Freigeben über


Hinzufügen und Verwalten von Administratorkonten

Gilt für:Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

In Microsoft Entra External ID ist ein externer Mandant Ihr Consumer- und Gastkontenverzeichnis. Mit einer Administratorrolle können Arbeits- und Gastkonten den Mandanten verwalten.

Voraussetzungen

  • Falls Sie noch nicht Ihren eigenen externen Microsoft Entra-Mandanten erstellt haben, erstellen Sie ihn jetzt.
  • Grundlegendes zu Benutzerkonten in der externen Microsoft Entra External ID.
  • Grundlegendes zum Steuern des Ressourcenzugriffs mithilfe von Benutzerrollen

Hinzufügen eines Administratorkontos

Führen Sie diese Schritte aus, um ein neues Administratorkonto zu erstellen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  4. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus.

  5. Wählen Sie auf der Seite Neuer Benutzer unter Vorlage auswählen die Option Benutzer erstellen aus.

  6. Geben Sie unter Identität Informationen zu diesem Administrator bzw. dieser Administratorin ein:

    • Benutzername. Erforderlich. Der Benutzername des neuen Benutzers. Beispiel: mary@contoso.com.
    • Name: Erforderlich. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
    • Vorname. Der Vorname des neuen Benutzers. Beispiel: Mary.
    • Nachname. Der Nachname des neuen Benutzers. Beispiel: Parker.
    • Gruppen. Optional: Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
    • Rollen: Um Administratorberechtigungen für den Benutzer hinzuzufügen, fügen Sie diese zu einer Microsoft Entra-Rolle hinzu. Sie können dem Benutzer mindestens eine der Administratorrollen in Microsoft Entra ID zuweisen.
    • Einstellungen: Verwenden Sie die Umschaltfläche „Ja“ oder „Nein“, um Anmeldung blockieren festzulegen, und wählen Sie aus der Liste Verwendungsstandort den primären Standort des Administrators aus.
    • Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
  7. Kopieren Sie das automatisch generierte Kennwort aus dem Feld Kennwort. Sie müssen dieses Kennwort dem Administrator nennen, damit dieser sich zum ersten mal anmelden kann.

  8. Klicken Sie auf Erstellen.

Der Administrator wird erstellt und Ihrem externen Mandanten hinzugefügt.

Einladen eines Administrators (Gastkonto)

Sie können auch einen neuen Gastbenutzer einladen, um Ihren Mandanten zu verwalten. Führen Sie die folgenden Schritte aus, um einen Administrator einzuladen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  4. Wählen Sie Neuer Benutzer>Externen Benutzer einladen aus.

  5. Wählen Sie auf der Seite Neuer Benutzer unter Vorlage auswählen die Option Benutzer einladen aus.

  6. Geben Sie unter Identität Informationen zum Administrator bzw. zur Administratorin ein:

    • Name: Erforderlich. Der Vor- und Nachname des neuen Benutzers. Beispielsweise Mary Parker.
    • E-Mail-Adresse. Erforderlich. Die E-Mail-Adresse des Benutzers, den Sie einladen möchten.
    • Vorname. Der Vorname des neuen Benutzers. Beispiel: Mary.
    • Nachname. Der Nachname des neuen Benutzers. Beispiel: Parker.
    • Persönliche Nachricht: Sie fügen eine persönliche Nachricht hinzu, die in der Einladungs-E-Mail enthalten ist.
    • Gruppen. Optional: Sie können den Benutzer einer oder mehreren vorhandenen Gruppen hinzufügen. Sie können den Benutzer auch später zu Gruppen hinzufügen.
    • Rollen: Um Administratorberechtigungen für den Benutzer hinzuzufügen, fügen Sie diese zu einer Microsoft Entra-Rolle hinzu. Sie können dem Benutzer mindestens eine der Administratorrollen in Microsoft Entra ID zuweisen.
    • Einstellungen: Verwenden Sie die Umschaltfläche „Ja“ oder „Nein“, um Anmeldung blockieren festzulegen, und wählen Sie aus der Liste Verwendungsstandort den primären Standort des Administrators aus.
    • Angaben zum Beruf: Hier können Sie weitere Informationen zum Benutzer hinzufügen oder dies später erledigen.
  7. Wählen Sie Einladen aus.

Eine Einladungs-E-Mail wird an den Benutzer gesendet. Der Benutzer muss die Einladung annehmen, um sich anmelden zu können.

Hinzufügen einer Rollenzuweisung

Sie können eine Rolle zuweisen, wenn Sie einen Benutzer erstellen oder einen Gastbenutzer einladen. Sie können eine Rolle hinzufügen, die Rolle ändern oder eine Rolle für einen Benutzer entfernen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  4. Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
  5. Wählen Sie Zuweisungen hinzufügen und die Rolle aus, die zugewiesen werden soll (z. B. Anwendungsadministrator), und wählen Sie dann Hinzufügen aus.

Entfernen einer Rollenzuweisung

Wenn Sie eine Rollenzuweisung von einem Benutzer entfernen müssen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  4. Wählen Sie den Benutzer, dessen Rolle Sie ändern möchten. Wählen Sie Zugewiesene Rollen aus.
  5. Wählen Sie die Rolle aus, die Sie entfernen möchten, z. B. Anwendungsadministrator, und wählen Sie dann Zuweisung entfernen aus.

Überprüfen von Rollenzuweisungen für Administratorkonten

Im Rahmen eines Überwachungsprozesses überprüfen Sie in der Regel, welche Benutzer bestimmten Rollen in Ihrem Kundenverzeichnis zugewiesen sind. Verwenden Sie die folgenden Schritte, um zu überwachen, welchen Benutzern derzeit privilegierte Rollen zugewiesen sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Rollen & Administratoren>Rollen & Administratoren.
  4. Wählen Sie eine Rolle aus, z. B. Benutzeradministrator. Die auf der Seite Zuweisungen werden die Benutzer mit dieser Rolle aufgeführt.

Löschen eines Administratorkontos

Um einen vorhandenen Benutzer zu löschen, müssen Sie mindestens über die zugewiesene Rolle Benutzeradministrator verfügen. Privilegierte Authentifizierungsadministratoren können beliebige Benutzer löschen, einschließlich andere Administratoren. Benutzeradministratoren können alle Benutzer löschen, die keine Administratoren sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Privilegierter Authentifizierungsadministrator an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  4. Wählen Sie den Benutzer aus, den Sie löschen möchten.
  5. Wählen Sie Löschen und dann Ja, um den Löschvorgang zu bestätigen.

Der Benutzer wird gelöscht und nicht mehr auf der Seite Alle Benutzer angezeigt. Sie können den Benutzer für die nächsten 30 Tage auf der Seite Gelöschte Benutzer anzeigen und während dieses Zeitraums wiederherstellen. Weitere Informationen zum Wiederherstellen eines Benutzers finden Sie unter Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers mithilfe von Microsoft Entra ID.

Verwaltungskonten schützen

Es wird empfohlen, alle Administratorkonten mit mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA) zu schützen, um mehr Sicherheit zu gewährleisten. MFA (Multi-Faktor-Authentifizierung) ist ein Identitätsüberprüfungsprozess während der Anmeldung, der den Benutzer zur Eingabe eines Einmal-Passcodes auffordert.

Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.