Was ist ein Azure AD-Verzeichnis?

Aktualisiert: 6. Juli 2015

Gilt für: Azure, Office 365, Windows Intune

In diesem Thema werden wichtige Konzepte und Aufgaben erläutert, die sich auf das Verwalten von Azure AD-Verzeichnissen beziehen. Es enthält die folgenden Abschnitte:

• Was ist Azure AD-Mandant?

• Erhalten eines Azure AD-Verzeichnisses

  • Ordnen Sie ein Azure AD-Verzeichnis einem neuen Azure-Abonnement zu

  • Erstellen eines Azure AD-Verzeichnisses durch Registrieren für einen Dienst als eine Organisation

  • Ein Standardverzeichnis mit Azure-Bereitstellung verwalten

• Hinzufügen und Verwalten mehrerer Azure AD-Verzeichnisse

• Löschen eines Azure AD-Verzeichnisses

  • Bedingungen, für das Löschen eines Azure AD-Verzeichnisses erfüllt sein müssen

Was ist Azure AD-Mandant?

In der physischen Arbeitswelt kann der Wort-Mandant als Gruppe oder Firma definiert werden, die in einem Gebäude angesiedelt sind. Ihre Organisation kann z. B. Büroräume in einem Gebäude besitzen. Dieses Gebäude kann sich auf einer Straße mit mehreren anderen Organisationen befinden. Ihr Unternehmen wird somit als Mandant dieses Gebäudes betrachtet. Dieses Gebäude ist ein Anlagegut Ihrer Organisation, bietet Sicherheit und sorgt dafür, dass Sie Ihre Geschäfte zuverlässig durchführen können. Es ist auch von anderen Unternehmen in Ihrer Straße getrennt. Dadurch wird sichergestellt, dass Ihre Organisation und die darin befindlichen Bestände von anderen Organisationen isoliert sind.

An einem cloudaktivierten Arbeitsplatz kann ein Mandant als ein Client oder eine Organisation definiert werden, die eine bestimmte Instanz dieses Clouddienstes besitzt und verwaltet. Mit der von Microsoft Azure bereitgestellten Identitätsplattform ist ein Mandant einfach eine dedizierte Instanz von Azure Active Directory (Azure AD), die Ihre Organisation erhält und besitzt, wenn sie sich für einen Microsoft-Clouddienst wie Azure oder Office 365 registriert.

Jedes Azure AD-Verzeichnis ist eindeutig und von anderen Azure AD-Verzeichnissen getrennt. Genau so wie ein Bürogebäude, das ein sicherer Ort nur für Ihre Organisation ist, soll auch ein Azure AD-Verzeichnis ein sicheres Anlagegut nur für Ihre Organisation darstellen. Die Azure AD-Architektur isoliert Kundendaten und Identitätsinformationen und verhindert deren Vermischung. Dies bedeutet, dass Benutzer und Administratoren eines Azure AD-Verzeichnisses nicht versehentlich oder böswillig auf Daten in einem anderen Verzeichnis zugreifen können.

Erhalten eines Azure AD-Verzeichnisses

Sie erhalten ein Azure AD-Verzeichnis, wenn Sie sich für einen Microsoft Cloud Service registrieren. Sie können je nach Bedarf weitere Verzeichnisse erstellen. Beispielsweise können Sie Ihr erstes Verzeichnis als Produktionsverzeichnis verwalten und dann ein anderes Verzeichnis für Testzwecke oder Staging erstellen.

Wenn Sie sich zum ersten Mal für einen Microsoft-Clouddienst wie Azure, Microsoft Office 365 oder Microsoft Intune registrieren, werden Sie aufgefordert, Details zur Registrierung Ihrer Organisation und zur Registrierung des Internetdomänennamens Ihrer Organisation anzugeben. Diese Informationen werden dann zum Erstellen einer neuen Azure AD-Verzeichnisinstanz für Ihre Organisation verwendet. Das gleiche Verzeichnis wird zum Authentifizieren von Anmeldeversuchen verwendet, wenn Sie mehrere Clouddienste von Microsoft abonnieren.

Die zusätzlichen Dienste nutzen alle vorhandenen Benutzerkonten, Richtlinien, Einstellungen oder lokale Verzeichnisintegration, die Sie konfigurieren, um die Effizienz zwischen der Identitätsinfrastruktur Ihrer Organisation lokal und Azure AD zu verbessern.

Wenn Sie sich beispielsweise ursprünglich für ein Microsoft Intune-Abonnement registriert und die Schritte ausgeführt haben, die zur weiter gehenden Integration Ihrer lokalen Active Directory-Instanz in Azure AD Directory erforderlich sind (Bereitstellung der Verzeichnissynchronisierung bzw. von Servern für einmaliges Anmelden), können Sie sich für einen anderen Microsoft-Clouddienst registrieren, z.B. Office 365. So kommen Sie in den Genuss der gleichen Vorteile der Verzeichnisintegration, von denen Sie jetzt bereits mit Microsoft Intune profitieren.

Weitere Informationen zum Integrieren Ihres lokalen Verzeichnisses in Azure AD finden Sie unter Verzeichnisintegration.

Ordnen Sie ein Azure AD-Verzeichnis einem neuen Azure-Abonnement zu

Sie können ein neues Azure-Abonnement dem gleichen Verzeichnis zuordnen, das die Anmeldung für ein vorhandenes Office 365- oder Microsoft Intune-Abonnement authentifiziert. Melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto beim Azure-Verwaltungsportal an. Das Azure-Verwaltungsportal gibt eine Meldung zurück, dass kein Abonnement für das betreffende Konto gefunden wurde. Wählen Sie " Registrieren für Azure" aus, und Ihr Verzeichnis ist für die Verwaltung im Azure-Verwaltungsportal verfügbar. Erfahren Sie hier mehr über das Verwalten des Verzeichnisses für Ihr Office 365-Abonnement in Azure.

Ein Video über allgemeine Fragen zur Verwendung von Azure AD finden Sie unter Azure Active Directory – Allgemeines, Registrierung, Anmeldung und Verwendung.

Erstellen eines Azure AD-Verzeichnisses durch Registrieren für einen Dienst als eine Organisation

Wenn Sie noch nicht über ein Abonnement für einen Microsoft-Clouddienst verfügen, gehen Sie auf einen der untenstehenden Links, um sich zu registrieren. Wenn Sie sich für Ihren ersten Dienst registrieren, wird automatisch ein Azure AD-Verzeichnis erstellt.

• Azure - Registrieren Sie sich jetzt.

• Office 365 – Melden Sie sich jetzt an.

• - Microsoft Intune Sign up now.

Ein Standardverzeichnis mit Azure-Bereitstellung verwalten

Heute wird ein Verzeichnis automatisch erstellt, wenn Sie sich für Azure registrieren und Ihr Abonnement diesem Verzeichnis zugeordnet ist. Wenn Sie sich ursprünglich vor Oktober 2013 für Azure registriert haben, wurde ein Verzeichnis jedoch nicht automatisch erstellt. In diesem Fall hat Azure Ihr Konto möglicherweise "abgeglichen", indem ein Standardverzeichnis bereitgestellt wurde. Ihr Abonnement wurde dann diesem Standardverzeichnis zugeordnet.

Ein Abgleich der Verzeichnisse wurde im Oktober 2013 als Teil der generellen Verbesserung des Sicherheitsmodells für Azure durchgeführt. Dieser hilft, allen Azure-Kunden Identitätsfunktionen für die Organisation anzubieten und sicherzustellen, dass auf alle Azure-Ressourcen im Kontext eines Benutzers im Verzeichnis zugegriffen wird. Sie können Azure nicht ohne ein Verzeichnis verwenden. Um dies zu erreichen, musste für jeden Benutzer, der vor dem 7. Juli 2013 registriert wurde und über kein Verzeichnis verfügte, eines erstellt werden. Wenn Sie bereits ein Verzeichnis erstellt haben, wurde Ihr Abonnement diesem Verzeichnis zugeordnet.

Die Verwendung von Azure AD ist kostenlos. Das Verzeichnis ist eine kostenlose (free) Ressource. Es gibt eine zusätzliche Azure Active Directory Premium Stufe, die separat lizenziert ist und zusätzliche Features wie Unternehmensbranding und Self-Service-Kennwortzurücksetzung bereitstellt.

Wenn Sie den Anzeigenamen Ihres Verzeichnisses ändern möchten, klicken im Verwaltungsportal auf das Verzeichnis, und klicken Sie dann auf Konfigurieren. Wie weiter unten in diesem Thema beschrieben, können Sie ein neues Verzeichnis hinzufügen oder ein Verzeichnis löschen, das Sie nicht mehr benötigen. Wenn Sie Ihr Abonnement einem anderen Verzeichnis zuordnen möchten>, klicken Sie auf Einstellungen Subscriptions>Verzeichnis bearbeiten. Sie können auch eine benutzerdefinierte Domäne mit einem DNS-Namen erstellen, die Sie anstelle der standardmäßigen *.onmicrosoft.com-Domäne registriert haben. Dies ist mit einem Dienst wie SharePoint Online möglicherweise empfehlenswert.

Weitere Informationen zum Verwalten Ihres Verzeichnisses, Verwalten Ihres Azure AD-Verzeichnisses.

Hinzufügen und Verwalten mehrerer Azure AD-Verzeichnisse

Sie können ein Azure AD-Verzeichnis im Azure-Verwaltungsportal hinzufügen. Wählen Sie auf der linken Seite die Active Directory-Erweiterung aus, und klicken Sie dann auf Hinzufügen.

Sie können jedes Verzeichnis als vollständig unabhängige Ressource verwalten: Jedes Verzeichnis ist gleichberechtigt, voll funktionsfähig und logisch unabhängig von anderen Verzeichnissen, die Sie verwalten. Es ist keine unter- und übergeordnete Beziehung zwischen den Verzeichnissen vorhanden. Diese Unabhängigkeit zwischen den Verzeichnissen beinhaltet Ressourcen-, Verwaltungs- und Synchronisierungsunabhängigkeit.

• Ressourcenunabhängigkeit: Wenn Sie eine Ressource in einem Verzeichnis erstellen oder löschen, hat dies keine Auswirkungen auf Ressourcen in einem anderen Verzeichnis. Eine teilweise geltende Ausnahme bilden externe Benutzer, wie unten beschrieben. Wenn Sie eine benutzerdefinierte Domäne "contoso.com" in einem Verzeichnis verwenden, kann sie in keinem anderen Verzeichnis verwendet werden.

• Verwaltungsunabhängigkeit: Wenn ein Benutzer ohne Administratorrechte aus dem Verzeichnis "Contoso" ein Testverzeichnis "Test" erstellt, dann gibt es/geschieht Folgendes:

  • Standardmäßig wird der Benutzer, der ein Verzeichnis erstellt, als externer Benutzer in diesem neuen Verzeichnis hinzugefügt, und ihm wird ihm die globale Administratorrolle in diesem Verzeichnis zugewiesen.

  • Die Administratoren für das Verzeichnis „Contoso“ haben keine direkten Administratorberechtigungen für das Verzeichnis „Test“, sofern ihnen nicht ein Administrator dieses Verzeichnisses die Berechtigungen explizit erteilt. Die Administratoren von "Contoso" steuern den Zugriff auf das Verzeichnis "Test", da sie das Benutzerkonto steuern, mit dem dieses Verzeichnis erstellt wurde.

  Und wenn Sie eine Administratorrolle für einen Benutzer in einem Verzeichnis ändern (hinzufügen oder entfernen), hat die Änderung keine Auswirkungen auf Administratorrollen, die der Benutzer möglicherweise in einem anderen Verzeichnis besitzt.

• Synchronisierungsunabhängigkeit: Sie können jedes Azure AD unabhängig voneinander konfigurieren, damit Sie synchronisierte Daten einer einzelnen Instanz erhalten, mit folgenden Möglichkeiten:

  • Verzeichnissynchronisierungstool zum Synchronisieren von Daten mit einer AD-Gesamtstruktur.

  • Dem Azure Active Directory-Connector für Forefront Identity Manager zum Synchronisieren von Daten mit einer oder mehreren lokalen Gesamtstrukturen und/oder nicht-AD-Datenquellen.

Beachten Sie außerdem, dass Ihre Verzeichnisse im Gegensatz zu anderen Azure-Ressourcen keine untergeordneten Ressourcen eines Azure-Abonnements sind. Wenn Sie also Ihr Azure-Abonnement kündigen oder das Abonnement abläuft, können Sie weiterhin mithilfe von Azure PowerShell, der Azure Graph-API oder anderen Schnittstellen (z. B. mit Office 365 Admin Center) auf Ihre Verzeichnisdaten zugreifen. Sie können dem Verzeichnis auch ein anderes Abonnement zuordnen.

Löschen eines Azure AD-Verzeichnisses

Ein globaler Administrator kann ein Azure AD-Verzeichnis aus dem Azure-Verwaltungsportal löschen. Wenn ein Verzeichnis gelöscht wird, werden alle im Verzeichnis enthaltenen Ressourcen ebenfalls gelöscht. Sie sollten also vor dem Löschen sicher sein, dass Sie das Verzeichnis nicht mehr benötigen.

Bedingungen, für das Löschen eines Azure AD-Verzeichnisses erfüllt sein müssen

Bei Azure AD müssen bestimmte Bedingungen erfüllt sein, um ein Verzeichnis zu löschen. Dies reduziert das Risiko, dass das Löschen eines Verzeichnisses Benutzer oder Anwendungen beeinträchtigt, wie z. B. die Möglichkeit von Benutzern, sich bei Office 365 anzumelden oder auf Ressourcen in Azure zuzugreifen. Wenn ein Verzeichnis für ein Abonnement beispielsweise versehentlich gelöscht wurde, konnten Benutzer nicht auf die Azure-Ressourcen dieses Abonnements zugreifen.

Die folgenden Bedingungen werden überprüft:

• Der einzige Benutzer im Verzeichnis ist der globale Administrator, der das Verzeichnis löschen wird. Andere Benutzer müssen gelöscht werden, bevor das Verzeichnis gelöscht werden kann. Wenn Benutzer lokal synchronisiert werden, dann muss die Synchronisation deaktiviert werden und die Benutzer müssen über das Verwaltungsportal oder das Azure-Modul für Windows PowerShell im Cloudverzeichnis gelöscht werden. Es gibt keine Anforderung zum Löschen von Gruppen oder Kontakten, z. B. aus Office 365 Admin Center hinzugefügten Kontakten.

• Es können keine Anwendungen im Verzeichnis vorhanden sein. Alle Anwendungen müssen gelöscht werden, bevor das Verzeichnis gelöscht werden kann.

• Dem Verzeichnis können keine Abonnements für Microsoft Online Services, z.B. Microsoft Azure, Office 365 oder Azure AD Premium, zugeordnet werden. Wenn für Sie in Azure beispielsweise ein Standardverzeichnis erstellt wurde, können Sie dieses Verzeichnis nicht löschen, wenn es vom Azure-Abonnement noch für die Authentifizierung benötigt wird. Sie können ein Verzeichnis auch nicht löschen, wenn ein anderer Benutzer dem Verzeichnis ein Abonnement zugeordnet hat. Wenn Sie Ihrem Abonnement ein anderes Verzeichnis zuordnen möchten, melden Sie sich beim Azure-Verwaltungsportal an und klicken im linken Navigationsbereich auf Einstellungen. Klicken Sie dann auf Abonnements und Verzeichnis bearbeiten. Weitere Informationen zu Azure-Abonnements finden Sie unter Verknüpfung von Azure-Abonnements mit Azure AD.

  Hinweis

  Wenn Ihr Abonnement gekündigt wird und ein Verzeichnis gelöscht werden soll, melden Sie sich mit einem anderen Abonnement an und fügen den globalen Administrator des Verzeichnisses als Co-Administrator des Abonnements hinzu. Melden Sie sich anschließend ab und dann wieder mit dem Co-Administratorkonto des Abonnements an. Sie sollten das Verzeichnis dann löschen können, wenn alle anderen Bedingungen erfüllt sind.

• Kein Multi-Factor Authentication-Anbieter kann mit dem Verzeichnis verknüpft werden.

Communityressourcen