Benutzer erstellen und verwalten

  • 8 Minuten

Jeder Benutzer benötigt für den Zugriff auf Azure-Ressourcen ein Azure-Benutzerkonto. Ihr Benutzerkonto enthält alle Informationen, die erforderlich sind, um Sie während der Anmeldung zu authentifizieren. Nach der Authentifizierung erstellt Microsoft Entra ID ein Zugriffstoken, mit dem Sie autorisiert werden. Zudem wird bestimmt, auf welche Ressourcen Sie zugreifen und welche Aktionen Sie damit ausführen können.

Wenn Sie mit Benutzerobjekten arbeiten möchten, verwenden Sie im Azure-Portal das Dashboard Microsoft Entra ID. Beachten Sie, dass Sie jeweils nur mit einem einzelnen Verzeichnis arbeiten können. Über den Bereich Verzeichnis + Abonnement können Sie das Verzeichnis jedoch jederzeit wechseln. Zudem verfügt das Dashboard in der Symbolleiste über die Schaltfläche Mandanten verwalten, mit der Sie auf einfache Weise alle Ihre Verzeichnisse anzeigen und zu einem anderen verfügbaren Verzeichnis wechseln können.

Anzeigen von Benutzern

Wenn Sie die Microsoft Entra-Benutzer*innen anzeigen möchten, klicken Sie im linken Menübereich unter Verwalten auf Benutzer. Der Bereich Alle Benutzer wird angezeigt. Beachten Sie die Spalten Benutzertyp und Identitäten im folgenden Screenshot:

Screenshot that depicts the All users pane, with the User type and Identities columns noted.

In der Regel definiert Microsoft Entra ID Benutzer*innen auf drei Arten:

  • Cloudidentitäten: Diese Benutzer*innen sind nur in Microsoft Entra ID vorhanden. Dabei kann es sich z. B. um Administratorkonten oder von Ihnen selbst verwaltete Benutzer handeln. Ihre Quelle ist Microsoft Entra ID oder eine externe Microsoft Entra ID-Instanz, wenn die Benutzer*innen in einer anderen Microsoft Entra-Instanz definiert sind, aber Zugriff auf Abonnementressourcen benötigen, die von diesem Verzeichnis gesteuert werden. Diese Konten werden gelöscht, wenn sie aus dem primären Verzeichnis entfernt werden.

  • Mit dem Verzeichnis synchronisierte Identitäten: Diese Benutzer*innen sind in einem lokalen Active Directory vorhanden. Diese Benutzer*innen gelangen über eine Synchronisierung mit Microsoft Entra Connect in Azure. Ihre Quelle lautet Windows Server AD.

  • Gastbenutzer: Diese Benutzer*innen sind außerhalb von Azure vorhanden. Dabei kann es sich z. B. um Konten anderer Cloudanbieter oder um Microsoft-Konten wie Xbox Live handeln. Ihre Quelle lautet Eingeladener Benutzer. Diese Art von Konto eignet sich für externe Anbieter oder Auftragnehmer, die Zugriff auf Ihre Azure-Ressourcen benötigen. Sobald deren Mitwirkung nicht mehr erforderlich ist, können Sie das Konto und den gesamten Zugriff entfernen.

Hinzufügen von Benutzern

Cloudidentitäten können in Microsoft Entra ID auf verschiedene Weise hinzugefügt werden:

  • Über die Synchronisierung mit einer lokalen Windows Server Active Directory-Instanz
  • Verwenden des Azure-Portals
  • Verwenden der Befehlszeile
  • Weitere Optionen

Synchronisieren einer lokalen Windows Server Active Directory-Instanz

Mit dem separaten Dienst Microsoft Entra Connect können Sie ein herkömmliches Active Directory mit Ihrer Microsoft Entra-Instanz synchronisieren. Auf diese Weise fügen die meisten Unternehmenskunden dem Verzeichnis Benutzer hinzu. Der Vorteil dieser Methode besteht darin, dass Benutzer über das einmalige Anmelden (Single Sign-On, SSO) Zugriff auf lokale und cloudbasierte Ressourcen erhalten.

Über das Azure-Portal

Im Azure-Portal können Sie neue Benutzer manuell hinzufügen. Wenn Sie eine kleine Gruppe von Benutzern hinzufügen möchten, ist dies die einfachste Möglichkeit. Für diese Aufgabe ist die Rolle Benutzeradministrator erforderlich.

  1. Zum Hinzufügen neuer Benutzer*innen über das Azure-Portal müssen Sie auf der oberen Menüleiste Neuer Benutzer und dann Neuen Benutzer erstellen auswählen.

    Screenshot showing the New User button highlighted in the Microsoft Entra admin center.

  2. Neben dem Namen und dem Benutzernamen können Sie auf der Registerkarte Eigenschaften auch Profilinformationen wie Position und Abteilung hinzufügen.

    Screenshot showing the New user dialog.

    Als Standardverhalten wird ein neuer Benutzer in der Organisation erstellt. Der Benutzer erhält einen Benutzernamen, der den Standarddomänennamen und das zugewiesene Verzeichnis enthält, wie z. B. alice@staracoustics.onmicrosoft.com.

  3. Sie können einen Benutzer auch in das Verzeichnis einladen. In diesem Fall wird eine E-Mail an eine bekannte E-Mail-Adresse gesendet. Wird die Einladung durch die Benutzer*innen angenommen, wird ein Konto erstellt und mit dieser E-Mail-Adresse verknüpft.

    Screenshot showing the invite screen.

    Ist die entsprechende E-Mail-Adresse noch keinem Microsoft-Konto zugeordnet, muss der eingeladene Benutzer oder die eingeladene Benutzerin ein zugeordnetes Microsoft-Konto (MSA) erstellen. Anschließend wird das Konto in Microsoft Entra ID als Gastbenutzer hinzugefügt.

Über die Befehlszeile

Wenn Sie viele Benutzer hinzufügen möchten, ist die Verwendung eines Befehlszeilentools die bessere Option. Sie können den PowerShell-Befehl New-MgUser ausführen, um cloudbasierte Benutzer hinzuzufügen.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Mit dem Befehl wird das neue Benutzerobjekt zurückgegeben, das Sie erstellt haben:

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Wenn Sie eine Befehlszeilenschnittstelle bevorzugen, die mehr dem Standard entspricht, können Sie die Azure CLI verwenden:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Befehlszeilentools ermöglichen über die Skripterstellung das Hinzufügen von Benutzern in einem Massenvorgang. Die gängigste Methode hierfür ist die Verwendung einer CSV-Datei. Diese können Sie entweder manuell erstellen oder aus einer vorhandenen Datenquelle exportieren.

Beachten Sie bei der Verwendung von CSV-Dateien bitte Folgendes:

  • Namenskonvention: Richten Sie eine Namenskonvention für Benutzernamen, Anzeigenamen und Aliase ein, oder implementieren Sie diese. Ein Benutzername kann beispielsweise aus dem Nachnamen gefolgt von einem Punkt (.) gefolgt vom Vornamen bestehen, wie in Smith.John@contoso.com.

  • Kennwörter: Implementieren Sie eine Konvention für das anfängliche Kennwort neu erstellter Benutzer*innen. Legen Sie fest, auf welchem Weg mit erhöhter Sicherheit neue Benutzer ihr Kennwort erhalten sollen. Eine gängige Methode hierfür ist das Generieren eines Zufallskennworts, das per E-Mail an den neuen Benutzer oder seinen Vorgesetzten gesendet wird.

Gehen Sie folgendermaßen vor, um eine CSV-Datei mit Azure PowerShell zu verwenden:

  1. Führen Sie den Befehl Connect-MgGraph aus, um eine PowerShell-Verbindung mit Ihrem Verzeichnis zu erstellen. Stellen Sie eine Verbindung mit einem Administratorkonto her, das über Berechtigungen für Ihr Verzeichnis verfügt.

  2. Erstellen Sie für die neuen Benutzer neue Kennwortprofile. Die Kennwörter für die neuen Benutzer*innen müssen den Komplexitätsregeln für Kennwörter entsprechen, die Sie für Ihr Verzeichnis festgelegt haben.

  3. Importieren Sie mit Import-CSV die CSV-Datei. Geben Sie dabei den Pfad und Dateinamen der CSV-Datei an.

  4. Durchlaufen Sie jeden Benutzer in der Datei, und erstellen Sie dabei die für den jeweiligen Benutzer erforderlichen Benutzerparameter. Mögliche Parameter sind beispielsweise Benutzerprinzipalname, Anzeigename, Vorname, Abteilung oder Position.

  5. Führen Sie den Befehl New-MgUser aus, um die einzelnen Benutzer zu erstellen. Vergewissern Sie sich, dass jedes Konto aktiviert wurde.

Weitere Optionen

Sie können Benutzer*innen auch programmgesteuert mithilfe der Microsoft Graph-API zu Microsoft Entra ID hinzufügen. Wenn Sie dasselbe Verzeichnis verwenden, ist dies auch über das Microsoft 365 Admin Center und die Microsoft Intune-Verwaltungskonsole möglich.