Was ist die Azure AD-Berechtigungsverwaltung?

Die Berechtigungsverwaltung von Azure Active Directory (Azure AD) ist ein Identitätsgovernance-Feature, mit dem Organisationen Identitäten und den Zugriffszyklus skaliert verwalten können, indem sie Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und Ablaufzeiten automatisieren.

Mitarbeiter in Organisationen benötigen für ihre Aufgaben Zugriff auf verschiedene Gruppen, Anwendungen und SharePoint Online-Websites. Die Verwaltung dieses Zugangs stellt eine Herausforderung dar, da die Anforderungen Änderungen unterliegen. Neue Anwendungen werden hinzugefügt, oder Benutzer benötigen mehr Zugriffsrechte. Dieses Szenario wird noch komplizierter, wenn Sie mit externen Organisationen zusammenarbeiten. Sie wissen möglicherweise nicht, welche Personen in der anderen Organisation Zugriff auf die Ressourcen Ihrer Organisation benötigen, und die Personen in der anderen Organisation wissen nicht, welche Anwendungen, Gruppen oder Websites Ihre Organisation verwendet.

Mit der Berechtigungsverwaltung von Azure AD können Sie den Zugriff auf Gruppen, Anwendungen und SharePoint Online-Websites für interne Benutzer und Benutzer außerhalb der Organisation, die auf diese Ressourcen zugreifen müssen, effizienter verwalten.

Argumente für die Berechtigungsverwaltung

Die Verwaltung des Zugriffs von Mitarbeitern auf Ressourcen stellt Unternehmen häufig vor Herausforderungen, z. B.:

  • Die Benutzer wissen möglicherweise nicht, welche Zugriffsrechte erforderlich sind. Aber auch dann, wenn Sie dies wissen, kann es schwierig sein, die richtigen Personen zu finden, die den Zugriff genehmigen.
  • Wenn Benutzer den richtigen Zugriff auf eine Ressource erhalten haben, verfügen sie möglicherweise länger über diesen Zugriff, als für die Geschäftszwecke erforderlich ist.

Diese Probleme sind für Benutzer, die Zugriff aus einer anderen Organisation benötigen, z. B. externe Benutzer in Lieferkettenorganisationen oder bei Geschäftspartnern, noch größer. Beispiel:

  • Kein Einzelner kann alle Personen in den Verzeichnissen anderer Organisationen kennen und einladen.
  • Selbst wenn sie diese Benutzer einladen könnten, kann niemand in der betreffenden Organisation den Zugriff aller Benutzer konsistent verwalten.

Diese Herausforderungen können mit der Azure AD-Berechtigungsverwaltung leichter bewältigt werden. Wenn Sie mehr darüber erfahren möchten, wie Kunden die Berechtigungsverwaltung von Azure AD verwendet haben, können Sie die Avanade-Fallstudie und die Centrica-Fallstudie lesen. Dieses Video bietet einen Überblick über die Berechtigungsverwaltung und ihren Nutzen:

Welche Möglichkeiten bietet mir die Berechtigungsverwaltung?

Einige Funktionen der Berechtigungsverwaltung:

  • Steuern des Zugriffs auf Anwendungen, Gruppen, Teams und SharePoint-Websites mit mehrstufigen Genehmigungsverfahren und Nutzen von zeitlich begrenzten Zuweisungen und wiederkehrenden Zugriffsüberprüfungen um sicherzustellen, dass Benutzer nicht unbegrenzt Zugriff erhalten.
  • Gewähren Sie Benutzern automatisch Zugriff auf diese Ressourcen, basierend auf den Eigenschaften des Benutzers wie Abteilung oder Kostencenter, und entfernen Sie den Zugriff eines Benutzers, wenn sich diese Eigenschaften ändern (Vorschau).
  • Delegieren der Möglichkeit, Zugriffspakete zu erstellen, an Nicht-Administratoren. Diese Zugriffspakete enthalten Ressourcen, die von Benutzern angefordert werden können, und die delegierten Zugriffspaket-Manager können Richtlinien mit Regeln definieren, dein festlegen, welche Benutzer Zugriff anfordern können, wer den Zugriff genehmigen muss und wann der Zugriff abläuft.
  • Auswählen verbundener Organisationen, deren Benutzer Zugriff anfordern können. Wenn ein Benutzer, der noch nicht in Ihrem Verzeichnis ist, Zugriff anfordert und genehmigt wird, wird er automatisch in Ihr Verzeichnis eingeladen und der Zugriff zugewiesen. Wenn der Zugriff abläuft und keine anderen Zugriffspaketzuweisungen vorhanden sind, kann das betreffende B2B-Konto in Ihrem Verzeichnis automatisch entfernt werden.

Hinweis

Wenn Sie die Berechtigungsverwaltung ausprobieren möchten, können Sie mit dem Tutorial zum Erstellen des ersten Zugriffspakets beginnen.

Sie können auch die gängigen Szenarios durchlesen oder Videos ansehen, z. B.:

Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?

Die Berechtigungsverwaltung führt in Azure AD das Konzept von Zugriffspaketen ein. Ein Zugriffspaket ist ein Bündel aller Ressourcen mit den Zugriffsrechten, die ein Benutzer benötigt, um an einem Projekt zu arbeiten oder seine Aufgaben zu erledigen. Zugriffspakete dienen zum Steuern des Zugriffs für die internen Mitarbeiter und auch für Benutzer außerhalb Ihrer Organisation.

Mit der Berechtigungsverwaltung können Sie den Benutzerzugriff auf folgende Ressourcen verwalten:

  • Mitgliedschaft in Azure AD-Sicherheitsgruppen
  • Mitgliedschaft in Microsoft 365-Gruppen und -Teams
  • Zuweisung zu Azure AD-Unternehmensanwendungen wie SaaS-Anwendungen und kundenspezifisch integrierten Anwendungen, die Verbund-/Einzelanmeldung und/oder Bereitstellung unterstützen
  • Mitgliedschaft in SharePoint Online-Websites

Sie können auch den Zugriff auf andere Ressourcen steuern, die auf Azure AD-Sicherheitsgruppen oder Microsoft 365-Gruppen basieren. Beispiel:

  • Sie können Benutzerlizenzen für Microsoft 365 mit einer Azure AD-Sicherheitsgruppe in einem Zugriffspaket vergeben und die gruppenbasierte Lizenzierung für diese Gruppe konfigurieren.
  • Sie können Benutzern mithilfe einer Azure AD-Sicherheitsgruppe in einem Zugriffspaket und durch Erstellen einer Azure-Rollenzuweisung für diese Gruppe Zugriff zum Verwalten von Azure-Ressourcen erteilen.
  • Sie können mithilfe von Gruppen, die Azure AD-Rollen in einem Zugriffspaket zugewiesen werden können, und durch das Zuweisen einer Azure AD-Rolle zu dieser Gruppe Benutzern Zugriff zum Verwalten von Azure AD-Rollen gewähren.

Wie kann gesteuert werden, wer Zugriff erhält?

Bei einem Zugriffspaket listet ein Administrator oder delegierter Zugriffspaket-Manager die Ressourcen (Gruppen, Apps und Websites) sowie die Rollen auf, die die Benutzer für diese Ressourcen benötigen.

Zugriffspakete enthalten außerdem eine oder mehrere Richtlinien. Eine Richtlinie definiert die Regeln oder Leitlinien für die Zuweisung zu einem Zugriffspaket. Die einzelnen Richtlinien können verwendet werden, um sicherzustellen, dass nur den übereinstimmenden Benutzer*innen Zugriff zugewiesen werden kann und dass der Zugriff zeitlich begrenzt ist und abläuft, sofern er nicht verlängert wird.

Abbildung: Zugriffspaket und Richtlinien

Sie können Richtlinien für Benutzer*innen einrichten, die Zugriff anfordern können. Bei diesen Richtlinientypen definieren Administrator*innen oder Zugriffspaket-Manager*innen Folgendes:

  • Die bereits vorhandenen Benutzer (in der Regel Mitarbeiter oder bereits eingeladene Gäste) oder die Partnerorganisationen von externen Benutzern, die Zugriff anfordern dürfen
  • Den Genehmigungsprozess und die Benutzer, die den Zugriff genehmigen oder verweigern können
  • Die Dauer der Zuweisung des Benutzerzugriffs nach der Genehmigung, bevor die Zuweisung abläuft

Sie können auch Richtlinien einrichten, dass Benutzer*innen der Zugriff entweder von Administrator*innen oder automatisch zugewiesen wird.

Im folgenden Diagramm wird ein Beispiel für die verschiedenen Elemente der Berechtigungsverwaltung gezeigt. Es zeigt einen Katalog mit zwei exemplarischen Zugriffspaketen.

  • Zugriffspaket 1 enthält als Ressource eine einzelne Gruppe. Der Zugriff wird mit einer Richtlinie definiert, die einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs ermöglicht.
  • Zugriffspaket 2 enthält als Ressourcen eine Gruppe, eine Anwendung und eine SharePoint Online-Website. Der Zugriff wird mit zwei verschiedenen Richtlinien definiert. Die erste Richtlinie ermöglicht einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs. Die zweite Richtlinie ermöglicht Benutzern in einem externen Verzeichnis das Anfordern des Zugriffs.

Abbildung: Übersicht über die Berechtigungsverwaltung

Wann sollten Zugriffspakete verwendet werden?

Zugriffspakete sind kein Ersatz für andere Mechanismen der Zugriffszuweisung. Sie eignen sich am besten für folgende Situationen:

  • Mitarbeiter benötigen zeitlich begrenzten Zugriff für eine bestimmte Aufgabe. Sie können beispielsweise die gruppenbasierte Lizenzierung und eine dynamische Gruppe verwenden, um sicherzustellen, dass alle Mitarbeiter über ein Exchange Online-Postfach verfügen. Anschließend nutzen Sie Zugriffspakete in Situationen, in denen Mitarbeiter zusätzliche Zugriffsrechte benötigen. Dies könnten z. B. Leseberechtigungen für abteilungsspezifische Ressourcen einer anderen Abteilung ein.
  • Zugriff, der vom Vorgesetzten eines Mitarbeiters oder von anderen festgelegten Personen genehmigt werden muss
  • Abteilungen möchten eigene Zugriffsrichtlinien für ihre Ressourcen ohne Beteiligung der IT verwalten.
  • Zwei oder mehr Organisationen arbeiten in einem Projekt zusammen, sodass mehrere Benutzer aus einer Organisation über Azure AD B2B integriert werden müssen, um auf die Ressourcen einer anderen Organisation zugreifen zu können.

Wie kann der Zugriff delegiert werden?

Zugriffspakete sind in Containern definiert, die als Kataloge bezeichnet werden. Sie können einen einzelnen Katalog für alle Zugriffspakete verwenden oder einzelne Personen festlegen, die eigene Kataloge erstellen und dafür verantwortlich sind. Ein Administrator kann Ressourcen zu jedem Katalog hinzufügen. Ein Nicht-Administrator kann jedoch nur Ressourcen, deren Besitzer er ist, zu einem Katalog hinzufügen. Ein Katalogbesitzer kann andere Benutzer als Mitbesitzer des Katalogs oder als Zugriffspaket-Manager hinzufügen. Diese Szenarien werden ausführlicher im Artikel Delegierung und Rollen in der Azure AD-Berechtigungsverwaltung beschrieben.

Übersicht über die verwendete Terminologie

Zum besseren Verständnis der Berechtigungsverwaltung und der dazugehörigen Dokumentation sollten Sie mit den folgenden Begriffen vertraut sein.

Begriff BESCHREIBUNG
Zugriffspaket Ein Ressourcenpaket, das von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind immer in einem Katalog enthalten. Sie erstellen ein neues Zugriffspaket für ein Szenario, in dem Benutzer Zugriff anfordern müssen.
Zugriffsanforderung Die Anforderung des Zugriffs auf die Ressourcen in einem Zugriffspaket. Eine Anforderung durchläuft in der Regel einen Genehmigungsworkflow. Bei einer Genehmigung erhält der anfordernde Benutzer eine Zugriffspaketzuweisung.
Zuweisung Die Zuweisung eines Zugriffspakets für einen Benutzer stellt sicher, dass der Benutzer über alle Ressourcenrollen des betreffenden Zugriffspakets verfügt. Zugriffspaketzuweisungen sind normalerweise zeitlich begrenzt, bevor sie ablaufen.
catalog Ein Container verwandter Ressourcen und Zugriffspakete. Kataloge werden für die Delegierung verwendet, damit Nicht-Administratoren eigene Zugriffspakete erstellen können. Katalogbesitzer können Ressourcen, deren Besitzer sie sind, zu einem Katalog hinzufügen.
Katalogersteller Eine Auflistung der Benutzer, die berechtigt sind, neue Kataloge zu erstellen. Wenn ein Nicht-Administratorbenutzer, der als Katalogersteller autorisiert wurde, einen neuen Katalog erstellt, wird er automatisch Besitzer des betreffenden Katalogs.
Verbundene Organisation Ein externes Azure AD-Verzeichnis bzw. eine externe Domäne, zu der eine Beziehung besteht. Die Benutzer einer verbundenen Organisation können in einer Richtlinie als Benutzer angegeben werden, die Zugriff anfordern dürfen.
policy Mehrere Regeln, die den Zugriffslebenszyklus definieren. Sie legen beispielsweise fest, wie Benutzer Zugriff erhalten, wer den Zugriff genehmigen darf und wie lange Benutzer durch eine Zuweisung Zugriff haben. Eine Richtlinie ist mit einem Zugriffspaket verknüpft. Ein Zugriffspaket kann beispielsweise zwei Richtlinien enthalten: eine für Mitarbeiter, um Zugriff anzufordern, und eine zweite für externe Benutzer, um Zugriff anzufordern.
resource Ein Asset, z. B. eine Office-Gruppe, eine Sicherheitsgruppe, eine Anwendung oder eine SharePoint Online-Website, mit einer Rolle, für die einem Benutzer Berechtigungen erteilt werden können.
Ressourcenverzeichnis Ein Verzeichnis, das mindestens eine Ressource enthält, die freigegeben (geteilt) werden soll.
Ressourcenrolle Mehrere Berechtigungen, die einer Ressource zugeordnet sind und von einer Ressource definiert werden. Eine Gruppe umfasst zwei Rollen: Mitglied und Besitzer. SharePoint-Websites umfassen in der Regel drei Rollen, können aber weitere benutzerdefinierte Rollen aufweisen. Anwendungen können über benutzerdefinierte Rollen verfügen.

Lizenzanforderungen

Für die Verwendung dieses Features sind Azure AD Premium P2-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.

Spezielle Clouds, z. B. Azure Deutschland und Azure China 21Vianet, können derzeit nicht verwendet werden.

Wie viele Lizenzen benötigen Sie?

Die Anzahl der Azure AD Premium P2-Lizenzen, über die Ihr Verzeichnis verfügen muss, errechnet sich anhand der folgenden Zahlen:

  • Mitgliedsbenutzer, die ein Zugriffspaket anfordern können
  • Mitgliedsbenutzer, die ein Zugriffspaket anfordern
  • Mitgliedsbenutzer, die Zugriffspaketanforderungen genehmigen
  • Mitgliedsbenutzer, die Zugriffspaketzuweisungen überprüfen
  • Mitgliedsbenutzer, die eine direkte Zuweisung oder eine automatische Zuweisung zu einem Zugriffspaket haben.

Bei Gastbenutzern hängen die Lizenzierungsanforderungen vom verwendeten Lizenzierungsmodell ab. Die folgenden Gastbenutzeraktivitäten werden jedoch als Azure AD Premium P2-Nutzung betrachtet:

  • Gastbenutzer, die ein Zugriffspaket anfordern
  • Gastbenutzer, die Zugriffspaketanforderungen genehmigen
  • Gastbenutzer, die Zugriffspaketzuweisungen überprüfen
  • Gastbenutzer mit direkter Zuweisung zu einem Zugriffspaket

Für die folgenden Aufgaben sind keine Azure AD Premium P2-Lizenzen erforderlich:

  • Für Benutzer mit der Rolle „globaler Administrator“, die Anfangskataloge einrichten, auf Pakete und Richtlinien zugreifen und administrative Aufgaben an andere Benutzer delegieren, sind keine Lizenzen erforderlich.
  • Für Benutzer, an die administrative Aufgaben (z. B. Katalogersteller, Katalogbesitzer und Zugriffspaketmanager) delegiert wurden, sind keine Lizenzen erforderlich.
  • Für Gäste, die eine Berechtigung zum Anfordern von Zugriffspaketen besitzen, aber kein Zugriffspaket anfordern, sind keine Lizenzen erforderlich.

Weitere Informationen zu Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure Active Directory-Portal.

Beispielszenarien für Lizenzen

Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.

Szenario Berechnung Anzahl der Lizenzen
Ein globaler Administrator bei der Woodgrove Bank erstellt Anfangskataloge und delegiert administrative Aufgaben an sechs andere Benutzer. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. 150 Mitarbeiter fordern die Zugriffspakete an. 2\.000 Mitarbeiter, die Zugriffspakete anfordern können 2\.000
Ein globaler Administrator bei der Woodgrove Bank erstellt Anfangskataloge und delegiert administrative Aufgaben an sechs andere Benutzer. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. Eine andere Richtlinie gibt an, dass einige Benutzer des Partners Contoso (Gäste) vorbehaltlich der Genehmigung dieselben Zugriffspakete anfordern können. Contoso hat 30.000 Benutzer. 150 Mitarbeiter fordern die Zugriffspakete an, und 10.500 Benutzer von Contoso fordern den Zugriff an. 2.000 Mitarbeiter*innen benötigen Lizenzen. Gastbenutzer*innen werden monatlich als aktive Benutzer*innen abgerechnet, sodass für sie keine zusätzlichen Lizenzen erforderlich sind. * 2\.000

* Die Preise für Azure AD External Identities (Gastbenutzer) basieren auf den monatlich aktiven Benutzern (Monthly Active Users, MAU). Dies ist die Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats. Dieses Modell ersetzt das Abrechnungsmodell im Verhältnis 1:5, das bis zu fünf Gastbenutzer pro Azure AD Premium-Lizenz in Ihrem Mandanten zuließ. Wenn Ihr Mandant mit einem Abonnement verknüpft ist und Sie External Identities-Features für die Zusammenarbeit mit Gastbenutzern verwenden, erfolgt Ihre Abrechnung automatisch nach dem MAU-basierten Abrechnungsmodell. Weitere Informationen finden Sie unter Abrechnungsmodell für Azure AD External Identities.

Nächste Schritte