Grundlagen von Microsoft Entra

Microsoft Entra ID stellt eine Identitäts- und Zugriffsgrenze für Azure-Ressourcen und vertrauenswürdige Anwendungen bereit. Die meisten Anforderungen an die Trennung von Umgebungen können mithilfe der delegierten Verwaltung in einem einzigen Microsoft Entra-Mandanten erfüllt werden. Diese Konfiguration reduziert den Verwaltungsaufwand für Ihre Systeme. Einige bestimmte Fälle wie z. B. die vollständige Ressourcen- und Identitätsisolation erfordern jedoch mehrere Mandanten.

Bestimmen Sie Ihre Architektur zur Umgebungstrennung basierend auf Ihren Anforderungen. Folgende Bereiche sind dabei zu beachten:

• Ressourcentrennung. Wenn eine Ressource Verzeichnisobjekte wie Benutzerobjekte ändern kann und eine solche Änderung andere Ressourcen beeinträchtigen würde, muss die Ressource möglicherweise in einer mehrinstanzenfähigen Architektur isoliert werden.

• Konfigurationstrennung. Mandantenweite Konfigurationen wirken sich auf alle Ressourcen aus. Die Auswirkungen einiger mandantenweiter Konfigurationen können mit Richtlinien für bedingten Zugriff und anderen Methoden auf einen Bereich festgelegt werden. Wenn Sie verschiedene Mandantenkonfigurationen benötigen, die nicht mit Richtlinien für bedingten Zugriff auf einen Geltungsbereich festgelegt werden können, benötigen Sie möglicherweise eine mandantenfähige Architektur.

• Administrative Trennung. Sie können die Verwaltung von Verwaltungsgruppen, Abonnements, Ressourcengruppen, Ressourcen und einigen Richtlinien innerhalb eines einzelnen Mandanten delegieren. Ein globaler Administrator hat innerhalb des Mandanten immer Zugriff auf alles. Wenn Sie sicherstellen müssen, dass die Administrierenden der Umgebung nicht auch für eine andere Umgebung zuständig sind, benötigen Sie eine mehrinstanzenfähige Architektur.

Zum Gewährleisten der Sicherheit müssen Sie auf allen Mandanten bewährte Methoden für die Identitätsbereitstellung, Authentifizierungsverwaltung, Identitätsgovernance, Lebenszyklusverwaltung und Vorgänge konsistent befolgen.

Terminologie

Die folgenden Begriffe werden im Allgemeinen in Verbindung mit Microsoft Entra ID verwendet und sind für den Inhalt dieses Artikels relevant:

Microsoft Entra-Mandant. Hierbei handelt es sich um eine dedizierte und vertrauenswürdige Instanz von Microsoft Entra ID, die automatisch erstellt wird, wenn Ihre Organisation sich für ein Clouddienstabonnement von Microsoft registriert. Beispiele für Abonnements sind Microsoft Azure, Microsoft Intune oder Microsoft 365. Ein Microsoft Entra-Mandant stellt in der Regel eine einzelne Organisation oder Sicherheitsgrenze dar. Der Microsoft Entra-Mandant umfasst die Benutzer, Gruppen, Geräte und Anwendungen, die zum Ausführen der Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) für Mandantenressourcen verwendet werden.

Umgebung. Im Kontext dieses Artikels ist eine Umgebung eine Sammlung von Azure-Abonnements, Azure-Ressourcen und Anwendungen, die einem oder mehreren Microsoft Entra-Mandanten zugeordnet sind. Der Microsoft Entra-Mandant stellt die Identitätssteuerungsebene zum Steuern des Zugriffs auf diese Ressourcen bereit.

Produktionsumgebung. Im Kontext dieses Artikels ist eine Produktionsumgebung die Liveumgebung mit der Infrastruktur und den Diensten, mit denen Endbenutzer direkt interagieren, z. B. eine Unternehmens- oder Kundenumgebung.

Nichtproduktionsumgebung. Im Kontext dieses Artikels bezieht sich der Begriff „Nichtproduktionsumgebung“ auf eine Umgebung, die für Folgendes verwendet wird:

• Entwicklung

• Testen

• Laborzwecke

Nichtproduktionsumgebungen werden häufig als Sandboxumgebungen bezeichnet.

Identität: Eine Identität ist ein Verzeichnisobjekt, das authentifiziert und für den Zugriff auf eine Ressource autorisiert werden kann. Es gibt Identitätsobjekte für menschliche Identitäten und nichtmenschliche Identitäten. Zu nichtmenschlichen Entitäten zählt Folgendes:

• Anwendungsobjekte

• Workloadidentitäten (früher als Dienstprinzipale bezeichnet)

• Verwaltete Identitäten

• Geräte

Menschliche Identitäten sind Benutzerobjekte, die im Allgemeinen Personen in einer Organisation darstellen. Diese Identitäten werden entweder direkt in Microsoft Entra ID erstellt und verwaltet oder von einer lokales Active Directory mit Microsoft Entra ID für eine bestimmte organization synchronisiert. Diese Identitätstypen werden als lokale Identitäten bezeichnet. Es können auch Benutzerobjekte von einer Partnerorganisation oder einem Social Identity Provider über Microsoft Entra B2B Collaboration eingeladen werden. In diesem Artikel werden diese Identitätstypen als externe Identitäten bezeichnet.

Nicht menschliche Identitäten sind alle Identitäten, die keinem Menschen zugeordnet sind. Bei diesem Identitätstyp handelt es sich um ein Objekt, z. B. eine Anwendung, die zur Ausführung eine Identität erfordert. In diesem Artikel wird dieser Identitätstyp als Workloadidentität bezeichnet. Für diesen Identitätstyp werden verschiedene Begriffe verwendet, z. B. Anwendungsobjekt und Dienstprinzipal.

• Anwendungsobjekt. Eine Microsoft Entra-Anwendung wird durch ihr Anwendungsobjekt definiert. Das Objekt befindet sich im Microsoft Entra-Mandanten, bei dem die Anwendung registriert ist. Der Mandant wird als Basismandant der Anwendung bezeichnet.

  • Einzelinstanzanwendungen werden erstellt, um nur Identitäten aus dem Basismandanten zu autorisieren.

  • Mehrinstanzenfähige Anwendungen ermöglichen die Authentifizierung von Identitäten aus jedem Microsoft Entra-Mandanten.

• Dienstprinzipalobjekt. Anwendungsobjekte können, obwohl es Ausnahmen gibt, als die Definition einer Anwendung betrachtet werden. Dienstprinzipalobjekte können als eine Instanz einer Anwendung angesehen werden. Dienstprinzipale verweisen in der Regel auf ein Anwendungsobjekt, und ein Anwendungsobjekt wird verzeichnisübergreifend von mehreren Dienstprinzipalen referenziert.

Dienstprinzipalobjekte sind zudem Verzeichnisidentitäten, die Aufgaben unabhängig von Benutzereingriffen ausführen können. Der Dienstprinzipal definiert die Zugriffsrichtlinie und Berechtigungen für einen Benutzer oder eine Anwendung im Microsoft Entra-Mandanten. Dieser Mechanismus aktiviert Kernfunktionen wie die Authentifizierung des Benutzers oder der Anwendung während der Anmeldung und die Autorisierung beim Zugriff auf Ressourcen.

Microsoft Entra ID ermöglicht Anwendungs- und Dienstprinzipalobjekten die Authentifizierung mit einem Kennwort (auch als Anwendungsgeheimnis bezeichnet) oder einem Zertifikat. Von der Verwendung von Kennwörtern für Dienstprinzipale wird abgeraten. Wir empfehlen, nach Möglichkeit immer ein Zertifikat zu verwenden.

• Verwaltete Identitäten für Azure-Ressourcen Verwaltete Identitäten sind besondere Dienstprinzipale in Microsoft Entra ID. Dieser Dienstprinzipaltyp ermöglicht die Authentifizierung bei Diensten, die die Microsoft Entra-Authentifizierung unterstützen, ohne Anmeldeinformationen in Ihrem Code speichern oder Geheimnisse verwalten zu müssen. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

• Geräteidentität: Eine Geräteidentität überprüft, ob für das im Authentifizierungsfluss verwendete Gerät durch einen entsprechenden Prozess nachgewiesen wurde, dass es legitim ist und die technischen Anforderungen erfüllt. Sobald das Gerät diesen Prozess erfolgreich abgeschlossen hat, kann die zugehörige Identität zur weiteren Kontrolle des Zugriffs auf die Ressourcen einer Organisation verwendet werden. Mit Microsoft Entra-ID können sich Geräte mit einem Zertifikat authentifizieren.

Einige Legacy-Szenarien erforderten eine menschliche Identität, um in nichtmenschlichen Szenarien verwendet zu werden. Dies war beispielsweise der Fall, wenn in lokalen Anwendungen wie Skripts oder Batchaufträgen verwendete Dienstkonten Zugriff auf Microsoft Entra ID benötigten. Dieses Muster wird nicht empfohlen. Verwenden Sie nach Möglichkeit immer Zertifikate. Wenn Sie jedoch eine menschliche Identität mit Kennwort für die Authentifizierung verwenden, schützen Sie Ihre Microsoft Entra-Konten mit Microsoft Entra mehrstufiger Authentifizierung.

Hybrididentität. Eine Hybrididentität ist eine Identität, die lokale Umgebungen und Cloudumgebungen umfasst. Hybrid bietet den Vorteil, dass die gleiche Identität für den Zugriff auf lokale und Cloud-Ressourcen verwendet werden kann. In diesem Szenario ist die Autoritätsquelle in der Regel ein lokales Verzeichnis, und der Identitätslebenszyklus rund um die Bereitstellung, das Aufheben der Bereitstellung und die Ressourcenzuweisung wird ebenfalls lokal gesteuert. Weitere Informationen finden Sie in der Dokumentation zur Hybrid-Identität.

Verzeichnisobjekte. Ein Microsoft Entra-Mandant enthält die folgenden allgemeinen Objekte:

• Benutzerobjekte repräsentieren menschliche Identitäten und nichtmenschliche Identitäten für Dienste, die derzeit keine Dienstprinzipale unterstützen. Benutzerobjekte enthalten Attribute mit den erforderlichen Informationen zum Benutzer. Dazu zählen persönliche Details, Gruppenmitgliedschaften, Geräte und Rollen, die dem Benutzer zugewiesen sind.

• Geräteobjekte stellen Geräte dar, die einem Microsoft Entra-Mandanten zugeordnet sind. Geräteobjekte enthalten Attribute mit den erforderlichen Informationen zum Gerät. Zu diesen Objekten gehören das Betriebssystem, die zugehörige benutzende Person, der Konformitätsstatus und die Art der Zuordnung zum Microsoft Entra-Mandanten. Abhängig von der Art der Interaktion und der Vertrauensebene des Geräts sind verschiedene Formen dieser Zuordnung möglich.

  • In eine Hybriddomäne eingebunden. Geräte, die sich im Besitz der Organisation befinden und sowohl mit dem lokalen Active Directory als auch mit Microsoft Entra ID eingebunden sind. In der Regel sind dies von einer Organisation erworbene und verwaltete Geräte, die von System Center Configuration Manager verwaltet werden.

  • Microsoft Entra-Domäne beigetreten. Hierbei handelt es sich um Geräte im Besitz der Organisation, die in den Microsoft Entra-Mandanten der Organisation eingebunden sind. In der Regel sind dies von einer Organisation erworbene und verwaltete Geräte, die in Microsoft Entra ID eingebunden sind und von einem Dienst wie Microsoft Intune verwaltet werden.

  • Microsoft Entra-registriert. Hierbei handelt es sich um Geräte, die nicht im Besitz der Organisation sind, z. B. ein persönliches Gerät, das zum Zugriff auf Unternehmensressourcen verwendet wird. Organisationen können verlangen, dass das Gerät über Mobile Device Management (MDM) registriert wird, oder durch Mobile Application Management (MAM) ohne Registrierung den Zugriff auf Ressourcen erzwingen. Diese Funktionalität kann von einem Dienst wie Microsoft Intune bereitgestellt werden.

• Gruppenobjekte enthalten Objekte zum Zuweisen des Ressourcenzugriffs, Anwenden von Kontrollen oder Konfigurationen. Gruppenobjekte enthalten Attribute mit den erforderlichen Informationen zur Gruppe. Dazu zählen der Name, die Beschreibung, die Gruppenmitglieder und Gruppenbesitzer sowie der Gruppentyp. Gruppen in Microsoft Entra ID können je nach den Anforderungen einer Organisation verschiedene Formen annehmen. Diese Anforderungen können mit Microsoft Entra ID erfüllt oder mit den lokalen Active Directory Domain Services (AD DS) synchronisiert werden.

  • Zugewiesene Gruppen. In zugewiesenen Gruppen werden Benutzende manuell der Gruppe hinzugefügt oder aus ihr entfernt, aus einer lokalen AD DS-Instanz synchronisiert oder im Rahmen eines automatisierten Workflows per Skript aktualisiert. Eine zugewiesene Gruppe kann über eine lokale AD DS-Instanz synchronisiert oder in Microsoft Entra ID verwaltet werden.

  • Gruppen mit dynamischer Mitgliedschaft. Bei Gruppen mit dynamischer Mitgliedschaft werden Benutzende der Gruppe automatisch basierend auf definierten Attributen zugewiesen. In diesem Szenario kann die Gruppenmitgliedschaft auf Grundlage von Daten, die in den Benutzerobjekten gespeichert sind, dynamisch aktualisiert werden. Eine Gruppe mit dynamischer Mitgliedschaft kann nur in Microsoft Entra ID gehostet werden.

Microsoft-Konto (MSA). Sie können Azure-Abonnements und -Mandanten mithilfe von Microsoft-Konten (MSA) erstellen. Ein Microsoft-Konto ist ein persönliches Konto (im Gegensatz zu einem Organisationskonto) und wird häufig von Entwicklern und in Testszenarien verwendet. Das persönliche Konto wird, sofern es verwendet wird, in einem Microsoft Entra-Mandanten immer als Gast festgelegt.

Microsoft Entra Funktionsbereiche

Microsoft Entra ID stellt die im Folgenden beschriebenen Funktionsbereiche bereit, die für isolierte Umgebungen relevant sind. Weitere Informationen zu den Funktionen von Microsoft Entra ID finden Sie unter Was ist Microsoft Entra ID?.

Authentifizierung

Authentifizierung. Microsoft Entra ID bietet Unterstützung für Authentifizierungsprotokolle, die mit offenen Standards wie Open ID Connect, OAuth und SAML konform sind. Microsoft Entra ID stellt außerdem Funktionen bereit, mit denen Organisationen einen Verbund mit vorhandenen lokalen Identitätsanbietern wie Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) einrichten können, um den Zugriff auf in Microsoft Entra integrierte Anwendungen zu authentifizieren.

Microsoft Entra ID bietet branchenweit führende sichere Authentifizierungsoptionen, mit denen Organisationen den Zugriff auf Ressourcen absichern können. Die Multi-Faktor-Authentifizierung, Geräteauthentifizierung und Funktionen zur kennwortlosen Authentifizierung von Microsoft Entra ermöglichen Organisationen die Bereitstellung sicherer Authentifizierungsoptionen, die den Anforderungen ihrer Mitarbeitenden entsprechen.

Einmaliges Anmelden (Single Sign-On, SSO). Beim einmaligen Anmelden melden sich Benutzer nur einmal mit einem Konto an, um auf alle Ressourcen zuzugreifen, die dem Verzeichnis vertrauen, z. B. in die Domäne eingebundene Geräte, Unternehmensressourcen, Software-as-a-Service-Anwendungen (SaaS) und alle in Microsoft Entra integrierte Anwendungen. Weitere Informationen finden Sie unter Einmaliges Anmelden bei Anwendungen in Microsoft Entra ID.

Autorisierung

Zuweisung des Ressourcenzugriffs. Microsoft Entra ID ermöglicht und sichert den Zugriff auf Ressourcen. Zum Zuweisen des Zugriffs auf eine Ressource in Microsoft Entra ID stehen zwei Möglichkeiten zur Auswahl:

• Benutzerzuweisung: Dem Benutzer wird der Zugriff auf die Ressource direkt zugewiesen, und die entsprechende Rolle oder Berechtigung wird dem Benutzer zugewiesen.

• Gruppenzuweisung: Eine Gruppe mit mindestens einem Benutzer wird der Ressource zugewiesen, und die entsprechende Rolle oder Berechtigung wird der Gruppe zugewiesen.

Anwendungszugriffsrichtlinien. Microsoft Entra ID bietet Funktionen, mit denen der Zugriff auf die Anwendungen Ihrer Organisation präziser gesteuert und gesichert werden kann.

Bedingter Zugriff. Microsoft Entra-Richtlinien für bedingten Zugriff sind Tools, mit denen der Benutzer- und Gerätekontext in den Autorisierungsablauf beim Zugriff auf Microsoft Entra-Ressourcen einbezogen werden kann. Organisationen sollten die Verwendung von Richtlinien für bedingten Zugriff erwägen, um die Authentifizierung basierend auf dem Benutzer-, Risiko-, Geräte- und Netzwerkkontext zuzulassen, zu verweigern oder zu verbessern. Weitere Informationen finden Sie in der Dokumentation zum bedingten Zugriff mit Microsoft Entra.

Microsoft Entra ID Protection. Mit diesem Feature können Organisationen die Erkennung und Behebung identitätsbasierter Risiken automatisieren, Risiken untersuchen und Daten zur Risikoerkennung zur weiteren Analyse in Hilfsprogramme von Drittanbietern exportieren. Weitere Informationen finden Sie unter Übersicht: Microsoft Entra ID Protection.

Verwaltung

Identitätsverwaltung. Microsoft Entra ID bietet Tools zum Verwalten des Lebenszyklus von Benutzer-, Gruppen- und Geräteidentitäten. Microsoft Entra Connect ermöglicht es Organisationen, die aktuelle lokale Identitätsverwaltungslösung auf die Cloud zu erweitern. Microsoft Entra Connect verwaltet die Bereitstellung, Aufhebung der Bereitstellung und Aktualisierung dieser Identitäten in Microsoft Entra ID.

Microsoft Entra ID bietet außerdem ein Portal und die Microsoft Graph-API (Application Programming Interface, Anwendungsprogrammierschnittstelle), um Organisationen die Verwaltung von Identitäten oder die Integration der Microsoft Entra-Identitätsverwaltung in vorhandene Workflows oder Automatisierungen zu ermöglichen. Weitere Informationen zu Microsoft Graph finden Sie unter Verwenden der Microsoft Graph-API.

Geräteverwaltung. Microsoft Entra ID wird zum Verwalten des Lebenszyklus und der Integration in cloudbasierte und lokale Geräteverwaltungsinfrastrukturen verwendet. Der Dienst wird zudem zum Definieren von Richtlinien verwendet, die den Zugriff auf Ihre Organisationsdaten über Cloudgeräte oder lokale Geräte steuern. Microsoft Entra ID stellt die Lebenszyklusdienste für Geräte im Verzeichnis und die Bereitstellung von Anmeldeinformationen bereit, die für die Authentifizierung erforderlich sind. Zudem verwaltet Azure AD ein Schlüsselattribut eines Geräts im System – die Vertrauensebene. Dieses Detail ist beim Entwerfen einer Ressourcenzugriffsrichtlinie entscheidend. Weitere Informationen finden Sie in der Dokumentation zur Microsoft Entra-Geräteverwaltung.

Konfigurationsverwaltung. Microsoft Entra ID verfügt über Dienstelemente, die konfiguriert und verwaltet werden müssen, um sicherzustellen, dass der Dienst entsprechend den Anforderungen einer Organisation konfiguriert ist. Zu diesen Elementen zählen die Domänenverwaltung, die SSO-Konfiguration und die Anwendungsverwaltung. Microsoft Entra ID bietet ein Portal und die Microsoft Graph-API, um Organisationen die Verwaltung dieser Elemente oder die Integration in vorhandene Prozesse zu ermöglichen. Weitere Informationen zu Microsoft Graph finden Sie unter Verwenden der Microsoft Graph-API.

Governance

Identitätslebenszyklus. Microsoft Entra ID bietet Funktionen zum Erstellen, Abrufen, Löschen und Aktualisieren von Identitäten im Verzeichnis, einschließlich externer Identitäten. Microsoft Entra ID stellt zudem Dienste zum Automatisieren des Identitätslebenszyklus bereit, um sicherzustellen, dass dieser im Einklang mit den Anforderungen Ihrer Organisation verwaltet wird. Sie können beispielsweise Zugriffsüberprüfungen verwenden, um externe Benutzende zu entfernen, die sich über einen bestimmten Zeitraum nicht angemeldet haben.

Berichterstellung und Analyse. Ein wichtiger Aspekt der Identitätsgovernance ist die Transparenz von Benutzeraktionen. Microsoft Entra ID bietet Erkenntnisse zu den Sicherheits- und Nutzungsmustern Ihrer Umgebung. Zu diesen Erkenntnissen zählen detaillierte Informationen zu Folgendem:

• Auf was Ihre Benutzer zugreifen

• Von wo sie darauf zugreifen

• Welche Geräte sie verwenden

• Welche Anwendungen sie für den Zugriff verwenden

Microsoft Entra ID enthält auch Informationen zu den Aktionen, die in Microsoft Entra ID ausgeführt werden, und meldet Sicherheitsrisiken. Weitere Informationen finden Sie unter Microsoft Entra-Berichte und -Überwachung.

Überwachung: Die Überwachung ermöglicht anhand von Protokollen die Nachverfolgung sämtlicher Änderungen, die von bestimmten Features in Microsoft Entra ID vorgenommen werden. Zu den in Überwachungsprotokollen aufgezeichneten Aktivitäten zählen u. a. Änderungen an Ressourcen in Microsoft Entra ID, etwa das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien. Mithilfe der Berichterstellung in Microsoft Entra ID können Sie Anmeldeaktivitäten, Risikoanmeldungen und Benutzer mit Risikokennzeichnung überwachen. Weitere Informationen finden Sie unter Überwachungsaktivitätsberichte im Azure-Portal.

Zugriffszertifizierung. Die Zugriffszertifizierung ist der Prozess, durch den nachgewiesen wird, dass ein Benutzer zu einem bestimmten Zeitpunkt zum Zugriff auf eine Ressource berechtigt ist. Durch Microsoft Entra-Zugriffsüberprüfungen werden die Mitgliedschaften von Gruppen oder Anwendungen kontinuierlich überprüft. Sie liefern Erkenntnisse, mit deren Hilfe Sie feststellen können, ob der Zugriff erforderlich ist oder aufgehoben werden sollte. Anhand dieser Informationen können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten, um sicherzustellen, dass nur die richtigen Personen ständigen Zugriff haben. Weitere Informationen finden Sie unter Was sind Microsoft Entra-Zugriffsüberprüfungen?

Privilegierter Zugriff. Microsoft Entra Privileged Identity Management (PIM) bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken in Verbindung mit zu hohen, unnötigen oder missbräuchlich verwendeten Zugriffsberechtigungen für Azure-Ressourcen zu mindern. PIM reduziert die Zeit, in der Berechtigungen verfügbar gemacht werden, um privilegierte Konten zu schützen, und bietet Ihnen anhand von Berichten und Warnungen einen besseren Einblick in die Verwendung dieser Berechtigungen.

Self-Service-Verwaltung

Registrierung von Anmeldeinformationen. Microsoft Entra ID bietet Funktionen zum Verwalten aller Aspekte des Benutzeridentitätslebenszyklus und Self-Service-Funktionen, mit denen die Arbeitslast des Helpdesks einer Organisation verringert werden kann.

Gruppenverwaltung. Microsoft Entra ID bietet Funktionen, mit denen Benutzende die Mitgliedschaft in einer Gruppe für den Zugriff auf Ressourcen beantragen können. Verwenden Sie die Microsoft Entra-ID, um Gruppen zu erstellen, die zum Sichern von Ressourcen oder zur Zusammenarbeit verwendet werden können. Daher können Organisationen geeignete Kontrollmechanismen einsetzen, die sie zur Steuerung dieser Funktionalitäten eingerichtet haben.

Kundenidentitäts- und Kundenzugriffsverwaltung (IAM)

Azure AD B2C. Azure AD B2C ist ein Dienst, der in einem Azure-Abonnement aktiviert werden kann, um Identitäten für Verbraucher für die kundenorientierten Anwendungen Ihrer Organisation bereitzustellen. Dies ist eine separates „Identitätsangebot“, und diese Benutzenden werden daher nicht im Microsoft Entra-Mandanten der Organisation angezeigt. Azure AD B2C wird von Administratoren im Mandanten verwaltet, der dem Azure-Abonnement zugeordnet ist.

Nächste Schritte

• Einführung in die delegierte Verwaltung und isolierte Umgebungen

• Grundlagen der Azure-Ressourcenverwaltung

• Ressourcenisolation in einem einzelnen Mandanten

• Ressourcenisolation mit mehreren Mandanten

• bewährten Methoden