Einrichten der Microsoft Entra-Testumgebung für Ihre Anwendung

  • Artikel

Damit Ihre App den Entwicklungs-, Test- und Produktionslebenszyklus durchlaufen kann, richten Sie eine Microsoft Entra-Testumgebung ein. Sie können Ihre Microsoft Entra-Testumgebung in den frühen Entwicklungsphasen der App und langfristig als permanente Testumgebung nutzen.

Dedizierter Testmandant oder Microsoft Entra-Produktionsmandant?

Als Erstes müssen Sie entscheiden, ob Sie einen Microsoft Entra-Mandanten speziell für Testzwecke oder Ihren Produktionsmandanten als Testumgebung verwenden möchten.

Die Verwendung eines Produktionsmandanten kann einige Aspekte der Anwendungstests vereinfachen, erfordert jedoch den richtigen Grad von Isolation zwischen Test- und Produktionsressourcen. Die Isolation ist besonders wichtig bei Szenarien mit hohen Berechtigungen.

Unter folgenden Bedingungen sollten Sie Ihren Microsoft Entra-Produktionsmandanten nicht verwenden:

  • Ihre Anwendung verwendet Einstellungen, die mandantenweite Eindeutigkeit erfordern. Beispiel: Ihre Anwendung muss möglicherweise selbst (nicht im Namen eines Benutzers) mit Nur-App-Berechtigungen auf Mandantenressoucen zugreifen. Der Nur-App-Zugriff erfordert Administratorzustimmung, die für den gesamten Mandanten gilt. Es ist schwierig, derartige Berechtigungen innerhalb der Mandantengrenze sicher einzugrenzen.
  • Es gibt nur wenig Risikotoleranz bei potenziellen unbefugten Zugriffen auf Testressourcen durch Mandantenmitglieder.
  • Konfigurationsänderungen könnten sich negativ auf den kritischen Betrieb Ihrer Produktionsumgebung auswirken.
  • Sie haben keine Möglichkeit, Benutzer oder andere Testdaten in Ihrem Produktionsmandanten zu erstellen.
  • In Ihrem Produktionsmandanten werden Richtlinien aktiviert, für die bei der Authentifizierung eine Benutzerinteraktion erforderlich ist. Wenn beispielsweise die Multi-Faktor-Authentifizierung für alle Benutzer erforderlich ist, können Sie keine automatischen Anmeldungen für Integrationstests verwenden.
  • Das Hinzufügen von nicht produktionsbezogenen Ressourcen und/oder Workloads zu Ihrem Produktionsmandanten würde die Dienst- oder Drosselungsgrenzwerte für diesen Mandanten überschreiten.

Wenn eine dieser Beschränkungen zutrifft, sollten Sie die Testumgebung in einem separaten Mandanten einrichten.

Wenn keine der Beschränkungen zutrifft, können Sie die Testumgebung in Ihrem Produktionsmandanten einrichten. Beachten Sie, dass globale Administratoren in Ihrem Produktionsmandanten jederzeit auf dessen Ressourcen zugreifen und Konfigurationen ändern können. Um den Zugriff auf Testressourcen bzw. deren Konfiguration zu verhindern, verwenden Sie für diese Daten einen separaten Mandanten.

Einrichten einer Testumgebung in einem separaten Tenant

Wenn Sie Ihre Testanwendung in Ihrem Produktionsmandanten nicht sicher eingrenzen können, sollten Sie einen separaten Mandanten für Entwicklungs- und Testzwecke erstellen.

Besorgen Sie sich einen Test-Tenant

Wenn Sie noch keinen dedizierten Test-Tenant haben, können Sie mit dem Microsoft 365 Developer Program kostenlos einen erstellen oder selbst einen erstellen.

Das Microsoft 365-Entwicklerprogramm ist kostenlos und ermöglicht das automatische Hinzufügen von Testbenutzerkonten und Beispieldatenpaketen zum Tenant.

  1. Klicken Sie auf die Schaltfläche Jetzt teilnehmen auf dem Bildschirm.
  2. Melden Sie sich mit einem neuen Microsoft-Konto an, oder verwenden Sie ein bereits vorhandenes (Geschäfts-)Konto.
  3. Wählen Sie auf der Registrierungsseite Ihre Region aus, geben Sie einen Firmennamen ein, und akzeptieren Sie die Bestimmungen des Programms, bevor Sie auf Weiter klicken.
  4. Klicken Sie auf Abonnement einrichten. Geben Sie die Region an, in der Sie Ihren neuen Mandanten erstellen möchten, erstellen Sie einen Benutzernamen und eine Domäne, und geben Sie ein Kennwort ein. Daraufhin werden ein neuer Mandant und der erste Administrator des Mandanten erstellt.
  5. Geben Sie die Sicherheitsinformationen ein, die zum Schutz des Administratorkontos Ihres neuen Mandanten erforderlich sind. Dadurch wird die Multi-Faktor-Authentifizierung für das Konto eingerichtet.

Manuelles Erstellen eines Tenants

Sie können manuell einen Tenant erstellen, der bei der Erstellung leer ist und mit Testdaten konfiguriert werden muss.

Bevölkern Sie Ihren Tenant mit Benutzern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Der Einfachheit halber können Sie sich selbst und andere Mitglieder Ihres Entwicklungsteams als Gastbenutzer in den Tenant einladen. Dadurch werden separate Gastobjekte im Test-Tenant erstellt, aber Sie müssen nur einen Satz Anmeldeinformationen für Ihr Unternehmenskonto und Ihr Testkonto verwalten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie Neuer Benutzer>Externen Benutzer einladen und laden Sie die E-Mail-Adresse Ihres Geschäftskontos ein.
  4. Wiederholen Sie diesen Vorgang für andere Mitglieder des Entwicklungs- und/oder Testteams für Ihre Anwendung.

Sie können auch Testbenutzer in Ihrem Testmandanten erstellen. Wenn Sie eines der Microsoft 365-Beispielpakete verwendet haben, verfügen Sie möglicherweise bereits über einige Testbenutzer in Ihrem Tenant. Falls nicht, sollten Sie als Tenant-Administrator in der Lage sein, selbst welche anzulegen.

  1. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  2. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus und erstellen Sie einige neue Testbenutzer*innen in Ihrem Verzeichnis.

Erhalten Sie ein Microsoft Entra-Abonnement (optional)

Wenn Sie die Microsoft Entra ID P1- oder P2-Features in Ihrer Anwendung vollständig testen möchten, müssen Sie Ihren Mandanten für eine Premium P1- oder Premium P2-Lizenz anmelden.

Wenn Sie sich über das Microsoft 365-Entwicklerprogramm angemeldet haben, wird Ihr Testmandant mit Microsoft Entra ID P2-Lizenzen geliefert. Falls nicht, können Sie trotzdem eine einmonatige kostenlose Testversion von Microsoft Entra ID P1 oder P2 aktivieren.

Erstellen und konfigurieren Sie eine App-Registrierung

Sie müssen eine App-Registrierung erstellen, die Sie in Ihrer Testumgebung verwenden möchten. Dies sollte eine von der späteren Produktionsregistrierung getrennte Registrierung sein, um die Sicherheitsisolierung zwischen Ihrer Testumgebung und Ihrer Produktionsumgebung aufrechtzuerhalten. Wie Sie Ihre Anwendung konfigurieren, hängt von der Art der Anwendung ab, die Sie erstellen. Weitere Informationen finden Sie in den Schritten zur Anwendungsregistrierung für Ihr Anwendungsszenario im linken Navigationsbereich, z. B. in diesem Artikel zur Registrierung von Webanwendungen.

Befüllen Sie Ihren Tenant mit Richtlinien

Wenn Ihre Anwendung in erster Linie von einer einzigen Organisation genutzt wird (allgemein als Single Tenant bezeichnet) und Sie Zugang zu diesem Produktions-Tenant haben, sollten Sie versuchen, die Einstellungen Ihres Produktions-Tenant zu replizieren, die das Verhalten Ihrer Anwendung beeinflussen können. Dadurch wird die Wahrscheinlichkeit unerwarteter Fehler beim Betrieb in der Produktion verringert.

Richtlinien für bedingten Zugriff

Durch die Replizierung der Richtlinien für bedingten Zugriff wird sichergestellt, dass bei dem Übergang zur Produktion keine unerwarteten Zugriffsblockaden auftreten und Ihre Anwendung die zu erwartenden Fehler angemessen behandeln kann.

Die Anzeige der Richtlinien für bedingten Zugriff Ihres Produktionsmandanten muss möglicherweise von einem Administrator für bedingten Zugriff durchgeführt werden.

  1. Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen>Bedingter Zugriff.
  2. Zeigen Sie die Liste der Richtlinien in Ihrem Tenant an. Klicken Sie auf die erste Richtlinie.
  3. Navigieren Sie zu Cloud-Anwendungen oder -Aktionen.
  4. Wenn die Richtlinie nur für eine ausgewählte Gruppe von Anwendungen gilt, fahren Sie mit der nächsten Richtlinie fort. Wenn nicht, wird sie wahrscheinlich auch für Ihre Anwendung gelten, wenn Sie in die Produktion wechseln. Kopieren Sie die Richtlinie in Ihren Test-Tenant.

Melden Sie sich auf einer neuen Registerkarte oder in einer neuen Browsersitzung beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an, um auf Ihren Testmandanten zuzugreifen.

  1. Browsen Sie zu Schutz>Bedingter Zugriff.
  2. Wählen Sie Neue Richtlinie erstellen aus.
  3. Kopieren Sie die Einstellungen aus der Richtlinie des Produktionsmieters, die Sie in den vorherigen Schritten ermittelt haben.

Richtlinien für die Erteilung von Berechtigungen

Durch die Replizierung von Berechtigungsrichtlinien wird sichergestellt, dass Sie bei der Umstellung auf die Produktion keine unerwarteten Aufforderungen zur Erteilung der Administratorberechtigung erhalten.

Navigieren Sie zu den Einstellungen unter Identität>Anwendungen>Unternehmensanwendungen>Zustimmung und Berechtigungen>Benutzerzustimmung. Kopieren Sie die dortigen Einstellungen in Ihren Testmandanten.

Richtlinien für die Token-Lebensdauer

Die Replikation von Richtlinien für die Token-Lebensdauer stellt sicher, dass die für Ihre Anwendung ausgestellten Token in der Produktion nicht unerwartet ablaufen.

Token-Lebensdauerrichtlinien können derzeit nur über PowerShell verwaltet werden. Lesen Sie über konfigurierbare Token-Lebensdauern, um zu erfahren, wie Sie Richtlinien für die Token-Lebensdauer identifizieren, die für Ihre gesamte Produktionsorganisation gelten. Kopieren Sie diese Richtlinien in Ihren Test-Tenant.

Richten Sie eine Testumgebung in Ihrem Produktions-Tenant ein

Wenn Sie Ihre Testanwendung sicher in Ihrem Produktions-Tenant einschränken können, richten Sie Ihren Tenant für Testzwecke ein.

Erstellen und konfigurieren Sie eine App-Registrierung

Sie müssen eine App-Registrierung erstellen, die Sie in Ihrer Testumgebung verwenden möchten. Dies sollte eine von der späteren Produktionsregistrierung getrennte Registrierung sein, um die Sicherheitsisolierung zwischen Ihrer Testumgebung und Ihrer Produktionsumgebung aufrechtzuerhalten. Wie Sie Ihre Anwendung konfigurieren, hängt von der Art der Anwendung ab, die Sie erstellen. Weitere Informationen finden Sie in den Schritten zur App-Registrierung für Ihr App-Szenario im linken Navigationsbereich.

Erstellen Sie einige Testbenutzer

Sie müssen einige Testbenutzer mit zugehörigen Testdaten erstellen, die Sie beim Testen Ihrer Szenarien verwenden können. Dieser Schritt muss eventuell von einem Administrator durchgeführt werden.

  1. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  2. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus und erstellen Sie einige neue Testbenutzer*innen in Ihrem Verzeichnis.

Hinzufügen der Testbenutzer zu einer Gruppe (optional)

Der Einfachheit halber können Sie alle diese Benutzer einer Gruppe zuordnen, was weitere Zuordnungsvorgänge erleichtert.

  1. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  2. Wählen Sie Neue Gruppe aus.
  3. Wählen Sie entweder Sicherheit oder Microsoft 365 als Gruppentyp.
  4. Benennen Sie die Gruppe.
  5. Fügen Sie die im vorherigen Schritt erstellten Testbenutzer hinzu.

Beschränken Sie Ihre Testanwendung auf bestimmte Benutzer

Sie können die Benutzer in Ihrem Mandanten, die Ihre Testanwendung verwenden dürfen, durch Benutzerzuweisung auf bestimmte Benutzer oder Gruppen beschränken. Als Sie eine App über App-Registrierungen erstellten, wurde auch eine Darstellung Ihrer App in Unternehmensanwendungen erstellt. Verwenden Sie die Einstellungen in Unternehmensanwendungen, um einzuschränken, wer die Anwendung in Ihrem Mandanten verwenden kann.

Wichtig

Wenn es sich bei Ihrer Anwendung um eine Multi-Tenant-Anwendung handelt, schränkt dieser Vorgang Benutzer in anderen Tenants nicht davon ab, sich bei Ihrer Anwendung anzumelden und sie zu nutzen. Er schränkt nur Benutzer in dem Tenant ein, in dem die Benutzerzuweisung konfiguriert ist.

Detaillierte Anweisungen zur Beschränkung einer App auf bestimmte Benutzer in einem Tenant finden Sie unter Beschränkung Ihrer App auf eine Gruppe von Benutzern.

Nächste Schritte

Erfahren Sie mehr über Microsoft Entra-Nutzungseinschränkungen und Dienstbeschränkungen, die Sie hier möglicherweise erreichen. Allgemeine Informationen zu Einschränkungen für Azure-Abonnements und -Dienste, Kontingenten und Beschränkungen finden Sie hier.

Ausführlichere Informationen zu Testumgebungen finden Sie unter Sicherung von Azure-Umgebungen mit Microsoft Entra ID.