Konfigurieren von mandantenweiten Einstellungen

  • 4 Minuten

Mandantenweite Einstellungen sind die Konfigurationsoptionen, die für alle Ressourcen in Ihrem Mandanten gelten – wie der Name schon sagt. Diese mandantenweiten Optionen werden an bestimmten Stellen festgelegt, um das Aussehen, das Verhalten und die Konfiguration Ihres Mandanten und seiner Mitglieder zu steuern. Die folgenden Menüoptionen basieren auf dem Microsoft Entra Admin Center.

Mandantenweite Option

  • Mandanteneigenschaften

    • Identität - Übersichtsseite - Eigenschaften
    • Hier geben Sie den Namen Ihres Verzeichnisses an und legen Werte wie den primären Kontakt fest.

  • Benutzereinstellungen

    • Identität – Benutzer – Benutzereinstellungen
    • Hier definieren Sie, welche globalen Rechte Ihre Benutzer haben, z. B. das Registrieren von Anwendungen.

  • Einstellungen für externe Zusammenarbeit

    • Identität – Externe I – Benutzereinstellungen – Externe Zusammenarbeit verwalten
    • Hier definieren Sie, welche Aufgabe ein externer Gastbenutzer ausführen kann, z. B. das Einladen von weiteren Gastbenutzern.

Konfigurieren von mandantenweiten Benutzereinstellungen

Screenshot des Bildschirms „Benutzereinstellungen“ in Microsoft Entra ID. Verwenden Sie diese Option, um zu konfigurieren, was Benutzer tun können.

In Microsoft Entra-ID erhalten alle Benutzer eine Reihe von Standardberechtigungen. Der Zugriffsumfang eines Benutzers basiert auf dem Benutzertyp, den Rollenzuweisungen und dem Besitz einzelner Objekte. Die Standardberechtigungen für Benutzer können nur in den Benutzereinstellungen in Microsoft Entra ID geändert werden.

Mitglieder und Gastbenutzer

Welche Standardberechtigungen Sie erhalten, hängt davon ab, ob der Benutzer ein natives Mitglied des Mandanten ist (Mitgliedsbenutzer). Oder wenn der Benutzer aus einem anderen Verzeichnis als Gast für die B2B-Zusammenarbeit (Gastbenutzer) eingeladen wird.

  • Mitgliedsbenutzer können Anwendungen registrieren, ihr eigenes Profilfoto und ihre Mobiltelefonnummer verwalten, das eigene Kennwort verwalten und B2B-Gäste einladen. Zusätzlich können die Benutzer (mit einigen Ausnahmen) alle Verzeichnisinformationen lesen.
  • Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen. Sie können ihr eigenes Profil verwalten, ihr eigenes Kennwort ändern und einige Informationen zu anderen Benutzern, Gruppen und Apps abrufen, jedoch nicht alle Verzeichnisinformationen lesen. Gastbenutzer können beispielsweise nicht alle Benutzer, Gruppen und andere Verzeichnisobjekte auflisten. Gäste können zu Administratorrollen hinzugefügt werden, wodurch ihnen alle in der Rolle enthaltenen Lese- und Schreibberechtigungen gewährt werden. Gäste können auch andere Gäste einladen.

Die folgenden Standardberechtigungen für Mitgliedsbenutzer können auf folgende Weise eingeschränkt werden:

Berechtigung Erläuterung der Einstellung
Benutzer können Anwendungen registrieren Standardmäßig können Mitgliedsbenutzer Anwendungen registrieren.
Durch das Festlegen dieser Einstellung auf „Nein“ werden Benutzer daran gehindert, Anwendungsregistrierungen zu erstellen. Die Fähigkeit kann anschließend bestimmten Personen wieder gewährt werden, indem diese der Rolle „Anwendungsentwickler“ hinzugefügt werden.
Einschränken des Zugriffs auf das Verwaltungsportal für Microsoft Entra Wenn Sie diese Option auf „Nein“ festlegen, können Nichtadministrator*innen das Microsoft Entra-Verwaltungsportal zum Lesen und Verwalten von Microsoft Entra-Ressourcen verwenden. Mit der Einstellung „Ja“ wird der Zugriff auf Microsoft Entra-Daten im Verwaltungsportal für Nichtadministrator*innen eingeschränkt.
Mit dieser Einstellung wird der Zugriff auf Microsoft Entra-Daten mithilfe von PowerShell oder anderen Clients wie Visual Studio nicht eingeschränkt. Wenn diese Einstellung auf „Ja“ festgelegt ist, kann einem bestimmten Benutzer oder einer bestimmten Benutzerin, der oder die kein*e Administrator*in ist, die Fähigkeit erteilt werden, das Microsoft Entra-Verwaltungsportal zu verwenden, indem ihm oder ihr eine beliebige Administratorrolle zugewiesen wird, z. B. die Rolle „Verzeichnisleseberechtigte*r“.
Diese Rolle ermöglicht das Lesen grundlegender Verzeichnisinformationen und ist den Mitgliedsbenutzern (nicht aber Gästen und Dienstprinzipalen) standardmäßig zugewiesen.

Anmelden mit LinkedIn

Mit mehr als 500 Millionen Mitgliedern weltweit ist LinkedIn die größte und vertrauenswürdigste Quelle professioneller Identitäten. Nutzen Sie dies für eine verbesserte Anmeldung bei Ihren Websites und Anwendungen.

Nutzen Sie die Anmeldung mit LinkedIn für Folgendes:

  • Reduzieren Sie den Aufwand, und steigern Sie die Anzahl von Registrierungen, indem Sie Mitgliedern ermöglichen, sich mit LinkedIn anzumelden, ohne ein neues Konto zu erstellen.
  • Minimieren Sie die Kosten und die Zeit für das Implementieren Ihrer eigenen Anmeldung mit Identitäten, Profilverwaltung und Kennwortverwaltung.
  • Personalisieren Sie Ihre Websites und Anwendungen mit den Profilen der neuesten Mitglieder.

Verwalten von Sicherheitsstandards

Die Aufrechterhaltung der Sicherheit kann sich angesichts der zunehmenden Verbreitung gängiger identitätsbezogener Angriffe wie Kennwortspray, Replay und Phishing als schwierig erweisen. Sicherheitsstandards in Azure Active Directory (Azure AD) können den Schutz Ihrer Organisation vor solchen Angriffen mit vorkonfigurierten Sicherheitseinstellungen vereinfachen:

  • Festlegen, dass sich alle Benutzer für die mehrstufige Authentifizierung (MFA) registrieren müssen.
  • Festlegen, dass Administratoren mehrstufige Authentifizierung durchführen müssen.
  • Blockieren älterer Authentifizierungsprotokolle.
  • Festlegen, dass Benutzer bei Bedarf mehrstufige Authentifizierung durchführen müssen.
  • Schützen privilegierter Aktivitäten Zugriff auf das Azure-Portal.

Verfügbarkeit

Microsoft stellt allen Benutzern Sicherheitsstandards zur Verfügung. Das Ziel ist sicherzustellen, dass in allen Organisationen eine Standardsicherheitsebene ohne zusätzliche Kosten aktiviert ist.

Konfigurieren der externen Benutzeroptionen

Screenshot des Dialogfelds „Externe Benutzereinstellungen verwalten“ in Microsoft Entra ID.

Hier konfigurieren Sie die Aktionen, die externe Benutzer ausführen können, während sie die Cloudressourcen Ihres Mandanten nutzen.

  • Gastbenutzerzugriff: Gastbenutzern können Rechte für den Ort erteilt werden, an dem sie fast als Vollbenutzer agieren, um so einzuschränken, wo sie nur ihre eigenen Inhalte anzeigen können.
  • Einstellungen für Gasteinladungen: Legt fest, wer Gäste einladen darf, der Organisation beizutreten  – vom Gast selbst bis zu nur Administratoren.
  • Guest self-service up (Self-Service-Registrierung für Gäste): Erlauben Sie Gästen, an den Self-Service-Optionen für Benutzer teilzuhaben.

Konfigurieren von Mandanteneigenschaften für das Verzeichnis

Screenshot des Dialogfelds

Legen Sie die grundlegenden Werte fest, die das Aussehen und Verhalten Ihres Mandanten in Microsoft Entra ID definieren.

  • Name: Anzeigename für Ihren Mandanten, zur Verwendung im Azure-Portal
  • Land oder Region: Standort Ihres primären Unternehmens und der genutzten Azure-Rechenzentren
  • Benachrichtigungssprache: Sprache zum Senden von Benachrichtigungen und Warnungen
  • Mandanten-ID: Eindeutiger Bezeichner für Ihren Mandanten, der programmgesteuert verwendet wird
  • Technischer Kontakt - Primärer Kontakt für den Mandanten (standardmäßig der Benutzer, der den Mandanten erstellt hat)
  • Globaler Datenschutzkontakt: Benutzer*in von oder Alias zu Inhalten für Datenschutzbelange oder -probleme
  • URL der Datenschutzerklärung: Link zu einer PDF-Seite oder Webseite mit den Datenschutzregeln für Ihre Cloudlösungen