifen auf interne Ressourcen wie Apps im Unternehmensintranet sowie selbst entwickelte Cloud-Apps Ihrer Organisation. Informationen zum Erstellen eines Mandanten finden Sie unter Schnellstart: Erstellen eines neuen Mandanten in Azure Active Directory.
Informationen zu den Unterschieden zwischen Active Directory und Azure Active Directory finden Sie unter Vergleich zwischen Active Directory und Azure Active Directory. Anhand der Poster aus der Reihe Microsoft Cloud für Enterprise-Architekten können Sie sich auch mit den zentralen Identitätsdiensten in Azure wie Azure AD und Microsoft 365 vertraut machen.
Azure AD-Zielgruppe
Azure AD bietet Mitgliedern Ihrer Organisation basierend auf ihrer Rolle verschiedene Vorteile:
IT-Administratoren können mit Azure AD den Zugriff auf Apps und App-Ressourcen basierend auf den Unternehmensanforderungen steuern. So können Sie als IT-Administrator mit Azure AD beispielsweise beim Zugriff auf wichtige Organisationsressourcen Multi-Faktor-Authentifizierung erzwingen. Darüber hinaus können Sie mit Azure AD die Benutzerbereitstellung zwischen Ihrer vorhandenen Windows Server AD-Instanz und Ihren Cloud-Apps (einschließlich Microsoft 365) automatisieren. Azure AD bietet außerdem leistungsfähige Tools zum automatischen Schutz von Benutzeridentitäten und Anmeldeinformationen, um Ihre Anforderungen in puncto Zugriffssteuerung zu erfüllen. Registrieren Sie sich für eine kostenlose 30-tägige Azure Active Directory Premium-Testversion, um die Lösung kennenzulernen.
App-Entwickler können Azure AD als standardbasierten Authentifizierungsanbieter verwenden, mit dem sie Apps einmaliges Anmelden (Single Sign-On, SSO) hinzufügen können, für das die vorhandenen Anmeldeinformationen eines Benutzers genutzt werden können. Entwickler können auch Azure AD-APIs verwenden, um personalisierte Umgebungen mithilfe von Organisationsdaten zu erstellen. Registrieren Sie sich für eine kostenlose 30-tägige Azure Active Directory Premium-Testversion, um die Lösung kennenzulernen. Weitere Informationen finden Sie auch unter Azure Active Directory für Entwickler.
Microsoft 365-, Office 365-, Azure- oder Dynamics CRM Online-Abonnenten verwenden bereits Azure AD, da jeder Microsoft 365-, Office 365-, Azure- und Dynamics CRM Online-Mandant automatisch ein Azure AD-Mandant ist. Sie können sofort mit der Verwaltung des Zugriffs auf Ihre integrierten Cloud-Apps beginnen.
Was sind Azure AD-Lizenzen?
Microsoft Online-Unternehmensdienste wie Microsoft 365 oder Microsoft Azure erfordern Azure AD für Anmeldeaktivitäten und zum Schutz von Identitäten. Wenn Sie einen Microsoft Online-Unternehmensdienst abonnieren, erhalten Sie automatisch Zugriff auf Azure AD Free.
Zur Erweiterung Ihrer Azure AD-Implementierung können Sie auch kostenpflichtige Funktionen hinzufügen, indem Sie auf Azure Active Directory-Lizenzen vom Typ „Premium P1“ oder „Premium P2“ upgraden. Die kostenpflichtigen Azure AD-Lizenzen ergänzen Ihr kostenloses Verzeichnis. Die Lizenzen bieten Self-Service, erweiterte Überwachung, Sicherheitsberichte und sicheren Zugriff für Ihre mobilen Benutzer*innen.
Hinweis
Informationen zu den Preisoptionen für diese Lizenzen finden Sie unter Azure Active Directory – Preise.
Weitere Informationen zu den Preisen von Azure AD erhalten Sie im Azure Active Directory-Forum.
Azure Active Directory Free: Bietet Benutzer- und Gruppenverwaltung, lokale Verzeichnissynchronisierung, einfache Berichte, Self-Service-Kennwortänderung für Cloudbenutzer sowie einmaliges Anmelden für Azure, Microsoft 365 und zahlreiche beliebte SaaS-Apps.
Azure Active Directory Premium P1: P1 bietet zusätzlich zu den Features des Free-Tarifs Hybridbenutzerzugriff auf lokale und cloudbasierte Ressourcen. P1 unterstützt außerdem eine erweiterte Verwaltung – etwa durch dynamische Gruppen, Self-Service-Gruppenverwaltung, Microsoft Identity Manager und Cloudfunktionen zum Rückschreiben, die die Self-Service-Kennwortzurücksetzung für Ihre lokalen Benutzer*innen ermöglichen.
Azure Active Directory Premium P2: P2 bietet zusätzlich zu den Features des Free- und des P1-Tarifs auch Azure Active Directory Identity Protection, um risikobasierten bedingten Zugriff auf Ihre Apps und kritischen Unternehmensdaten zu ermöglichen, sowie Privileged Identity Management, um Administratoren und deren Zugriff auf Ressourcen zu ermitteln, einzuschränken und zu überwachen und bei Bedarf Just-In-Time-Zugriff bereitzustellen.
Featurelizenzen mit nutzungsbasierter Bezahlung: Es sind auch Lizenzen für Features verfügbar (beispielsweise Azure Active Directory B2C). B2C kann Ihnen dabei helfen, Identitäts- und Zugriffsverwaltungslösungen für Ihre kundenorientierten Apps bereitzustellen. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C.
Weitere Informationen zum Zuordnen eines Azure-Abonnements zu Azure AD finden Sie unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Azure Active Directory. Weitere Informationen zum Zuweisen von Lizenzen zu Ihren Benutzer*innen finden Sie unter Vorgehensweise: Zuweisen oder Entfernen von Azure Active Directory-Lizenzen.
Welche Features können in Azure AD verwendet werden?
Nachdem Sie Ihre Azure AD-Lizenz gewählt haben, erhalten Sie Zugriff auf einige oder alle der folgenden Features:
| Category | BESCHREIBUNG |
|---|---|
| Anwendungsverwaltung | Verwalten Sie Ihre Cloud- und lokalen Apps mithilfe von Anwendungsproxy, einmaligem Anmelden, dem „Meine Apps“-Portal und SaaS-Apps (Software-as-a-Service). Weitere Informationen finden Sie unter Bereitstellen von sicherem Remotezugriff auf lokale Anwendungen sowie in der Dokumentation zur Anwendungsverwaltung. |
| Authentifizierung | Verwalten Sie die Self-Service-Kennwortzurücksetzung von Azure Active Directory, die Multi-Factor Authentication, eine benutzerdefinierte Liste gesperrter Kennwörter und Smart Lockout. Weitere Informationen finden Sie in der Dokumentation zur Azure AD-Authentifizierung. |
| Azure Active Directory für Entwickler | Erstellen Sie Apps, die alle Microsoft-Identitäten anmelden, und rufen Sie Token zum Aufrufen von Microsoft Graph, anderen Microsoft-APIs oder benutzerdefinierten APIs ab. Weitere Informationen finden Sie unter Microsoft Identity Platform (Azure Active Directory für Entwickler). |
| Business-to-Business (B2B) | Verwalten Sie Ihre Gastbenutzer und externen Partner, ohne die Kontrolle über Ihre eigenen Unternehmensdaten aufzugeben. Weitere Informationen finden Sie in der Dokumentation zu Azure Active Directory B2B. |
| Business-to-Consumer (B2C) | Steuern Sie die Registrierung, Anmeldung und Profilverwaltung der Benutzer, die Ihre App verwenden. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C. |
| Bedingter Zugriff | Verwalten Sie den Zugriff auf Ihre Cloud-Apps. Weitere Informationen finden Sie in der Dokumentation zum bedingten Zugriff mit Azure AD. |
| Geräteverwaltung | Verwalten Sie den Zugriff auf Ihre Unternehmensdaten durch cloudbasierte oder lokale Geräte. Weitere Informationen finden Sie in der Dokumentation zur Azure AD-Geräteverwaltung. |
| Domänendienste | Binden Sie virtuelle Azure-Computer ganz ohne Domänencontroller in eine Domäne ein. Weitere Informationen finden Sie in der Dokumentation zu Azure AD Domain Services. |
| Unternehmensbenutzer | Verwalten Sie die Lizenzzuweisung sowie den Zugriff auf Apps, und richten Sie mithilfe von Gruppen und Administratorrollen Delegaten ein. Weitere Informationen finden Sie in der Dokumentation zur Azure Active Directory-Benutzerverwaltung. |
| Hybrididentität | Verwenden Sie Azure Active Directory Connect und Connect Health, um eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung gegenüber allen Ressourcen bereitzustellen – ganz gleich, ob es sich dabei um Cloudressourcen oder um lokale Ressourcen handelt. Weitere Informationen finden Sie in der Dokumentation zur Hybrid-Identität. |
| Identitätsgovernance | Verwalten Sie die Identität Ihrer Organisation über Zugriffssteuerungen für Mitarbeiter, Geschäftspartner, Anbieter, Dienste und Apps. Sie können auch Zugriffsüberprüfungen durchführen. Weitere Informationen finden Sie unter Was ist Azure AD Identity Governance? sowie unter Azure AD-Zugriffsüberprüfungen. |
| Schutz der Identität (Identity Protection) | Erkennen Sie potenzielle Sicherheitsrisiken für die Identitäten Ihrer Organisation, konfigurieren Sie Richtlinien, um auf verdächtige Aktivitäten zu reagieren, und ergreifen Sie geeignete Gegenmaßnahmen. Weitere Informationen finden Sie unter Azure AD Identity Protection. |
| Verwaltete Identitäten für Azure-Ressourcen | Stellen Sie für Ihre Azure-Dienste eine automatisch verwaltete Identität in Azure AD bereit, die jeden von Azure AD unterstützten Authentifizierungsdienst authentifizieren kann (einschließlich Key Vault). Weitere Informationen finden Sie im unter Was sind verwaltete Identitäten für Azure-Ressourcen?. |
| Privileged Identity Management (PIM) | Verwalten, steuern und überwachen Sie den Zugriff innerhalb Ihrer Organisation. Dieses Feature umfasst den Zugriff auf Ressourcen in Azure AD und Azure sowie auf andere Microsoft Online Services wie Microsoft 365 oder Intune. Weitere Informationen finden Sie unter Was ist Azure AD Privileged Identity Management?. |
| Berichte und Überwachung | Gewinnen Sie Erkenntnisse zur Sicherheit und zu Verwendungsmustern in Ihrer Umgebung. Weitere Informationen finden Sie unter Azure Active Directory-Berichte und -Überwachung. |
| Workloadidentitäten | Geben Sie Ihrem Softwareworkload (z. B. einer Anwendung, einem Dienst, Skript oder Container) eine Identität für die Authentifizierung und den Zugriff auf andere Dienste und Ressourcen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Workload-Identitäten. |
Begriff
Zum besseren Verständnis von Azure AD und der dazugehörigen Dokumentation sollten Sie sich mit den folgenden Begriffen vertraut machen:
| Begriff oder Konzept | BESCHREIBUNG |
|---|---|
| Identity | Etwas, das authentifiziert werden kann. Eine Identität kann ein Benutzer mit Benutzername und Kennwort sein. Zu Identitäten gehören auch Anwendungen oder andere Server, die eine Authentifizierung durch geheime Schlüssel oder Zertifikate erfordern können. |
| Konto | Eine Identität, der Daten zugeordnet sind. Sie können kein Konto ohne eine Identität nutzen. |
| Azure AD-Konto | Eine über Azure AD oder einen anderen Microsoft-Clouddienst (beispielsweise Microsoft 365) erstellte Identität. Identitäten werden in Azure AD gespeichert und sind für die Clouddienstabonnements Ihrer Organisation zugänglich. Dieses Konto wird manchmal auch als Geschäfts-, Schul- oder Unikonto bezeichnet. |
| Kontoadministrator | Diese klassische Abonnementadministratorrolle ist konzeptionell der Abrechnungsbesitzer eines Abonnements. Mit dieser Rolle können Sie alle Abonnements in einem Konto verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Azure AD-Rollen und Administratorrollen für klassische Abonnements. |
| Dienstadministrator | Diese klassische Abonnementadministratorrolle ermöglicht die Verwaltung sämtlicher Azure-Ressourcen (einschließlich Zugriff). Sie hat den gleichen Zugriff wie ein Benutzer, dem für den Abonnementbereich die Rolle „Besitzer“ zugewiesen ist. Weitere Informationen finden Sie unter Azure-Rollen, Azure AD-Rollen und Administratorrollen für klassische Abonnements. |
| Besitzer | Diese Rolle hilft Ihnen bei der Verwaltung aller Azure-Ressourcen (einschließlich Zugriff). Sie basiert auf einem neueren Autorisierungssystem namens „rollenbasierte Zugriffssteuerung in Azure“ (Azure Role-Based Access Control, Azure RBAC), das eine präzise Zugriffsverwaltung für Azure-Ressourcen ermöglicht. Weitere Informationen finden Sie unter Azure-Rollen, Azure AD-Rollen und Administratorrollen für klassische Abonnements. |
| Globaler Azure AD-Administrator | Diese Administratorrolle wird automatisch dem Ersteller des Azure AD-Mandanten zugewiesen. Es können mehrere globale Administratoren vorhanden sein, aber nur globale Administratoren können Benutzern Administratorrollen zuweisen (einschließlich der globalen Administratorrolle). Weitere Informationen zu den unterschiedlichen Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory. |
| Azure-Abonnement | Dient zur Bezahlung für Azure-Clouddienste. Sie können über mehrere Abonnements verfügen, und die Abonnements sind mit einer Kreditkarte verknüpft. |
| Azure-Mandant | Eine dedizierte und vertrauenswürdige Instanz von Azure AD. Der Mandant wird automatisch erstellt, wenn sich Ihre Organisation für das Abonnement eines Microsoft-Clouddiensts registriert. Diese Abonnements umfassen Microsoft Azure, Microsoft Intune oder Microsoft 365. Ein Azure-Mandant stellt eine einzelne Organisation dar. |
| Einzelner Mandant | Azure-Mandanten, die auf andere Dienste in einer dedizierten Umgebung zugreifen, werden als einzelne Mandanten betrachtet. |
| Mehrinstanzenfähig | Azure-Mandanten, die auf andere Dienste in einer gemeinsam genutzten Umgebung mit mehreren Organisationen zugreifen, werden als mehrinstanzenfähig betrachtet. |
| Azure AD-Verzeichnis | Jeder Azure-Mandant verfügt über ein dediziertes und vertrauenswürdiges Azure AD-Verzeichnis. Das Azure AD-Verzeichnis umfasst die Benutzer, Gruppen und Apps des Mandanten und dient zum Ausführen von Identitäts- und Zugriffsverwaltungsfunktionen für Mandantenressourcen. |
| Benutzerdefinierte Domäne | Jede neue Azure Active Directory-Instanz enthält einen anfänglichen Domänennamen, z. B. domainname.onmicrosoft.com. Zusätzlich zu diesem anfänglichen Namen können Sie auch die Domänennamen Ihrer Organisation hinzufügen. Zu den Domänennamen Ihrer Organisation gehören die Namen, die Sie für Ihre Geschäfte verwenden und die Ihre Benutzer*innen für den Zugriff auf die Ressourcen Ihrer Organisation verwenden. Durch Hinzufügen benutzerdefinierter Domänennamen können Sie Benutzernamen erstellen, mit denen Ihre Benutzer vertraut sind (beispielsweise alain@contoso.com). |
| Microsoft-Konto (auch MSA genannt) | Persönliche Konten, mit denen Sie auf Ihre kundenorientierten Microsoft-Produkte und Clouddienste zugreifen können. Zu diesen Produkten und Diensten gehören Outlook, OneDrive, Xbox Live oder Microsoft 365. Ihr Microsoft-Konto wird im von Microsoft betriebenen Microsoft-Kontosystem für Endbenutzeridentitäten erstellt und gespeichert. |