Azure Active Directory-BereitstellungspläneAzure Active Directory deployment plans

Sie suchen nach umfassenden Anleitungen für die Bereitstellung von Azure Active Directory-Funktionen (Azure AD)?Looking for end-to-end guidance on deploying Azure Active Directory (Azure AD) capabilities? In Azure AD-Bereitstellungsplänen werden der Geschäftswert, Planungsüberlegungen und Betriebsverfahren erläutert, die Sie zur erfolgreichen Bereitstellung gängiger Azure AD-Funktionen benötigen.Azure AD deployment plans walk you through the business value, planning considerations, and operational procedures needed to successfully deploy common Azure AD capabilities.

Verwenden Sie auf einer der Planseiten die Funktion Ihres Browsers zum Drucken als PDF-Datei, um eine aktuelle Offlineversion der Dokumentation zu erstellen.From any of the plan pages, use your browser’s Print to PDF capability to create an up-to-date offline version of the documentation.

Einbeziehen der richtigen ProjektbeteiligtenInclude the right stakeholders

Wenn Sie beginnen, eine neue Funktion für Ihre Bereitstellung zu planen, ist es wichtig, die wichtigsten Projektbeteiligten in Ihrer Organisation einzubeziehen.When beginning your deployment planning for a new capability, it’s important to include key stakeholders across your organization. Wir empfehlen, die Person bzw. Personen zu identifizieren, die jede der folgenden Rollen erfüllen, und in Zusammenarbeit mit ihnen deren Beteiligung am Projekt zu bestimmen.We recommend that you identify and document the person or people who fulfill each of the following roles, and work with them to determine their involvement in the project.

Dazu zählen u.a. die folgenden Rollen:Roles might include the following

RoleRole BESCHREIBUNGDescription
EndbenutzerEnd-user Eine repräsentative Gruppe von Benutzern, für welche die Funktion implementiert wird.A representative group of users for which the capability will be implemented. Erkundet häufig vorher die Änderungen in einem Pilotprogramm.Often previews the changes in a pilot program.
IT-SupportmanagerIT Support Manager Ein Vertreter der IT-Supportorganisation, der zu den Unterstützungsmöglichkeiten dieser Änderung aus einer Helpdesk-Perspektive Stellung nehmen kann.IT support organization representative who can provide input on the supportability of this change from a helpdesk perspective.
Identitätsarchitekt oder globaler Azure-AdministratorIdentity Architect or Azure Global Administrator Vertreter des Identitätsverwaltungsteams, der definieren muss, wie diese Änderung an die Kerninfrastruktur für die Identitätsverwaltung in Ihrer Organisation gekoppelt ist.Identity management team representative in charge of defining how this change is aligned with the core identity management infrastructure in your organization.
Geschäftlicher AnwendungsbesitzerApplication Business Owner Der allgemeine geschäftliche Besitzer der betroffenen Anwendung(en), ggf. mit Zugriffsverwaltung.The overall business owner of the affected application(s), which may include managing access.  Kann auch Aussagen zur Benutzerfreundlichkeit und Zweckmäßigkeit dieser Änderung aus Sicht eines Endbenutzers machen.  May also provide input on the user experience and usefulness of this change from an end-user’s perspective.
SicherheitsbesitzerSecurity Owner Ein Vertreter des Sicherheitsteams, der abzeichnen kann, dass der Plan die Sicherheitsanforderungen Ihrer Organisation erfüllt.A representative from the security team that can sign off that the plan will meet the security requirements of your organization.
Compliance-ManagerCompliance Manager Die Person in Ihrem Unternehmen, die für die Sicherstellung der Konformität mit Unternehmens-, Branchen- oder behördlichen Anforderungen verantwortlich ist.The person within your organization responsible for ensuring compliance with corporate, industry, or governmental requirements.

Die Ebenen der Beteiligung und Verantwortlichkeiten können wie folgt definiert werden:Levels of involvement might include:

  • Responsible – Verantwortlich für die Implementierung von Projektplan und ErgebnisResponsible for implementing project plan and outcome

  • Accountable – Rechenschaftspflichtig. Genehmigt Projektplan und ErgebnisApproval of project plan and outcome

  • Consulted – Konsultiert. Wird zu Projektplan und Ergebnis befragtContributor to project plan and outcome

  • Informed – Zu informieren. Wird über Projektplan und Ergebnis informiertInformed of project plan and outcome

Bewährte Methoden für einen PilotversuchBest practices for a pilot

Bei einem Pilotversuch können Sie eine Funktion mit einer kleinen Gruppe testen, bevor Sie die Funktion für alle Benutzer aktivieren.A pilot allows you to test with a small group before turning a capability on for everyone. Sorgen Sie im Rahmen Ihrer Tests dafür, dass die einzelnen Anwendungsfälle in Ihrer Organisation sorgfältig getestet werden.Ensure that as part of your testing, each use case within your organization is thoroughly tested. Es empfiehlt sich, eine bestimmte Gruppe von Pilotbenutzern als Zielgruppe auszuwählen, bevor Sie die Funktion in der gesamten Organisation einführen.It’s best to target a specific group of pilot users before rolling this out to your organization as a whole.

Zielen Sie in der ersten Phase auf IT und Benutzerfreundlichkeit ab, und wählen Sie zum Testen andere geeignete Benutzer aus, die Feedback bereitstellen können.In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. Anhand dieses Feedbacks sollten Sie die Kommunikation mit Ihren Benutzern und die entsprechenden Anweisungen weiterentwickeln. Außerdem erhalten Sie Erkenntnisse über die Art von Problemen, mit denen Ihr Supportpersonal möglicherweise konfrontiert ist.This feedback should be used to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

Die Erweiterung des Rollouts auf größere Benutzergruppen sollte durch eine Ausweitung der Zielgruppen vorgenommen werden.Widening the rollout to larger groups of users should be carried out by increasing the scope of the group(s) targeted. Dies kann über eine dynamische Gruppenmitgliedschaft oder durch manuelles Hinzufügen von Benutzern zu den Zielgruppen erfolgen.This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

Bereitstellen der AuthentifizierungDeploy authentication

FunktionCapability BESCHREIBUNGDescription
Multi-Factor AuthenticationMulti-Factor Authentication Azure Multi-Factor Authentication (MFA) ist die Lösung von Microsoft für die zweistufige Überprüfung.Azure Multi-Factor Authentication (MFA) is Microsoft's two-step verification solution. Mit vom Administrator genehmigten Authentifizierungsmethoden trägt Azure MFA zum Schutz des Zugriffs auf Ihre Daten und Anwendungen bei, während gleichzeitig das Ziel eines einfachen Anmeldevorgangs erreicht wird.Using admin-approved authentication methods, Azure MFA helps safeguard access to your data and applications while meeting the demand for a simple sign-in process.
Bedingter ZugriffConditional Access Mit dem bedingten Zugriff können Sie basierend auf bestimmten Bedingungen automatisierte Entscheidungen hinsichtlich der Zugriffssteuerung für den Zugriff auf Ihre Cloud-Apps implementieren.With Conditional Access, you can implement automated access control decisions for who can access your cloud apps, based on conditions.
Self-Service-KennwortzurücksetzungSelf-service password reset Mit der Self-Service-Kennwortzurücksetzung können Ihre Benutzer jederzeit ihr Kennwort zurücksetzen, ohne dass ein Administrator eingreifen muss.Self-service password reset helps your users reset their passwords without administrator intervention, when and where they need to.
KennwortlosPasswordless Implementieren Sie kennwortlose Authentifizierung mit der Microsoft Authenticator-App oder mit FIDO2-Sicherheitsschlüsseln in Ihrer Organisation.Implement passwordless authentication using the the Microsoft Authenticator app or FIDO2 Security keys in your organization

Bereitstellen der AnwendungsverwaltungDeploy application management

FunktionCapability BESCHREIBUNGDescription
Einmaliges AnmeldenSingle sign-on Einmaliges Anmelden ermöglicht Ihren Benutzern mit nur einer Anmeldung den Zugriff auf sämtliche Apps und Ressourcen, die sie für ihre Geschäftsaktivitäten benötigen.Single sign-on helps your users access the apps and resources they need to do business while signing in only once. Nachdem sie sich angemeldet haben, können sie von Microsoft Office zu Salesforce, zu Box und zu internen Anwendungen wechseln, ohne ihre Anmeldeinformationen ein zweites Mal eingeben zu müssen.After they've signed in, they can go from Microsoft Office to SalesForce to Box to internal applications without being required to enter credentials a second time.
ZugriffsbereichAccess panel Stellen Sie für Ihre Benutzer einen einfachen zentralen Ort zur Verfügung, über den diese alle Anwendungen ermitteln und darauf zugreifen können.Offer your users a simple hub to discover and access all their applications. Steigern Sie ihre Produktivität mit Self-Service-Funktionen wie dem Anfordern des Zugriffs auf Apps und Gruppen oder dem Verwalten des Zugriffs auf Ressourcen im Namen von anderen Personen.Enable them to be more productive with self-service capabilities, like requesting access to apps and groups, or managing access to resources on behalf of others.

Bereitstellen von HybridszenarienDeploy hybrid scenarios

FunktionCapability BESCHREIBUNGDescription
Verteiltes Azure-Dateisystem (ADFS) für KennworthashsynchronisierungADFS to Password Hash Sync Mit der Kennworthashsynchronisierung werden Hashes von Benutzerkennwörtern aus dem lokalen Active Directory mit Azure AD synchronisiert, sodass Azure AD Benutzer ohne Interaktion mit dem lokalen Active Directory authentifizieren kann.With Password Hash Synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD, letting Azure AD authenticate users with no interaction with the on-premises Active Directory
Verteiltes Azure-Dateisystem (ADFS) für Passthrough-AuthentifizierungADFS to Pass Through Authentication Mit der Azure AD-Pass-Through-Authentifizierung können sich Benutzer mit denselben Kennwörtern sowohl bei lokalen als auch bei cloudbasierten Anwendungen anmelden.Azure AD Pass-through Authentication helps your users sign in to both on-premises and cloud-based applications using the same passwords. Diese Funktion stellt den Benutzern eine benutzerfreundlichere Oberfläche zur Verfügung, da ein Kennwort wegfällt, und sie reduziert die Kosten des IT-Helpdesks, da Benutzer seltener vergessen, wie sie sich anmelden.This feature provides users with a better experience - one less password to remember - and reduces IT helpdesk costs because users are less likely to forget how to sign in. Wenn Benutzer sich mithilfe von Azure AD anmelden, überprüft dieses Feature die Benutzerkennwörter direkt anhand Ihres lokalen Active Directory.When people sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.
Azure AD-AnwendungsproxyAzure AD Application Proxy Heutzutage möchten Mitarbeiter an jedem Ort, zu jeder Zeit und mit jedem Gerät produktiv arbeiten können.Employees today want to be productive at any place, at any time, and from any device. Sie müssen auf SaaS-Apps in der Cloud und lokal auf Unternehmensanwendungen zugreifen.They need to access SaaS apps in the cloud and corporate apps on-premises. Der Azure AD-Anwendungsproxy ermöglicht diesen stabilen Zugriff ohne kostspielige und komplexe virtuelle private Netzwerke (VPNs) oder demilitarisierte Zonen (DMZs).Azure AD Application proxy enables this robust access without costly and complex virtual private networks (VPNs) or demilitarized zones (DMZs).
Nahtloses einmaliges AnmeldenSeamless SSO Die nahtlose einmalige Anmeldung mit Azure Active Directory (nahtlose SSO mit Azure AD) meldet Benutzer automatisch auf ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Mit diesem Feature müssen Benutzer zur Anmeldung bei Azure AD kein Kennwort und in der Regel nicht einmal einen Benutzernamen eingeben.With this feature, users won't need to type in their passwords to sign in to Azure AD and usually won't need to enter their usernames. Dieses Feature ermöglicht autorisierten Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass zusätzliche lokale Komponenten erforderlich sind.This feature provides authorized users with easy access to your cloud-based applications without needing any additional on-premises components.

Bereitstellen der BenutzerbereitstellungDeploy user provisioning

FunktionCapability BESCHREIBUNGDescription
BenutzerbereitstellungUser provisioning Mit Azure AD können Sie die Erstellung, Wartung und Entfernung von Benutzeridentitäten in Cloudanwendungen (SaaS) wie Dropbox, Salesforce, ServiceNow usw. automatisieren.Azure AD helps you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications, such as Dropbox, Salesforce, ServiceNow, and more.
Workday-driven Inbound User Provisioning (Workday-gesteuerte eingehende Benutzerbereitstellung)Workday-driven Inbound User Provisioning Bei der Workday-gesteuerten eingehenden Benutzerbereitstellung für Active Directory wird die Grundlage für eine fortlaufende Identitätsgovernance geschaffen und die Qualität von Geschäftsprozessen verbessert, die auf autoritativen Identitätsdaten basieren.Workday-driven Inbound User Provisioning to Active Directory creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data. Mit diesem Feature können Sie den Identitätslebenszyklus von Mitarbeitern und Zeitarbeitern nahtlos verwalten, indem Sie Regeln konfigurieren, mit denen Mitarbeiterprozesse (z. B. Neueinstellung, Kündigung, Wechsel) IT-Bereitstellungsaktionen (z. B. Erstellen, Aktivieren, Deaktivieren) zugeordnet werden.Using this feature, you can seamlessly manage the identity lifecycle of employees and contingent workers by configuring rules that map Joiner-Mover-Leaver processes (such as New Hire, Terminate, Transfer) to IT provisioning actions (such as Create, Enable, Disable)

Bereitstellen von Governance und BerichterstellungDeploy governance and reporting

FunktionCapability BESCHREIBUNGDescription
Privileged Identity ManagementPrivileged Identity Management Azure AD Privileged Identity Management (PIM) dient zur Verwaltung von privilegierten Administratorrollen in Azure AD, Azure-Ressourcen und anderen Microsoft-Onlinediensten.Azure AD Privileged Identity Management (PIM) helps you manage privileged administrative roles across Azure AD, Azure resources, and other Microsoft Online Services. PIM bietet Lösungen wie Just-In-Time-Zugriff, Workflows für die Anforderungsgenehmigung und vollständig integrierte Zugriffsüberprüfungen, damit Sie schädliche Aktivitäten von privilegierten Rollen in Echtzeit identifizieren, aufdecken und verhindern können.PIM provides solutions like just-in-time access, request approval workflows, and fully integrated access reviews so you can identify, uncover, and prevent malicious activities of privileged roles in real time.
Berichterstellung und ÜberwachungReporting and Monitoring Der Entwurf Ihrer Azure AD-Lösung für die Berichterstellung und Überwachung hängt von gesetzlichen, betrieblichen und sicherheitstechnischen Anforderungen sowie von vorhandenen Umgebungen und Prozessen ab.The design of your Azure AD reporting and monitoring solution depends on your legal, security, and operational requirements as well as your existing environment and processes. In diesem Artikel werden die unterschiedlichen Entwurfsoptionen vorgestellt. Zudem dient er als Richtlinie zur Ausarbeitung der geeigneten Bereitstellungsstrategie.This article presents the various design options and guides you to the right deployment strategy.