(0) exportieren Drucken
Alle erweitern

Was ist ein Azure AD-Mandant?

Veröffentlicht: Juli 2012

Letzte Aktualisierung: Oktober 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema stellt Onlinehilfeinhalte für Cloud-Dienste zur Verfügung, z. B. für Windows Intune und Office 365, die Microsoft Azure Active Directory für Identitäts- und Verzeichnisdienste verwenden.

In der physischen Arbeitswelt kann das Wort Mandant (englisch "tenant" = "Mieter") als eine Gruppe oder ein Unternehmen definiert werden, die bzw. das in einem Gebäude angesiedelt ist. Ihre Organisation kann z. B. Büroräume in einem Gebäude nutzen. Dieses Gebäude kann sich in einer Straße mit mehreren anderen Organisationen befinden. Ihre Organisation wäre dann ein Mieter (Mandant) in diesem Gebäude. Dieses Gebäude ist ein Anlagegut Ihrer Organisation, bietet Sicherheit und gewährleistet, dass Sie Ihre Geschäfte auf sichere Weise betreiben können. Außerdem ist es von anderen Unternehmen in Ihrer Straße getrennt. Dies stellt sicher, dass Ihre Organisation und entsprechenden Anlagegüter von anderen Organisationen isoliert sind.

Für cloud-aktivierte Arbeitsplätze kann ein Mandant als ein Client oder eine Organisation definiert werden, der bzw. die eine bestimmte Instanz dieses Cloud-Diensts besitzt und verwaltet. Durch die von Microsoft Azure bereitgestellte Identitätsplattform ist ein Mandant einfach eine dedizierte Instanz von Azure Active Directory (Azure AD), die Ihre Organisation erhält und besitzt, wenn sie sich für einen Microsoft Cloud Service wie etwa Azure oder Office 365 registriert.

Jedes Azure AD-Verzeichnis ist eindeutig und getrennt von anderen Azure AD-Verzeichnissen. Analog zu einem Bürogebäude, das ein sicherer Ort ausschließlich für Ihre Organisation ist, ist ein Azure AD-Verzeichnis ebenfalls als sicherer Ort konzipiert, der nur von Ihrer Organisation genutzt wird. Die Azure AD-Architektur isoliert Kundendaten und Identitätsinformationen und verhindert deren Vermischung. Dies bedeutet, dass Benutzer und Administratoren eines Azure AD-Verzeichnisses nicht versehentlich oder böswillig auf Daten in einem anderen Verzeichnis zugreifen können.

Azure AD-Mandant

Sie erhalten ein Azure AD-Verzeichnis, wenn Sie sich für einen Microsoft Cloud Service registrieren. Bei Bedarf können Sie weitere Verzeichnisse erstellen. Sie können z. B. Ihr erstes Verzeichnis als Produktionsverzeichnis verwalten und dann ein anderes Verzeichnis für Testzwecke oder Staging erstellen.

noteHinweis
Nachdem Sie sich für den ersten Dienst registriert haben, wird empfohlen, das gleiche Administratorkonto zu verwenden, das Ihrer Organisation zugeordnet ist, wenn Sie sich für andere Microsoft Cloud Services registrieren. Weitere Informationen zu Benutzer-IDs finden Sie unter Wie lautet meine Benutzer-ID und warum benötige ich diese?.

Wenn Sie sich erstmals für einen ein Microsoft Cloud-Dienst wie etwa Azure, Microsoft Office 365 oder Windows Intune registrieren, werden Sie aufgefordert, Details zu Ihrer Organisation und der Internet-Domänennamenregistrierung Ihrer Organisation bereitzustellen. Diese Informationen werden anschließend zum Erstellen einer neuen Azure AD-Verzeichnisinstanz für Ihre Organisation verwendet. Das gleiche Verzeichnis wird zum Authentifizieren von Anmeldeversuchen verwendet, wenn Sie mehrere Microsoft Cloud-Dienste abonnieren.

Die zusätzlichen Dienste nutzen alle vorhandenen Benutzerkonten, Richtlinien, Einstellungen oder lokalen Verzeichnisintegrationsfunktionen, die Sie konfigurieren, in vollem Umfang, um die Effizienz zwischen der lokalen Identitätsinfrastruktur und Azure AD zu verbessern.

Wenn Sie sich z. B. ursprünglich für ein Windows Intune-Abonnement registriert und die Schritte ausgeführt haben, die für die weitere Integration Ihres lokalen Active Directorys in das Azure AD-Verzeichnis erforderlich sind, indem Sie Verzeichnissynchronisierung und/oder Server für einmaliges Anmelden bereitgestellt haben, können Sie sich für einen anderen Microsoft Cloud Service wie z. B. Office 365 registrieren, der ebenfalls die gleichen Verzeichnisintegrationsvorteile nutzen kann, die Sie bereits mit Windows Intune verwenden.

Weitere Informationen zum Integrieren Ihres lokalen Verzeichnisses in Windows Azure AD finden Sie unter Verzeichnisintegration.

Sie können ein neues Azure-Abonnement dem gleichen Verzeichnis zuordnen, das die Anmeldung für ein vorhandenes Office 365- oder Windows Intune-Abonnement authentifiziert. Melden Sie sich unter Verwendung Ihres Organisationskontos am Azure-Verwaltungsportal an. Das Azure-Verwaltungsportal gibt eine Meldung zurück, dass kein Abonnement für das betreffende Konto gefunden wurde. Wählen Sie Für Azure registrieren aus, und Ihr Verzeichnis ist für die Verwaltung im Azure-Verwaltungsportal verfügbar. Weitere Informationen finden Sie unter Verwalten des Verzeichnisses für Ihr Office 365-Abonnement in Azure.

Konto zuordnen 2

Ein Video zu häufigen Fragen hinsichtlich der Verwendung von Azure AD finden Sie unter Azure Active Directory - Häufig gestellte Fragen zur Registrierung, Anmeldung und Verwendung.

Wenn Sie noch nicht über ein Abonnement für einen Microsoft Cloud Service verfügen, verwenden Sie einen der Links unten, um sich zu registrieren. Durch Ihre erste Registrierung für den ersten Dienst wird automatisch ein Azure AD-Verzeichnis erstellt.

Sie können ein Azure AD-Verzeichnis im Azure-Verwaltungsportal hinzufügen. Wählen Sie auf der linken Seite die Active Directory-Erweiterung aus, und klicken Sie dann auf Hinzufügen.

Sie können jedes Verzeichnis als vollständig unabhängige Ressource verwalten: Jedes Verzeichnis ist gleichberechtigt, mit allen Funktionen ausgestattet und logisch unabhängig von anderen Verzeichnissen, die Sie verwalten. Zwischen den Verzeichnissen besteht keine Beziehung mit über- und untergeordneten Elementen. Diese Unabhängigkeit zwischen den Verzeichnissen beinhaltet Ressourcenunabhängigkeit, Verwaltungsunabhängigkeit und Synchronisierungsunabhängigkeit.

  • Ressourcenunabhängigkeit: Wenn Sie eine Ressource in einem Verzeichnis erstellen oder löschen, besitzt dies keine Auswirkungen auf Ressourcen in einem anderen Verzeichnis. Eine teilweise Ausnahme bilden externe Benutzer, die weiter unten beschrieben werden. Wenn Sie eine benutzerdefinierte Domäne contoso.com in einem Verzeichnis verwenden, kann diese nicht in einem anderen Verzeichnis verwendet werden.

  • Verwaltungsunabhängigkeit: Wenn eine Benutzer ohne Administratorrechte des Verzeichnisses Contoso ein Testverzeichnis Test erstellt, geschieht Folgendes:

    • Der Benutzer, der ein Verzeichnis erstellt, wird standardmäßig als externer Benutzer in diesem neuen Verzeichnis hinzugefügt, und ihm wird die globale Administratorrolle in diesem Verzeichnis zugewiesen.

    • Die Administratoren des Verzeichnisses Contoso besitzen nur dann direkte Administratorberechtigungen für das Verzeichnis Test, wenn ein Administrator von Test ihnen diese Berechtigungen ausdrücklich erteilt. Administratoren von Contoso können den Zugriff auf das Verzeichnis Test durch ihre Steuerung des Benutzerkontos steuern, das Test erstellt hat.

    Wenn Sie eine Administratorrolle für einen Benutzer in einem Verzeichnis ändern (hinzufügen oder entfernen), wirkt sich die Änderung nicht auf Administratorrollen aus, die der Benutzer ggf. in einem anderen Verzeichnis ausübt.

  • Synchronisierungsunabhängigkeit: Sie können jedes Azure AD unabhängig voneinander dafür konfigurieren, Daten von einer einzelnen Instanz einer der folgenden Optionen synchronisieren zu lassen:

    • Mit dem Verzeichnissynchronisierungstool, um Daten mit einer einzelnen AD-Gesamtstruktur zu synchronisieren.

    • Mit Azure Active Directory Connector für Forefront Identity Manager, um Daten mit mindestens einer lokalen Gesamtstruktur und/oder Nicht-AD-Datenquellen zu synchronisieren.

Beachten Sie außerdem, dass Ihre Verzeichnisse im Gegensatz zu anderen Azure-Ressourcen keine untergeordneten Ressourcen eines Azure-Abonnements sind. Wenn Sie also Ihr Azure-Abonnement kündigen oder das Abonnement abläuft, können Sie weiterhin mithilfe von Azure PowerShell, der Azure Graph-API oder anderen Schnittstellen (z. B. mit Office 365 Admin Center) auf Ihre Verzeichnisdaten zugreifen. Sie können dem Verzeichnis auch ein anderes Abonnement zuweisen.

Ein globaler Administrator kann ein Azure AD-Verzeichnis aus dem Azure-Verwaltungsportal löschen. Wenn ein Verzeichnis gelöscht wird, werden alle darin enthaltenen Ressourcen ebenfalls gelöscht. Sie sollten sich also sicher sein, dass Sie das Verzeichnis nicht mehr benötigen, bevor Sie es löschen.

noteHinweis
Wenn der Benutzer mit einem Organisationskonto angemeldet ist, darf der Benutzer nicht versuchen, sein Basisverzeichnis zu löschen. Wenn der Benutzer z. B. mit dem Organisationskonto joe@contoso.onmicrosoft.com angemeldet ist, darf der Benutzer das Verzeichnis nicht löschen, das contoso.onmicrosoft.com als seine Standarddomäne verwendet.

Azure AD erfordert, dass bestimmte Bedingungen erfüllt sein müssen, damit ein Verzeichnis gelöscht werden kann. Auf diese Weise wird das Risiko verringert, dass das Löschen eines Verzeichnisses negative Auswirkungen auf Benutzer oder Anwendungen besitzt, z. B. auf die Möglichkeit, sich bei Office 365 anzumelden oder auf Ressourcen in Azure zuzugreifen. Die folgenden Bedingungen werden überprüft:

  • Der einzige Benutzer im Verzeichnis ist der globale Administrator, der das Verzeichnis löschen wird. Alle anderen Benutzer müssen gelöscht werden, bevor das Verzeichnis gelöscht werden kann. Wenn die Synchronisierung von Benutzern lokal erfolgt, muss die Synchronisierung deaktiviert werden, und die Benutzer müssen im Cloud-Verzeichnis mithilfe des Verwaltungsportals oder des Azure-Moduls für Windows PowerShell gelöscht werden. Für das Löschen von Gruppen und Kontakten (z. B. von Kontakten, die aus Office 365 Admin Center hinzugefügt wurden), gelten keine Anforderungen.

  • Im Verzeichnis dürfen keine Anwendungen vorhanden sein. Alle Anwendungen müssen gelöscht werden, bevor das Verzeichnis gelöscht werden kann. Hinweis: Es ist nicht möglich, ein Verzeichnis zu löschen, wenn eine Anwendung aus dem Azure AD-Anwendungskatalog hinzugefügt wurde. Dies gilt selbst dann, wenn die Anwendung anschließend gelöscht wird. Wir arbeiten daran, dass diese Einschränkung entfällt.

  • Dem Verzeichnis dürfen keine Abonnements für Microsoft Online Services (z. B. Microsoft Azure, Office 365 oder Azure AD Premium) zugeordnet sein. Wenn z. B. ein Standardverzeichnis für Sie in Azure erstellt wurde, können Sie dieses Verzeichnis nicht löschen, wenn Ihr Azure-Abonnement dieses Verzeichnis noch für die Authentifizierung verwendet.

  • Mit dem Verzeichnis dürfen keine Anbieter für mehrstufige Authentifizierung verknüpft sein.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft