Übung – Einrichten von Microsoft Entra ID
Diese Übung führt Sie durch den Prozess der Erstellung und Verwaltung von Microsoft Entra ID-bezogenen Entitäten, einschließlich Microsoft Entra-Mandanten, -Benutzern und -Gruppen. Sie beginnen mit der Erstellung eines Benutzerkontos und zweier Gruppen im Microsoft Entra-Mandanten, der Ihrem Abonnement zugeordnet ist, und fügen den Benutzer zur ersten Gruppe hinzu. Anschließend erstellen Sie einen weiteren Microsoft Entra-Mandanten und ein Benutzerkonto in diesem Mandanten. Zum Abschluss dieser Übung fügen Sie das Benutzerkonto aus dem zweiten Mandanten als Gastkonto im ersten Mandanten hinzu. In den nachfolgenden Übungen dieses Moduls werden Sie die Integration zwischen einer Azure Database for PostgreSQL-Einzelserverinstanz und dem ersten Microsoft Entra-Mandanten implementieren und den beiden zuvor erstellten Gruppen Zugriff auf den Inhalt gewähren.
In dieser Übung führen Sie die folgenden Schritte aus:
- Erstellen Sie Microsoft Entra-Benutzer- und Gruppenobjekte im Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist.
- Erstellen Sie einen zusätzlichen Microsoft Entra-Mandanten und ein Benutzerobjekt.
- Erstellen und Konfigurieren Sie einen Microsoft Entra-Gastbenutzer im Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist.
Voraussetzungen
Um diese Übung auszuführen, benötigen Sie Folgendes:
Ein Azure-Abonnement.
Ein Microsoft-Konto oder ein Microsoft Entra-Konto mit der Rolle „Globaler Administrator“ im Microsoft Entra-Mandanten, der dem Azure-Abonnement zugeordnet ist, und mit der Rolle „Besitzer“ oder „Mitwirkender“ im Azure-Abonnement.
Hinweis
Die Übungen in diesem Modul führen vertrauliche Vorgänge durch und erfordern sehr hohe Berechtigungen. Daher sollten sie in einer isolierten Laborumgebung ausgeführt werden. Wenn Sie keinen Zugriff auf eine solche Umgebung haben, sollten Sie zu diesem Zweck ein Azure-Testabonnement verwenden.
Erstellen von Microsoft Entra-Benutzer- und Gruppenobjekten im Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist
Sie beginnen mit dem Erstellen von Microsoft Entra-Benutzer- und Gruppenobjekten. Nachdem die Objekte erstellt wurden, konfigurieren Sie ihre jeweiligen Gruppenmitgliedschaften. Um die Konfigurationsaufgaben zu beschleunigen, verwenden Sie die Azure CLI. In der nächsten Übung dieses Moduls werden Sie sich auf die Microsoft Entra-Objekte verlassen, um sich bei der Azure Database for PostgreSQL-Einzelserverinstanz zu authentifizieren.
Starten Sie einen Webbrowser, navigieren Sie zum Azure-Portal, und melden Sie sich an, um auf das Azure-Abonnement zuzugreifen, das Sie in diesem Modul verwenden.
Öffnen Sie Cloud Shell im Azure-Portal, indem Sie auf der Symbolleiste das entsprechende Symbol neben dem Textfeld für die Suche auswählen.
Wählen Sie bei Bedarf Bash aus.
Hinweis
Wenn Sie Azure Cloud Shell zum ersten Mal starten und die Meldung Für Sie wurde kein Speicher bereitgestellt angezeigt wird, wählen Sie das Abonnement aus, das Sie in dieser Übung verwenden, und wählen Sie dann Speicher erstellen aus.
Führen Sie in der Bash-Sitzung im Bereich Azure Cloud Shell den folgenden Befehl aus, um den DNS-Standarddomänennamen des Microsoft Entra-Mandanten zu identifizieren, der dem Azure-Abonnement zugeordnet ist:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Führen Sie den folgenden Befehl aus, um einen Microsoft Entra-Benutzer im Microsoft Entra-Mandanten zu erstellen, der dem Azure-Abonnement zugeordnet ist:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password Pa55w.rd1234 \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Hinweis
In der nächsten Übung werden Sie dieses Benutzerkonto als Microsoft Entra-Administrator der Azure Database for PostgreSQL-Einzelserverinstanz konfigurieren.
Führen Sie den folgenden Befehl aus, um den Wert des userPrincipalName-Attributs des Microsoft Entra-Benutzers zu identifizieren, den Sie im vorherigen Schritt erstellt haben:
echo $ADMIN | jq -r '.userPrincipalName'Hinweis
Zeichnen Sie diesen Wert auf. Sie werden ihn in der nächsten Übung dieses Moduls benötigen.
Führen Sie die folgenden Befehle aus, um dem neu erstellten Benutzer die Rolle „Mitwirkender“ im Azure-Abonnement zuzuweisen, das Sie für die Übungen in diesem Modul verwenden:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Hinweis
Der zweite Befehl gibt die ID Ihres Standardabonnements zurück. Wenn Sie ein anderes Abonnement verwenden möchten, müssen Sie den Wert der Variablen $SUBSCRIPTION_ID entsprechend festlegen.
Führen Sie den folgenden Befehl aus, um einen Microsoft Entra-Benutzer im Microsoft Entra-Mandanten zu erstellen, der dem Azure-Abonnement zugeordnet ist:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password Pa55w.rd1234 \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Hinweis
In der nächsten Übung werden Sie dieses Benutzerkonto als nicht-privilegierten Microsoft Entra-Benutzer mit Zugriff auf eine Datenbank auf der Azure Database for PostgreSQL-Einzelserverinstanz konfigurieren.
Führen Sie den folgenden Befehl aus, um eine Microsoft Entra-Gruppe im Microsoft Entra-Mandanten zu erstellen, der dem Azure-Abonnement zugeordnet ist:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Hinweis
Sie verwenden diese Gruppe, um der Datenbank in der nächsten Übung Berechtigungen für die Azure Database for PostgreSQL-Einzelserverinstanz zuzuweisen.
Führen Sie den folgenden Befehl aus, um den Benutzer zur Gruppe hinzuzufügen:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDFühren Sie den folgenden Befehl aus, um dem neu erstellten Benutzer die Rolle „Mitwirkender“ im Azure-Abonnement zuzuweisen, das Sie für die Übungen in diesem Modul verwenden:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Hinweis
Sie greifen in der nächsten Übung dieses Moduls auf diese Rollenzuweisung zurück.
Schließen Sie den Cloud Shell-Bereich.
Um das Ergebnis dieser Übung zu überprüfen, verwenden Sie im Azure-Portal das Textfeld Ressourcen, Dienste und Dokumente suchen am Anfang der Azure-Portalseite, um nach Microsoft Entra ID zu suchen.
Wählen Sie in der Ergebnisliste Microsoft Entra ID aus.
Wählen Sie auf dem Blatt, das Eigenschaften Ihres Microsoft Entra-Mandanten anzeigt, im vertikalen Menü in den Abschnitten Verwalten die Option Benutzer aus.
Überprüfen Sie auf dem Blatt Benutzer | Alle Benutzer, ob die Liste der Benutzer*innen das Benutzerkonto enthält, das Sie zuvor in dieser Aufgabe erstellt haben.
Navigieren Sie zurück zum Blatt, das Eigenschaften Ihres Microsoft Entra-Mandanten anzeigt, und wählen Sie im vertikalen Menü in den Abschnitten Verwalten die Option Gruppen aus.
Überprüfen Sie auf dem Blatt Gruppen > Alle Gruppen, ob die Liste der Gruppen das Gruppenkonto enthält, das Sie zuvor in dieser Aufgabe erstellt haben.
Erstellen eines zusätzlichen Microsoft Entra-Mandanten und eines Benutzerobjekts
In dieser Aufgabe werden Sie mithilfe des Azure-Portals einen Microsoft Entra-Mandanten und ein Benutzerkonto im neuen Mandanten erstellen. In der nächsten Aufgabe konfigurieren Sie dieses Benutzerkonto als Gastbenutzerkonto im ersten Mandanten.
Wählen Sie im Webbrowser auf dem Blatt des Azure-Portals, das Eigenschaften Ihres Microsoft Entra-Mandanten anzeigt, die Option Mandanten verwalten und dann + Erstellen aus.
Stellen Sie auf der Registerkarte Grundlagen des Blatts Mandanten erstellen sicher, dass die Option Microsoft Entra ID ausgewählt ist, und wählen Sie Weiter: Konfiguration > aus.
Geben Sie auf der Registerkarte Konfiguration des Blatts Mandant erstellen die folgenden Einstellungen an:
Einstellung Wert Name der Organisation Contoso Name der Anfangsdomäne Einen beliebigen gültigen DNS-Namen, der aus Kleinbuchstaben und Ziffern besteht und mit einem Buchstaben beginnt. Land/Region Den Namen Ihres Landes oder Ihrer Region. Wählen Sie Überprüfen und erstellen und dann auf dem Blatt Mandant erstellen auf der Registerkarte Überprüfen und erstellen die Option Erstellen aus.
Wenn Sie dazu aufgefordert werden, geben Sie auf der Seite Helfen Sie uns zu beweisen, dass Sie kein Roboter sind den bereitgestellten Code ein, und wählen Sie dann Senden aus.
Warten Sie, bis die Bereitstellung abgeschlossen ist, und wählen Sie dann den Link Contoso aus, um zum Blatt zu navigieren, das Eigenschaften des Contoso Microsoft Entra-Mandanten anzeigt.
Wählen Sie im Webbrowser auf dem Blatt im Azure-Portal, auf dem das Blatt Contoso | Übersicht des Contoso Microsoft Entra-Mandanten angezeigt wird, im vertikalen Menü in den Abschnitten Verwalten die Option Benutzer aus.
Wählen Sie auf dem Blatt Benutzer | Alle Benutzer des Mandanten Contoso – Microsoft Entra ID die Option + Neuer Benutzer und anschließend Neuen Benutzer erstellen aus.
Geben Sie auf dem Blatt Neuen Benutzer erstellen die folgenden Einstellungen an, und behalten Sie für die anderen Einstellungen die Standardwerte bei:
Einstellung Wert Benutzername contosouser1 Name contosouser1 Kennwort selbst erstellen Aktiviert Erstes Kennwort Pa55w.rd1234 Verwenden Sie das Symbol In Zwischenablage kopieren neben der Dropdownliste Benutzername, um den Wert des userPrincipalName-Attributs von contosouser1 aufzuzeichnen. Sie benötigen ihn später in dieser und nachfolgenden Übungen.
Wählen Sie auf dem Blatt Neuer Benutzer die Option Erstellen aus.
Überprüfen Sie auf dem Blatt Benutzer | Alle Benutzer des Mandanten Contoso – Microsoft Entra ID die Liste der Benutzerkonten, und stellen Sie sicher, dass das neue Benutzerkonto erfolgreich erstellt wurde.
Hinweis
In der nächsten Übung werden Sie dieses Benutzerkonto als nicht-privilegierten Microsoft Entra-Benutzer mit Zugriff auf eine Datenbank auf der Azure Database for PostgreSQL-Einzelserverinstanz konfigurieren.
Erstellen und Konfigurieren eines Microsoft Entra-Gastbenutzers im Microsoft Entra-Mandanten, der Ihrem Azure-Abonnement zugeordnet ist
Zum Abschluss dieser Übung werden Sie das Azure-Portal verwenden, um das Benutzerkonto im Microsoft Entra-Mandanten Contoso als Gastbenutzer im Microsoft Entra-Mandanten Adatum zu konfigurieren, eine neue Gruppe in diesem Mandanten zu erstellen und den Gastbenutzer dieser Gruppe hinzuzufügen.
Wählen Sie im Webbrowser auf dem Blatt im Azure-Portal, auf dem das Blatt Contoso | Übersicht des Microsoft Entra-Mandanten Contoso angezeigt wird, in der Symbolleiste in der oberen rechten Ecke das Symbol Abonnements neben dem Symbol Cloud Shell und dann den Link Verzeichnis wechseln aus.
Wählen Sie auf dem Blatt Verzeichnisse + Abonnements den Eintrag aus, der den Microsoft Entra-Mandanten darstellt, der dem Azure-Abonnement zugeordnet ist, das Sie in den Übungen dieses Moduls verwenden, und wählen Sie dann Wechseln aus.
Hinweis
Dadurch wechselt Ihre Sitzung automatisch zum Microsoft Entra-Mandanten, der dem Azure-Abonnement zugeordnet ist, das Sie in den Übungen dieses Moduls verwenden.
Verwenden Sie im Azure-Portal das Textfeld Ressourcen, Dienste und Dokumente suchen am Anfang der Azure-Portalseite, um nach Microsoft Entra ID zu suchen, und wählen Sie in der Liste der Ergebnisse Microsoft Entra ID aus.
Wählen Sie auf dem Blatt, das Eigenschaften Ihres Microsoft Entra-Mandanten anzeigt, im vertikalen Menü in den Abschnitten Verwalten die Option Benutzer aus.
Wählen Sie auf dem Blatt Benutzer | Alle Benutzer die Option + Neuer Benutzer und dann Externen Benutzer einladen aus.
Stellen Sie auf dem Blatt Externen Benutzer einladen sicher, dass die Option Benutzer einladen ausgewählt ist, und geben Sie die folgenden Einstellungen an, während Sie für die anderen Einstellungen die Standardwerte belassen. Wählen Sie dann Überprüfen + einladen und anschließend Einladen aus:
Einstellung Wert E-Mail-Adresse Der Wert des userPrincipalName-Attributs von contosouser1, den Sie zuvor in dieser Aufgabe aufgezeichnet haben. Anzeigenname contosouser1 Einladungsnachricht Willkommen bei Adatum Navigieren Sie zurück zum Blatt, das die Eigenschaften Ihres Microsoft Entra-Mandanten anzeigt, und wählen Sie im vertikalen Menü in den Abschnitten Verwalten die Option Gruppen aus.
Wählen Sie auf dem Blatt Gruppen > Alle Gruppen die Option adatumgroup1 aus.
Wählen Sie auf dem Blatt adatumgroup1 die Option Mitglieder aus.
Wählen Sie auf dem Blatt adatumgroup1 > Mitglieder die Option + Mitglieder hinzufügen aus.
Geben Sie auf dem Blatt Mitglieder hinzufügen im Textfeld Suche den Text contosouser1 ein.
Wählen Sie in der Ergebnisliste den Eintrag contosouser1 und dann Auswählen aus.
Ergebnisse
Herzlichen Glückwunsch! Sie haben die erste Übung dieses Moduls abgeschlossen. Sie haben diese Übung gestartet, indem Sie einen Benutzer und eine Gruppe im Microsoft Entra-Mandanten erstellt haben, der Ihrem Azure-Abonnement zugeordnet ist, und dann haben Sie den Benutzer zur Gruppe hinzugefügt. Als Nächstes haben Sie einen anderen Microsoft Entra-Mandanten und einen Benutzer in diesem Microsoft Entra-Mandanten erstellt. Schließlich haben Sie diesen Benutzer als Gastbenutzer im Microsoft Entra-Mandanten konfiguriert, der Ihrem Azure-Abonnement zugeordnet ist, eine weitere Gruppe in diesem Mandanten erstellt und ihr den Gastbenutzer hinzugefügt.