Was sind Benutzerkonten in Microsoft Entra ID?
In Microsoft Entra ID werden allen Benutzerkonten eine Reihe von Standardberechtigungen gewährt. Der Kontozugriff eines Benutzers hängt vom Benutzertyp, den Rollenzuweisungen und seinen Besitzrechten für einzelne Objekte ab.
Es gibt verschiedene Arten von Benutzerkonten in Microsoft Entra ID. Jeder Typ verfügt über eine bestimmte Zugriffsebene für die Aufgaben, die der jeweilige Benutzerkontotyp in der Regel erledigen soll. Administratoren verfügen über die höchste Zugriffsebene, gefolgt von den Mitgliedsbenutzerkonten in der Microsoft Entra-Organisation. Gastbenutzer verfügen über eine Zugriffsebene mit den meisten Einschränkungen.
Berechtigungen und Rollen
In Microsoft Entra ID können Sie Zugriffsrechte, die einem Benutzer oder einer Gruppe gewährt werden, mithilfe von Berechtigungen steuern. Dies erfolgt über Rollen. Microsoft Entra ID verfügt über zahlreiche Rollen, denen unterschiedliche Berechtigungen zugewiesen sind. Wenn einem Benutzer eine bestimmte Rolle zugewiesen wird, übernehmen sie die betreffenden Berechtigungen von dieser Rolle. Beispielsweise kann ein Benutzer mit der Rolle „Benutzeradministrator“ Benutzerkonten erstellen und löschen.
Die Zuweisung des richtigen Rollentyps zum richtigen Benutzer ist ein grundlegender und wichtiger Schritt bei der Einhaltung von Datenschutz- und Sicherheitsbelangen. Wenn dem falschen Benutzer die falsche Rolle zugewiesen ist, kann der Benutzer durch die Berechtigungen, die mit dieser Rolle verfügbar werden, schwerwiegende Schäden für eine Organisation zu verursachen.
Administratorrollen
Administratorrollen in Microsoft Entra ID gewähren Benutzern erhöhte Zugriffsrechte, um zu steuern, wer für welche Aktionen berechtigt ist. Sie weisen diese Rollen einer begrenzten Gruppe von Benutzern zu, die Identitätsaufgaben in einer Microsoft Entra-Organisation verwalten. Sie können Administratorrollen zuweisen, damit ein Benutzer u. a. andere Benutzer erstellen oder bearbeiten, anderen Benutzern Administratorrollen zuweisen, Benutzerkennwörter zurücksetzen sowie Benutzerlizenzen verwalten kann.
Wenn Ihr Benutzerkonto über die Rolle „Benutzeradministrator“ oder „Globaler Administrator“ verfügt, können Sie im Azure-Portal, über die Azure-Befehlszeilenschnittstelle oder mit PowerShell einen neuen Benutzer in Microsoft Entra ID erstellen. Führen Sie in PowerShell das Cmdlet New-MgUser aus. Verwenden Sie in der Azure CLI az ad user create.
Mitgliedsbenutzer
Ein Mitgliedsbenutzerkonto ist ein natives Mitglied der Microsoft Entra-Organisation, das über Standardberechtigungen verfügt, z. B. für die Verwaltung der eigenen Profilinformationen. Für neue Mitarbeiter der Organisation wird normalerweise ein derartiges Konto erstellt.
Jeder Benutzer, der kein Gastbenutzer ist und dem keine Administratorrolle zugewiesen ist, fällt unter diesen Typ. Eine Mitgliedsbenutzerrolle ist für Benutzer gedacht, die als interne Benutzer einer Organisation gelten und Mitglieder der Microsoft Entra-Organisation sind. Allerdings sollten diese Benutzer nicht in der Lage sein, andere Benutzer zu verwalten, indem sie z. B. Benutzer erstellen und löschen. Mitgliedsbenutzer weisen nicht die gleichen Einschränkungen auf, die normalerweise für Gastbenutzer gelten.
Gastbenutzer
Gastbenutzer haben eingeschränkte Microsoft Entra-Organisationsberechtigungen. Wenn Sie eine Person zur Zusammenarbeit mit Ihrer Organisation einladen, fügen Sie diese in Ihrer Microsoft Entra-Organisation als Gastbenutzer hinzu. Anschließend können Sie den betreffenden Benutzer*innen eine Einladungs-E-Mail mit einem Einlöselink oder einen direkten Link zu einer App senden, die Sie freigeben möchten. Gastbenutzer melden sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei einem sozialen Netzwerk an. Standardmäßig können Microsoft Entra-Mitgliedsbenutzer Gastbenutzer einladen. Jemand mit der Rolle „Benutzeradministrator“ kann diese Standardeinstellung deaktivieren.
Möglicherweise muss Ihre Organisation mit externen Partnern zusammenarbeiten. Um mit Ihrer Organisation zusammenarbeiten zu können, benötigen diese Partner häufig eine bestimmte Zugriffsebene für bestimmte Ressourcen. In einer derartigen Situation empfiehlt es sich, Gastbenutzerkonten zu verwenden. Sie müssen dann sicherstellen, dass die Partner über die richtige Zugriffsebene verfügen, um ihre Arbeit zu erledigen, ohne dass sie eine höhere Zugriffsebene als erforderlich erhalten.
Hinzufügen von Benutzerkonten
Sie können einzelne Benutzerkonten im Azure-Portal, mit Azure PowerShell oder über die Azure-Befehlszeilenschnittstelle hinzufügen.
Führen Sie das folgende Cmdlet aus, wenn Sie die Azure CLI verwenden möchten:
# create a new user
az ad user create
Dieser Befehl erstellt einen neuen Benutzer über die Azure-Befehlszeilenschnittstelle.
Führen Sie das folgende Cmdlet aus, wenn Sie Azure PowerShell verwenden:
# create a new user
New-MgUser
Für Mitglieds- und Gästekonten ist eine Massenerstellung möglich. Im folgenden Beispiel wird gezeigt, wie Sie mehrere Gastbenutzer auf einmal einladen:
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Sie erstellen die CSV-Datei (Comma-Separated Values, durch Trennzeichen getrennte Datei) mit der Liste aller Benutzer, die Sie hinzufügen möchten. An jeden Benutzer in dieser CSV-Datei wird eine Einladung gesendet.
Löschen von Benutzerkonten
Sie können Benutzerkonten ebenfalls im Azure-Portal, mit Azure PowerShell oder über die Azure-Befehlszeilenschnittstelle hinzufügen. Führen Sie in PowerShell das Cmdlet Remove-MgUser aus. Führen Sie in der Azure CLI das Cmdlet az ad user delete aus.
Nachdem Sie einen Benutzer gelöscht haben, verbleibt das Konto 30 Tage lang in einem vorübergehend deaktivierten Zustand. Während dieses 30-Tage-Fensters können Sie das Benutzerkonto wiederherstellen.