Was ist Microsoft Entra ID?
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, mit dem Ihre Mitarbeiter auf externe Ressourcen zugreifen können. Externe Ressourcen wie Microsoft 365, das Azure-Portal und Tausende andere SaaS-Anwendungen.
Microsoft Entra ID unterstützt sie auch beim Zugreifen auf interne Ressourcen wie Apps im Unternehmensintranet sowie selbst entwickelte Cloud-Apps Ihrer Organisation. Informationen zum Erstellen eines Mandanten finden Sie unter Schnellstart: Erstellen eines neuen Mandanten in Microsoft Entra ID.
Informationen zu den Unterschieden zwischen Active Directory und Microsoft Entra ID finden Sie unter Vergleichen von Active Directory mit Microsoft Entra ID. Anhand der Poster aus der Reihe Microsoft Cloud für Enterprise-Architekten können Sie sich auch mit den zentralen Identitätsdiensten in Azure wie Microsoft Entra ID und Microsoft 365 vertraut machen.
Wer verwendet Microsoft Entra ID?
Microsoft Entra ID bietet Mitgliedern Ihrer Organisation basierend auf ihrer Rolle verschiedene Vorteile:
IT-Administratoren können mit Microsoft Entra ID den Zugriff auf Apps und App-Ressourcen basierend auf den Unternehmensanforderungen steuern. So können Sie als IT-Administrator mit Microsoft Entra ID beispielsweise beim Zugriff auf wichtige Organisationsressourcen Multi-Faktor-Authentifizierung erzwingen. Darüber hinaus können Sie mit Microsoft Entra ID die Benutzerbereitstellung zwischen Ihrer vorhandenen Windows Server AD-Instanz und Ihren Cloud-Apps (einschließlich Microsoft 365) automatisieren. Microsoft Entra ID bietet außerdem leistungsfähige Tools zum automatischen Schutz von Benutzeridentitäten und Anmeldeinformationen, um Ihre Anforderungen in puncto Zugriffssteuerung zu erfüllen. Registrieren Sie sich zunächst für eine kostenlose 30-tägige Microsoft Entra ID P1 oder P2-Testversion.
App-Entwickler können Microsoft Entra ID als standardbasierten Authentifizierungsanbieter verwenden, mit dem sie Apps einmaliges Anmelden (Single Sign-On, SSO) hinzufügen können, für das die vorhandenen Anmeldeinformationen eines Benutzers genutzt werden können. Entwickler können auch Microsoft Entra-APIs verwenden, um personalisierte Umgebungen mithilfe von Organisationsdaten zu erstellen. Registrieren Sie sich zunächst für eine kostenlose 30-tägige Microsoft Entra ID P1 oder P2-Testversion. Weitere Informationen finden Sie auch unter Microsoft Entra-ID für Entwickler.
Microsoft 365-, Office 365-, Azure- oder Dynamics CRM Online-Abonnenten verwenden bereits Microsoft Entra ID, da jeder Microsoft 365-, Office 365-, Azure- und Dynamics CRM Online-Mandant automatisch ein Microsoft Entra-Mandant ist. Sie können sofort mit der Verwaltung des Zugriffs auf Ihre integrierten Cloud-Apps beginnen.
Was sind die Microsoft Entra-ID-Lizenzen?
Microsoft Online-Unternehmensdienste wie Microsoft 365 oder Microsoft Azure erfordern Microsoft Entra ID für Anmeldeaktivitäten und zum Schutz von Identitäten. Wenn Sie einen Microsoft Online-Unternehmensdienst abonnieren, erhalten Sie automatisch Zugriff auf Microsoft Entra ID Free.
Zur Erweiterung Ihrer Microsoft Entra-Implementierung können Sie auch kostenpflichtige Funktionen hinzufügen, indem Sie auf Microsoft Entra ID P1- oder Premium P2-Lizenzen upgraden. Die kostenpflichtigen Microsoft Entra-Lizenzen ergänzen Ihr kostenloses Verzeichnis. Die Lizenzen bieten Self-Service, erweiterte Überwachung, Sicherheitsberichte und sicheren Zugriff für Ihre mobilen Benutzer*innen.
Hinweis
Die Preisoptionen dieser Lizenzen finden Sie unter Microsoft Entra Preise.
Weitere Informationen zu Microsoft Entra-Preisen erhalten Sie im Microsoft Entra Forum.
Microsoft Entra ID Free. Bietet Benutzer- und Gruppenverwaltung, lokale Verzeichnissynchronisierung, einfache Berichte, Self-Service-Kennwortänderung für Cloudbenutzer sowie einmaliges Anmelden für Azure, Microsoft 365 und zahlreiche beliebte SaaS-Apps.
Microsoft Entra ID P1. P1 bietet zusätzlich zu den Features des Free-Tarifs Hybridbenutzerzugriff auf lokale und cloudbasierte Ressourcen. P1 unterstützt außerdem eine erweiterte Verwaltung – etwa durch dynamische Gruppen, Self-Service-Gruppenverwaltung, Microsoft Identity Manager und Cloudfunktionen zum Rückschreiben, die die Self-Service-Kennwortzurücksetzung für Ihre lokalen Benutzer*innen ermöglichen.
Microsoft Entra ID P2. P2 bietet zusätzlich zu den Features des Free- und des P1-Tarifs auch Microsoft Entra ID Protection, um risikobasierten bedingten Zugriff auf Ihre Apps und kritischen Unternehmensdaten zu ermöglichen, sowie Privileged Identity Management, um Administratoren und deren Zugriff auf Ressourcen zu ermitteln, einzuschränken und zu überwachen und bei Bedarf Just-In-Time-Zugriff bereitzustellen.
Featurelizenzen mit nutzungsbasierter Bezahlung. Es sind auch Lizenzen für Features verfügbar (beispielsweise Microsoft Entra Business-to-Customer B2C). B2C kann Ihnen dabei helfen, Identitäts- und Zugriffsverwaltungslösungen für Ihre kundenorientierten Apps bereitzustellen. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C.
Weitere Informationen zum Zuordnen eines Azure-Abonnements zu Microsoft Entra ID finden Sie unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Microsoft Entra ID. Weitere Informationen zum Zuweisen von Lizenzen zu Ihren Benutzer*innen finden Sie unter Vorgehensweise: Zuweisen oder Entfernen von Microsoft Entra ID-Lizenzen.
Welche Features funktionieren in Microsoft Entra ID?
Nachdem Sie Ihre Microsoft Entra ID-Lizenz gewählt haben, erhalten Sie Zugriff auf einige oder alle der folgenden Features:
| Category | BESCHREIBUNG |
|---|---|
| Anwendungsverwaltung | Verwalten Sie Ihre Cloud- und lokalen Apps mithilfe von Anwendungsproxy, einmaligem Anmelden, dem „Meine Apps“-Portal und SaaS-Apps (Software-as-a-Service). Weitere Informationen finden Sie unter Bereitstellen von sicherem Remotezugriff auf lokale Anwendungen sowie in der Dokumentation zur Anwendungsverwaltung. |
| Authentifizierung | Verwalten Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra ID, die Multi-Factor Authentication, eine benutzerdefinierte Liste gesperrter Kennwörter und Smart Lockout. Weitere Informationen finden Sie unter Microsoft Entra Dokumentation zur Authentifizierung. |
| Microsoft Entra ID für Entwickler | Erstellen Sie Apps, die alle Microsoft-Identitäten anmelden, und rufen Sie Token zum Aufrufen von Microsoft Graph, anderen Microsoft-APIs oder benutzerdefinierten APIs ab. Weitere Informationen finden Sie unter Microsoft Identity Platform (Microsoft Entra ID für Entwickler). |
| Business-to-Business (B2B) | Verwalten Sie Ihre Gastbenutzer und externen Partner, ohne die Kontrolle über Ihre eigenen Unternehmensdaten aufzugeben. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Entra B2B. |
| Business-to-Consumer (B2C) | Steuern Sie die Registrierung, Anmeldung und Profilverwaltung der Benutzer, die Ihre App verwenden. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C. |
| Bedingter Zugriff | Verwalten Sie den Zugriff auf Ihre Cloud-Apps. Weitere Informationen finden Sie in der Dokumentation zum bedingten Zugriff mit Microsoft Entra. |
| Geräteverwaltung | Verwalten Sie den Zugriff auf Ihre Unternehmensdaten durch cloudbasierte oder lokale Geräte. Weitere Informationen finden Sie in der Dokumentation zur Microsoft Entra-Geräteverwaltung. |
| Domänendienste | Binden Sie virtuelle Azure-Computer ganz ohne Domänencontroller in eine Domäne ein. Weitere Informationen finden Sie unter Dokumentation zu Microsoft Entra Domain Services. |
| Unternehmensbenutzer | Verwalten Sie die Lizenzzuweisung sowie den Zugriff auf Apps, und richten Sie mithilfe von Gruppen und Administratorrollen Delegaten ein. Weitere Informationen finden Sie in der Dokumentation zur Microsoft Entra-Benutzerverwaltung. |
| Hybrididentität | Verwenden Sie Microsoft Entra Connect und Connect Health, um eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung gegenüber allen Ressourcen bereitzustellen – ganz gleich, ob es sich dabei um Cloudressourcen oder um lokale Ressourcen handelt. Weitere Informationen finden Sie in der Dokumentation zur Hybrid-Identität. |
| Identitätsgovernance | Verwalten Sie die Identität Ihrer Organisation über Zugriffssteuerungen für Mitarbeiter, Geschäftspartner, Anbieter, Dienste und Apps. Sie können auch Zugriffsüberprüfungen durchführen. Weitere Informationen finden Sie in Microsoft Entra ID Governance Dokumentation und Microsoft Entra Zugriffsüberprüfungen. |
| Schutz der Identität (Identity Protection) | Erkennen Sie potenzielle Sicherheitsrisiken für die Identitäten Ihrer Organisation, konfigurieren Sie Richtlinien, um auf verdächtige Aktivitäten zu reagieren, und ergreifen Sie geeignete Gegenmaßnahmen. Weitere Informationen finden Sie unter Microsoft Entra ID Protection. |
| Verwaltete Identitäten für Azure-Ressourcen | Stellen Sie für Ihre Azure-Dienste eine automatisch verwaltete Identität in Microsoft Entra ID bereit, die jeden von Microsoft Entra-unterstützten Authentifizierungsdienst authentifizieren kann, einschließlich Key Vault. Weitere Informationen finden Sie im unter Was sind verwaltete Identitäten für Azure-Ressourcen?. |
| Privileged Identity Management (PIM) | Verwalten, steuern und überwachen Sie den Zugriff innerhalb Ihrer Organisation. Dieses Feature umfasst den Zugriff auf Ressourcen in Microsoft Entra ID und Azure sowie auf andere Microsoft Online Services wie Microsoft 365 oder Intune. Weitere Informationen finden Sie unter Microsoft Entra Privileged Identity Management. |
| Überwachung und Integrität | Gewinnen Sie Erkenntnisse zur Sicherheit und zu Verwendungsmustern in Ihrer Umgebung. Weitere Informationen finden Sie unter Microsoft Entra ID Überwachung und Integrität. |
| Workloadidentitäten | Geben Sie Ihrem Softwareworkload (z. B. einer Anwendung, einem Dienst, Skript oder Container) eine Identität für die Authentifizierung und den Zugriff auf andere Dienste und Ressourcen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Workload-Identitäten. |
Terminologie
Zum besseren Verständnis von Microsoft Entra ID und der dazugehörigen Dokumentation sollten Sie sich mit den folgenden Begriffen vertraut machen.
| Begriff oder Konzept | BESCHREIBUNG |
|---|---|
| Identity | Etwas, das authentifiziert werden kann. Eine Identität kann ein Benutzer mit Benutzername und Kennwort sein. Zu Identitäten gehören auch Anwendungen oder andere Server, die eine Authentifizierung durch geheime Schlüssel oder Zertifikate erfordern können. |
| Konto | Eine Identität, der Daten zugeordnet sind. Sie können kein Konto ohne eine Identität nutzen. |
| Microsoft Entra-Konto | Eine über Microsoft Entra ID oder einen anderen Microsoft-Clouddienst (beispielsweise Microsoft 365) erstellte Identität. Identitäten werden in Microsoft Entra ID gespeichert und sind für die Clouddienstabonnements Ihrer Organisation zugänglich. Dieses Konto wird manchmal auch als Geschäfts-, Schul- oder Unikonto bezeichnet. |
| Kontoadministrator | Diese klassische Abonnementadministratorrolle ist konzeptionell der Abrechnungsbesitzer eines Abonnements. Mit dieser Rolle können Sie alle Abonnements in einem Konto verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements. |
| Dienstadministrator | Diese klassische Abonnementadministratorrolle ermöglicht die Verwaltung sämtlicher Azure-Ressourcen (einschließlich Zugriff). Sie hat den gleichen Zugriff wie ein Benutzer, dem für den Abonnementbereich die Rolle „Besitzer“ zugewiesen ist. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements. |
| Besitzer | Diese Rolle hilft Ihnen bei der Verwaltung aller Azure-Ressourcen (einschließlich Zugriff). Sie basiert auf einem neueren Autorisierungssystem namens „rollenbasierte Zugriffssteuerung in Azure“ (Azure Role-Based Access Control, Azure RBAC), das eine präzise Zugriffsverwaltung für Azure-Ressourcen ermöglicht. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements. |
| Microsoft Entra Global Administrator | Diese Administratorrolle wird automatisch dem Ersteller des Microsoft Entra-Mandanten zugewiesen. Es können mehrere globale Administratoren vorhanden sein, aber nur globale Administratoren können Benutzern Administratorrollen zuweisen (einschließlich der globalen Administratorrolle). Weitere Informationen zu den unterschiedlichen Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Microsoft Entra ID. |
| Azure-Abonnement | Dient zur Bezahlung für Azure-Clouddienste. Sie können über mehrere Abonnements verfügen, und die Abonnements sind mit einer Kreditkarte verknüpft. |
| Mandant | Eine dedizierte und vertrauenswürdige Instanz von Microsoft Entra ID. Der Mandant wird automatisch erstellt, wenn sich Ihre Organisation für das Abonnement eines Microsoft-Clouddiensts registriert. Diese Abonnements umfassen Microsoft Azure, Microsoft Intune oder Microsoft 365. Dieser Mandant stellt eine einzelne Organisation dar und ist für die Verwaltung Ihrer Mitarbeiter, Geschäfts-Apps und anderer interner Ressourcen vorgesehen. Aus diesem Grund gilt die Konfiguration als Mandantenkonfiguration für Mitarbeiter. Im Gegensatz dazu können Sie einen Mandanten in einer externen Konfiguration erstellen, die in CIAM-Lösungen (Customer Identity and Access Management, Verwaltung von Identität und Zugriff für Kunden) für benutzerseitige Apps verwendet wird (weitere Informationen zu Microsoft Entra External ID). |
| Einzelner Mandant | Azure-Mandanten, die auf andere Dienste in einer dedizierten Umgebung zugreifen, werden als einzelne Mandanten betrachtet. |
| Mehrinstanzenfähig | Azure-Mandanten, die auf andere Dienste in einer gemeinsam genutzten Umgebung mit mehreren Organisationen zugreifen, werden als mehrinstanzenfähig betrachtet. |
| Microsoft Entra Verzeichnis | Jeder Azure-Mandant verfügt über ein dediziertes und vertrauenswürdiges Microsoft Entra-Verzeichnis. Das Microsoft Entra-Verzeichnis enthält die Benutzer, Gruppen und Apps des Mandanten und dient zum Ausführen von Identitäts- und Zugriffsverwaltungsfunktionen für Mandantenressourcen. |
| Benutzerdefinierte Domäne | Jedes neue Microsoft Entra-Verzeichnis enthält einen anfänglichen Domänennamen, z. B. domainname.onmicrosoft.com. Zusätzlich zu diesem anfänglichen Namen können Sie auch die Domänennamen Ihrer Organisation hinzufügen. Zu den Domänennamen Ihrer Organisation gehören die Namen, die Sie für Ihre Geschäfte verwenden und die Ihre Benutzer*innen für den Zugriff auf die Ressourcen Ihrer Organisation verwenden. Durch Hinzufügen benutzerdefinierter Domänennamen können Sie Benutzernamen erstellen, mit denen Ihre Benutzer vertraut sind (beispielsweise alain@contoso.com). |
| Microsoft-Konto (auch MSA genannt) | Persönliche Konten, mit denen Sie auf Ihre kundenorientierten Microsoft-Produkte und Clouddienste zugreifen können. Zu diesen Produkten und Diensten gehören Outlook, OneDrive, Xbox Live oder Microsoft 365. Ihr Microsoft-Konto wird im von Microsoft betriebenen Microsoft-Kontosystem für Endbenutzeridentitäten erstellt und gespeichert. |