Was ist Azure Active Directory?

Azure Active Directory (Azure AD) ist ein cloudbasierter Dienst zur Identitäts- und Zugriffsverwaltung. Mit diesem Dienst können Ihre Mitarbeiter*innen auf externe Ressourcen wie Microsoft 365, das Azure-Portal oder Tausende andere SaaS-Anwendungen zugreifen. Azure Active Directory unterstützt sie auch beim Zugreifen auf interne Ressourcen wie Apps im Intranet Ihres Unternehmens sowie selbst entwickelte Cloud-Apps Ihrer Organisation. Weitere Informationen zum Erstellen eines Mandanten für Ihre Organisation finden Sie unter Schnellstart: Erstellen eines neuen Mandanten in Azure Active Directory.

Informationen zu den Unterschieden zwischen Active Directory und Azure Active Directory finden Sie unter Vergleich zwischen Active Directory und Azure Active Directory. Anhand der Poster aus der Reihe Microsoft Cloud für Enterprise-Architekten können Sie sich auch mit den zentralen Identitätsdiensten in Azure wie Azure AD und Microsoft 365 vertraut machen.

Azure AD-Zielgruppe

Azure AD ist für folgende Benutzer konzipiert:

  • IT-Administrator*innen: Als IT-Administrator*in können Sie mit Azure AD den Zugriff auf Ihre Apps und App-Ressourcen basierend auf den Anforderungen Ihres Unternehmens steuern. So können Sie mit Azure AD beispielsweise beim Zugriff auf wichtige Organisationsressourcen eine mehrstufige Authentifizierung erzwingen. Darüber hinaus können Sie mit Azure AD die Benutzerbereitstellung zwischen Ihrer vorhandenen Windows Server AD-Instanz und Ihren Cloud-Apps (einschließlich Microsoft 365) automatisieren. Azure AD bietet außerdem leistungsfähige Tools zum automatischen Schutz von Benutzeridentitäten und Anmeldeinformationen, um Ihre Anforderungen in puncto Zugriffssteuerung zu erfüllen. Registrieren Sie sich für eine kostenlose 30-tägige Azure Active Directory Premium-Testversion, um die Lösung kennenzulernen.

  • App-Entwickler*innen: Als App-Entwickler*in können Sie Azure AD als standardisierten Ansatz zum Hinzufügen des einmaligen Anmeldens (SSO) zu Ihrer App verwenden, damit diese mit den bereits vorhandenen Anmeldeinformationen eines Benutzers arbeiten kann. Azure AD stellt außerdem APIs bereit, die Sie bei der Entwicklung personalisierter App-Umgebungen unter Verwendung vorhandener Organisationsdaten unterstützen. Registrieren Sie sich für eine kostenlose 30-tägige Azure Active Directory Premium-Testversion, um die Lösung kennenzulernen. Weitere Informationen finden Sie auch unter Azure Active Directory für Entwickler.

  • Abonnent*innen von Microsoft 365, Office 365, Azure oder Dynamics CRM Online: Als Abonnent*in verwenden Sie bereits Azure AD. Jeder Mandant von Microsoft 365, Office 365, Azure oder Dynamics CRM Online ist automatisch auch ein Azure AD-Mandant. Sie können sofort mit der Verwaltung des Zugriffs auf Ihre integrierten Cloud-Apps beginnen.

Was sind Azure AD-Lizenzen?

Microsoft Online-Unternehmensdienste wie Microsoft 365 oder Microsoft Azure erfordern Azure AD für Anmeldeaktivitäten und zum Schutz von Identitäten. Wenn Sie einen Microsoft Online-Unternehmensdienst abonnieren, erhalten Sie automatisch Azure AD und damit Zugriff auf alle kostenlosen Features.

Zur Erweiterung Ihrer Azure AD-Implementierung können Sie auch kostenpflichtige Funktionen hinzufügen, indem Sie auf Azure Active Directory-Lizenzen vom Typ „Premium P1“ oder „Premium P2“ upgraden. Die kostenpflichtigen Azure AD-Lizenzen ergänzen Ihr kostenloses Verzeichnis. Die Lizenzen bieten Self-Service, erweiterte Überwachung, Sicherheitsberichte und sicheren Zugriff für Ihre mobilen Benutzer*innen.

Hinweis

Informationen zu den Preisoptionen für diese Lizenzen finden Sie unter Azure Active Directory – Preise.

Azure Active Directory Premium P1 und Premium P2 werden derzeit in China nicht unterstützt. Weitere Informationen zu den Preisen von Azure AD erhalten Sie im Azure Active Directory-Forum.

  • Azure Active Directory Free: Bietet Benutzer- und Gruppenverwaltung, lokale Verzeichnissynchronisierung, einfache Berichte, Self-Service-Kennwortänderung für Cloudbenutzer sowie einmaliges Anmelden für Azure, Microsoft 365 und zahlreiche beliebte SaaS-Apps.

  • Azure Active Directory Premium P1: P1 bietet zusätzlich zu den Features des Free-Tarifs Hybridbenutzerzugriff auf lokale und cloudbasierte Ressourcen. P1 unterstützt außerdem eine erweiterte Verwaltung – etwa durch dynamische Gruppen, Self-Service-Gruppenverwaltung, Microsoft Identity Manager und Cloudfunktionen zum Rückschreiben, die die Self-Service-Kennwortzurücksetzung für Ihre lokalen Benutzer*innen ermöglichen.

  • Azure Active Directory Premium P2: P2 bietet zusätzlich zu den Features des Free- und des P1-Tarifs auch Azure Active Directory Identity Protection, um risikobasierten bedingten Zugriff auf Ihre Apps und kritischen Unternehmensdaten zu ermöglichen, sowie Privileged Identity Management, um Administratoren und deren Zugriff auf Ressourcen zu ermitteln, einzuschränken und zu überwachen und bei Bedarf Just-In-Time-Zugriff bereitzustellen.

  • Featurelizenzen mit nutzungsbasierter Bezahlung: Es sind auch zusätzliche Featurelizenzen verfügbar (beispielsweise Azure Active Directory B2C). B2C kann Ihnen dabei helfen, Identitäts- und Zugriffsverwaltungslösungen für Ihre kundenorientierten Apps bereitzustellen. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C.

Weitere Informationen zum Zuordnen eines Azure-Abonnements zu Azure AD finden Sie unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Azure Active Directory. Weitere Informationen zum Zuweisen von Lizenzen zu Ihren Benutzer*innen finden Sie unter Vorgehensweise: Zuweisen oder Entfernen von Azure Active Directory-Lizenzen.

Welche Features können in Azure AD verwendet werden?

Nachdem Sie Ihre Azure AD-Lizenz gewählt haben, erhalten Sie Zugriff auf einige oder alle der folgenden Features für Ihre Organisation:

Category BESCHREIBUNG
Anwendungsverwaltung Verwalten Sie Ihre Cloud- und lokalen Apps mithilfe von Anwendungsproxy, einmaligem Anmelden, dem „Meine Apps“-Portal und SaaS-Apps (Software-as-a-Service). Weitere Informationen finden Sie unter Bereitstellen von sicherem Remotezugriff auf lokale Anwendungen sowie in der Dokumentation zur Anwendungsverwaltung.
Authentifizierung Verwalten Sie die Self-Service-Kennwortzurücksetzung von Azure Active Directory, die Multi-Factor Authentication, eine benutzerdefinierte Liste gesperrter Kennwörter und Smart Lockout. Weitere Informationen finden Sie in der Dokumentation zur Azure AD-Authentifizierung.
Azure Active Directory für Entwickler Erstellen Sie Apps, die alle Microsoft-Identitäten anmelden, und rufen Sie Token zum Aufrufen von Microsoft Graph, anderen Microsoft-APIs oder benutzerdefinierten APIs ab. Weitere Informationen finden Sie unter Microsoft Identity Platform (Azure Active Directory für Entwickler).
Business-to-Business (B2B) Verwalten Sie Ihre Gastbenutzer und externen Partner, ohne die Kontrolle über Ihre eigenen Unternehmensdaten aufzugeben. Weitere Informationen finden Sie in der Dokumentation zu Azure Active Directory B2B.
Business-to-Consumer (B2C) Steuern Sie die Registrierung, Anmeldung und Profilverwaltung der Benutzer, die Ihre App verwenden. Weitere Informationen finden Sie in der Dokumentation für Azure Active Directory B2C.
Bedingter Zugriff Verwalten Sie den Zugriff auf Ihre Cloud-Apps. Weitere Informationen finden Sie in der Dokumentation zum bedingten Zugriff mit Azure AD.
Geräteverwaltung Verwalten Sie den Zugriff auf Ihre Unternehmensdaten durch cloudbasierte oder lokale Geräte. Weitere Informationen finden Sie in der Dokumentation zur Azure AD-Geräteverwaltung.
Domänendienste Binden Sie virtuelle Azure-Computer ganz ohne Domänencontroller in eine Domäne ein. Weitere Informationen finden Sie in der Dokumentation zu Azure AD Domain Services.
Unternehmensbenutzer Verwalten Sie die Lizenzzuweisung sowie den Zugriff auf Apps, und richten Sie mithilfe von Gruppen und Administratorrollen Delegaten ein. Weitere Informationen finden Sie in der Dokumentation zur Azure Active Directory-Benutzerverwaltung.
Hybrididentität Verwenden Sie Azure Active Directory Connect und Connect Health, um eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung gegenüber allen Ressourcen bereitzustellen – ganz gleich, ob es sich dabei um Cloudressourcen oder um lokale Ressourcen handelt. Weitere Informationen finden Sie in der Dokumentation zur Hybrid-Identität.
Identitätsgovernance Verwalten Sie die Identität Ihrer Organisation über Zugriffssteuerungen für Mitarbeiter, Geschäftspartner, Anbieter, Dienste und Apps. Sie können auch Zugriffsüberprüfungen durchführen. Weitere Informationen finden Sie unter Was ist Azure AD Identity Governance? sowie unter Azure AD-Zugriffsüberprüfungen.
Schutz der Identität (Identity Protection) Erkennen Sie potenzielle Sicherheitsrisiken für die Identitäten Ihrer Organisation, konfigurieren Sie Richtlinien, um auf verdächtige Aktivitäten zu reagieren, und ergreifen Sie geeignete Gegenmaßnahmen. Weitere Informationen finden Sie unter Azure AD Identity Protection.
Verwaltete Identitäten für Azure-Ressourcen Stellen Sie für Ihre Azure-Dienste eine automatisch verwaltete Identität in Azure AD bereit, die jeden von Azure AD unterstützten Authentifizierungsdienst authentifizieren kann (einschließlich Key Vault). Weitere Informationen finden Sie im unter Was sind verwaltete Identitäten für Azure-Ressourcen?.
Privileged Identity Management (PIM) Verwalten, steuern und überwachen Sie den Zugriff innerhalb Ihrer Organisation. Dieses Feature umfasst den Zugriff auf Ressourcen in Azure AD und Azure sowie auf andere Microsoft Online Services wie Microsoft 365 oder Intune. Weitere Informationen finden Sie unter Was ist Azure AD Privileged Identity Management?.
Berichte und Überwachung Gewinnen Sie Erkenntnisse zur Sicherheit und zu Verwendungsmustern in Ihrer Umgebung. Weitere Informationen finden Sie unter Azure Active Directory-Berichte und -Überwachung.

Begriff

Zum besseren Verständnis von Azure AD und der dazugehörigen Dokumentation sollten Sie sich mit den folgenden Begriffen vertraut machen:

Begriff oder Konzept BESCHREIBUNG
Identity Etwas, das authentifiziert werden kann. Eine Identität kann ein Benutzer mit Benutzername und Kennwort sein. Zu Identitäten gehören auch Anwendungen oder andere Server, die eine Authentifizierung durch geheime Schlüssel oder Zertifikate erfordern können.
Konto Eine Identität, der Daten zugeordnet sind. Sie können kein Konto ohne eine Identität nutzen.
Azure AD-Konto Eine über Azure AD oder einen anderen Microsoft-Clouddienst (beispielsweise Microsoft 365) erstellte Identität. Identitäten werden in Azure AD gespeichert und sind für die Clouddienstabonnements Ihrer Organisation zugänglich. Dieses Konto wird manchmal auch als Geschäfts-, Schul- oder Unikonto bezeichnet.
Kontoadministrator Diese klassische Abonnementadministratorrolle ist konzeptionell der Abrechnungsbesitzer eines Abonnements. Mit dieser Rolle können Sie alle Abonnements in einem Konto verwalten. Weitere Informationen finden Sie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.
Dienstadministrator Diese klassische Abonnementadministratorrolle ermöglicht die Verwaltung sämtlicher Azure-Ressourcen (einschließlich Zugriff). Sie hat den gleichen Zugriff wie ein Benutzer, dem für den Abonnementbereich die Rolle „Besitzer“ zugewiesen ist. Weitere Informationen finden Sie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.
Besitzer Diese Rolle hilft Ihnen bei der Verwaltung aller Azure-Ressourcen (einschließlich Zugriff). Sie basiert auf einem neueren Autorisierungssystem namens „rollenbasierte Zugriffssteuerung in Azure“ (Azure Role-Based Access Control, Azure RBAC), das eine präzise Zugriffsverwaltung für Azure-Ressourcen ermöglicht. Weitere Informationen finden Sie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.
Globaler Azure AD-Administrator Diese Administratorrolle wird automatisch dem Ersteller des Azure AD-Mandanten zugewiesen. Es können mehrere globale Administratoren vorhanden sein, aber nur globale Administratoren können Benutzern Administratorrollen zuweisen (einschließlich der globalen Administratorrolle). Weitere Informationen zu den unterschiedlichen Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.
Azure-Abonnement Dient zur Bezahlung für Azure-Clouddienste. Sie können über mehrere Abonnements verfügen, und die Abonnements sind mit einer Kreditkarte verknüpft.
Azure-Mandant Eine dedizierte und vertrauenswürdige Instanz von Azure AD. Der Mandant wird automatisch erstellt, wenn sich Ihre Organisation für das Abonnement eines Microsoft-Clouddiensts registriert. Diese Abonnements umfassen Microsoft Azure, Microsoft Intune oder Microsoft 365. Ein Azure-Mandant stellt eine einzelne Organisation dar.
Einzelner Mandant Azure-Mandanten, die auf andere Dienste in einer dedizierten Umgebung zugreifen, werden als einzelne Mandanten betrachtet.
Mehrinstanzenfähig Azure-Mandanten, die auf andere Dienste in einer gemeinsam genutzten Umgebung mit mehreren Organisationen zugreifen, werden als mehrinstanzenfähig betrachtet.
Azure AD-Verzeichnis Jeder Azure-Mandant verfügt über ein dediziertes und vertrauenswürdiges Azure AD-Verzeichnis. Das Azure AD-Verzeichnis umfasst die Benutzer, Gruppen und Apps des Mandanten und dient zum Ausführen von Identitäts- und Zugriffsverwaltungsfunktionen für Mandantenressourcen.
Benutzerdefinierte Domäne Jede neue Azure Active Directory-Instanz enthält einen anfänglichen Domänennamen, z. B. domainname.onmicrosoft.com. Zusätzlich zu diesem anfänglichen Namen können Sie auch die Domänennamen Ihrer Organisation hinzufügen. Zu den Domänennamen Ihrer Organisation gehören die Namen, die Sie für Ihre Geschäfte verwenden und die Ihre Benutzer*innen für den Zugriff auf die Ressourcen Ihrer Organisation verwenden. Durch Hinzufügen benutzerdefinierter Domänennamen können Sie Benutzernamen erstellen, mit denen Ihre Benutzer vertraut sind (beispielsweise alain@contoso.com).
Microsoft-Konto (auch MSA genannt) Persönliche Konten, mit denen Sie auf Ihre kundenorientierten Microsoft-Produkte und Clouddienste zugreifen können. Zu diesen Produkten und Diensten gehören Outlook, OneDrive, Xbox Live oder Microsoft 365. Ihr Microsoft-Konto wird im von Microsoft betriebenen Microsoft-Kontosystem für Endbenutzeridentitäten erstellt und gespeichert.

Nächste Schritte