Freigeben über

Hinzufügen und Verwalten von Administratorkonten

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Administratorkonten sind Benutzer in Ihrem externen Microsoft Entra-Mandanten, denen Administratorrollen zugewiesen wurden. Sie können Ihrem Mandanten ein Administratorkonto hinzufügen, indem Sie einen Benutzer über das Microsoft Entra Admin Center oder Microsoft Graph erstellen oder einladen und ihm eine Administratorrolle zuweisen. Wenn Sie keine Administratorrolle zuweisen, verfügt der Benutzer über Standardbenutzerberechtigungen.

Dieser Artikel konzentriert sich auf die Verwaltung von Administratorkonten mithilfe des Microsoft Entra Admin Centers. Sie müssen mindestens über Benutzeradministratorberechtigungen verfügen, um Benutzer hinzuzufügen oder zu löschen.

Weitere Informationen zu Endbenutzern und Geschäftskunden finden Sie auch unter Verwalten von Benutzerkonten für Endbenutzer Ihrer App. Diese Benutzer verfügen in der Regel nicht über Administratorrollen, sodass sie standardbenutzerberechtigungen beibehalten.

Voraussetzungen

  • Falls Sie Ihren eigenen externen Microsoft Entra-Mandanten noch nicht erstellt haben, erstellen Sie ihn jetzt.
  • Grundlegendes zu Benutzerkonten in der externen Microsoft Entra External ID.
  • Grundlegendes zum Steuern des Ressourcenzugriffs mithilfe von Benutzerrollen

Hinzufügen eines Administratorkontos

Führen Sie die folgenden Schritte aus, um ein neues Benutzerkonto zu erstellen und dem Konto Administratorberechtigungen zu erteilen, indem Sie eine Microsoft Entra-Rolle hinzufügen. (Hier werden nur erforderliche Schritte beschrieben. Eine vollständige Beschreibung aller Eigenschaften finden Sie im Microsoft Entra ID-Artikel Erstellen von Benutzern.)

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Navigieren Sie zu Entra ID>Benutzer.

  4. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus.

  5. Geben Sie auf der Registerkarte Grundlagen unter Identitäts-Informationen für diesen Administrator ein:

    • Benutzerprinzipalname: Geben Sie einen eindeutigen Benutzernamen ein, und wählen Sie im Menü nach dem @-Symbol eine Domäne aus.
    • Anzeigename: Geben Sie den Benutzernamen ein, z. B. Chris Green oder Chris A. Green.
    • Kennwort: Kopieren Sie das automatisch generierte Kennwort, oder deaktivieren Sie die Option Kennwort automatisch generieren, und geben Sie ein anderes Kennwort ein. Sie müssen dem Administrator dieses Kennwort erteilen, um sich zum ersten Mal anzumelden.

  6. Wählen Sie die Registerkarte Aufgaben aus, und führen Sie die folgenden Schritte aus, um dem Benutzer eine Rolle zuzuweisen. (Das Hinzufügen einer Gruppe ist optional).

    • Wählen Sie + Rolle hinzufügen aus.
    • Wählen Sie im daraufhin angezeigten Menü bis zu 20 Rollen aus der Liste aus. Sie können dem Benutzer mindestens eine der Administratorrollen in Microsoft Entra ID zuweisen.
    • Wählen Sie die Schaltfläche Auswählen aus.

  7. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

Die administrierende Person wird erstellt und Ihrem externen Mandanten hinzugefügt.

Einladen eines Administrators (Gastkonto)

Sie können auch einen neuen Gastbenutzer einladen, um Ihren Mandanten zu verwalten. Führen Sie die folgenden Schritte aus, um einen neuen Gastbenutzer mit Administratorberechtigungen einzuladen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Navigieren Sie zu Entra ID>Benutzer.

  4. Wählen Sie Neuer Benutzer>Externen Benutzer einladen (Vorschau) aus.

  5. Geben Sie auf der Registerkarte Grundlagen Informationen für den Benutzer ein:

    • E-Mail. Erforderlich. Die E-Mail-Adresse des Benutzers, den Sie einladen möchten.
    • Anzeigename. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
    • Unter Einladungsnachricht:
      • Aktivieren Sie das Kontrollkästchen Einladungsnachricht senden, wenn Sie die Einladungs-E-Mail an den Benutzer senden möchten. Deaktivieren Sie andernfalls das Kontrollkästchen.
      • Fügen Sie in Nachrichteine persönliche Nachricht hinzu, die in die Einladungs-E-Mail aufgenommen werden soll.
      • Um eine Kopie der Einladungs-E-Mail an eine andere Person zu senden, fügen Sie ihre E-Mail-Adresse im Textfeld Cc-Empfänger hinzu.
      • Die Standardeinstellung für Umleitungs-URL für Einladung lautet MyApplications. Dorthin wird der Benutzende beim Einlösen der Einladung umgeleitet. Sie können sie in eine andere URL ändern.

  6. Wählen Sie die Registerkarte Aufgaben aus, und führen Sie die folgenden Schritte aus, um dem Benutzer eine Rolle zuzuweisen. (Das Hinzufügen einer Gruppe ist optional).

    • Wählen Sie + Rolle hinzufügen aus.
    • Wählen Sie im daraufhin angezeigten Menü bis zu 20 Rollen aus der Liste aus. Sie können dem Benutzer mindestens eine der Administratorrollen in Microsoft Entra ID zuweisen.
    • Wählen Sie die Schaltfläche Auswählen aus.

  7. Wählen Sie die Schaltfläche Überprüfen + einladen aus.

Eine Einladungs-E-Mail wird an den Benutzer gesendet. Der Benutzer muss die Einladung annehmen, um sich anmelden zu können.

Ändern oder Hinzufügen einer Rollenzuweisung

Sie können eine Rolle zuweisen, wenn Sie einen Benutzer erstellen oder einen Gastbenutzer einladen. Sie können eine Rolle hinzufügen, die Rolle ändern oder eine Rolle für einen Benutzer entfernen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Navigieren Sie zu Entra ID>Benutzer.
  4. Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
  5. Wählen Sie Zuweisungen hinzufügen und die Rolle aus, die zugewiesen werden soll (z. B. Anwendungsadministrator), und wählen Sie dann Hinzufügen aus.

Entfernen einer Rollenzuweisung

Wenn Sie eine Rollenzuweisung von einem Benutzer entfernen müssen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Navigieren Sie zu Entra ID>Benutzer.
  4. Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
  5. Wählen Sie die Rolle aus, die Sie entfernen möchten, z. B. Anwendungsadministrator, und wählen Sie dann Zuweisung entfernen aus.

Überprüfen von Rollenzuweisungen für Administratorkonten

Im Rahmen eines Überwachungsprozesses überprüfen Sie in der Regel, welche Benutzer bestimmten Rollen in Ihrem Kundenverzeichnis zugewiesen sind. Verwenden Sie die folgenden Schritte, um zu überwachen, welchen Benutzern derzeit privilegierte Rollen zugewiesen sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Navigieren Sie zu Entra IDRollen & Administratoren.
  4. Wählen Sie eine Rolle aus, z. B. Benutzeradministrator. Die auf der Seite Zuweisungen werden die Benutzer mit dieser Rolle aufgeführt.

Löschen eines Administratorkontos

Um einen vorhandenen Benutzer zu löschen, müssen Sie mindestens über die zugewiesene Rolle Benutzeradministrator verfügen. Privilegierte Authentifizierungsadministratoren können beliebige Benutzer löschen, einschließlich andere Administratoren. Benutzeradministratoren können alle Benutzenden löschen, die keine Administratoren sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Privilegierter Authentifizierungsadministrator an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Navigieren Sie zu Entra ID>Benutzer.
  4. Wählen Sie den Benutzer aus, den Sie löschen möchten.
  5. Wählen Sie Löschen und dann Ja, um den Löschvorgang zu bestätigen.

Der Benutzer wird gelöscht und nicht mehr auf der Seite Alle Benutzer angezeigt. Sie können den Benutzer für die nächsten 30 Tage auf der Seite Gelöschte Benutzer anzeigen und während dieses Zeitraums wiederherstellen. Weitere Informationen zum Wiederherstellen eines Benutzers finden Sie unter Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers mithilfe von Microsoft Entra ID.

Verwaltungskonten schützen

Es wird empfohlen, alle Administratorkonten mit mehrstufiger Authentifizierung (MFA) für mehr Sicherheit zu schützen. MFA (Multi-Faktor-Authentifizierung) ist ein Identitätsüberprüfungsprozess während der Anmeldung, der den Benutzer zur Eingabe eines Einmal-Passcodes auffordert.

Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfallszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administrierenden versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.