Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

Gruppen sind ein Bestandteil einer Strategie für die Zugriffssteuerung. Sie können Microsoft Entra-Sicherheitsgruppen und Microsoft 365-Gruppen als Grundlage für das Schützen des Zugriffs auf Ressourcen verwenden. Verwenden Sie Gruppen für die folgenden Zugriffssteuerungsmechanismen:

• Richtlinien für bedingten Zugriff
  • Was ist bedingter Zugriff?
• Zugriffspakete mit Berechtigungsverwaltung
  • Was ist Berechtigungsverwaltung?
• Zugriff auf Microsoft 365-Ressourcen, Microsoft Teams und SharePoint-Websites

Gruppen verfügen über die folgenden Rollen:

• Gruppenbesitzer: Gruppenbesitzer verwalten die Gruppeneinstellungen und die Mitgliedschaften.
• Mitglieder: Mitglieder erben die Berechtigungen und die Zugriffsrechte, die der Gruppe zugewiesen sind.
• Gäste: Gäste sind Mitglieder von außerhalb Ihrer Organisation.

Voraussetzungen

Dieser Artikel ist der vierte in einer Serie von zehn Artikeln. Sie sollten die Artikel der Reihe nach lesen. Im Abschnitt Nächste Schritte finden Sie die gesamte Serie.

Gruppenstrategie

Um eine Gruppenstrategie zum Schützen des externen Zugriffs auf Ihre Ressourcen zu entwickeln, berücksichtigen Sie den gewünschten Sicherheitsstatus.

Weitere Informationen: Ermitteln des Sicherheitsstatus für externen Zugriff

Gruppenerstellung

Bestimmen Sie, wer Berechtigungen zum Erstellen von Gruppen erhält: Administratoren, Mitarbeiter und/oder externe Benutzer. Betrachten Sie die folgenden Szenarien:

• Mandantenmitglieder können Microsoft Entra-Sicherheitsgruppen erstellen.
• Interne und externe Benutzer können Gruppen in Ihrem Mandanten beitreten.
• Benutzer können Microsoft 365-Gruppen erstellen.
• Verwalten, wer Microsoft 365-Gruppen erstellen kann
  • Verwenden von PowerShell, um diese Einstellung zu konfigurieren
• Beschränken Ihrer Microsoft Entra-App auf bestimmte Benutzer*innen in einem Microsoft Entra-Mandanten
• Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID
• Beheben von Problemen bei Gruppen

Einladungen an Gruppen

Berücksichtigen Sie im Rahmen der Gruppenstrategie, wer Personen einladen oder zu Gruppen hinzufügen kann. Gruppenmitglieder können andere Mitglieder hinzufügen, oder Gruppenbesitzer können Mitglieder hinzufügen. Sie können entscheiden, wer eingeladen werden kann. Standardmäßig können den Gruppen externe Benutzer hinzugefügt werden.

Zuweisen von Benutzern zu Gruppen

Benutzer werden Gruppen manuell anhand der Benutzerattribute im Benutzerobjekt oder anhand von anderen Kriterien zugewiesen. Benutzer werden Gruppen dynamisch basierend auf ihren Attributen zugewiesen. Für die Zuweisung von Benutzern zu Gruppen können beispielsweise die folgenden Attribute verwendet werden:

• Position oder Abteilung
• Partnerorganisation, der sie angehören
  • Manuell oder über verbundene Organisationen
• Benutzertyp „Mitglied“ oder „Gast“
• Teilnahme an einem Projekt
  • Manuell
• Standort

Dynamische Gruppen enthalten Benutzer oder Geräte, aber nicht beides. Sie fügen basierend auf Benutzerattributen Abfragen hinzu, um der dynamischen Gruppe Benutzer zuzuweisen. Der folgende Screenshot enthält Abfragen, die Benutzer zur Gruppe hinzufügen, wenn sie Mitglied der Finanzabteilung sind:

Weitere Informationen: Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

Verwenden von Gruppen für eine Funktion

Bei Verwendung von Gruppen ist es wichtig, dass diese eine einzelne Funktion haben. Falls eine Gruppe zum Gewähren des Zugriffs auf Ressourcen verwendet wird, setzen Sie sie nicht noch für weitere Zwecke ein. Wir empfehlen Ihnen, eine Namenskonvention für Sicherheitsgruppen zu nutzen, die den Zweck deutlich macht:

• Secure_access_finance_apps
• Team_membership_finance_team
• Location_finance_building

Gruppentypen

Microsoft Entra-Sicherheitsgruppen und Microsoft 365-Gruppen können im Azure-Portal oder im Microsoft 365-Verwaltungsportal erstellt werden. Beide Gruppentypen können zum Schützen des externen Zugriffs verwendet werden.

Überlegungen	Manuelle und dynamische Microsoft Entra-Sicherheitsgruppen	Microsoft 365-Gruppen
Was enthält die Gruppe?	Benutzer Gruppen Dienstprinzipale Geräte	Nur Benutzer
Wo wird die Gruppe erstellt?	Azure-Portal Microsoft 365-Portal, falls E-Mail-Aktivierung vorliegt PowerShell Microsoft Graph Endbenutzerportal	Microsoft 365-Portal Azure-Portal PowerShell Microsoft Graph In Microsoft 365-Anwendungen
Von wem wird standardmäßig die Erstellung durchgeführt?	Administrators Benutzer	Administrators Benutzer
Wer wird standardmäßig hinzugefügt?	Interne Benutzer (Mandantenmitglieder) und Gastbenutzer	Mandantenmitglieder und Gäste einer Organisationen
Wem wird Zugriff gewährt?	Ressourcen, für die die Zuweisung durchgeführt wurde	Gruppenbezogenen Ressourcen: (Gruppenpostfach, Website, Team, Chats und andere Microsoft 365-Ressourcen) Andere Ressourcen, denen die Gruppe hinzugefügt wird
Nutzung möglich mit	Bedingter Zugriff Berechtigungsverwaltung Gruppenlizenzierung	Bedingter Zugriff Berechtigungsverwaltung Vertraulichkeitsbezeichnungen

Hinweis

Verwenden Sie Microsoft 365-Gruppen zum Erstellen und Verwalten von bestimmten Microsoft 365-Ressourcen, z. B. eines Teams und der zugehörigen Websites und Inhalte.

Microsoft Entra-Sicherheitsgruppen

Microsoft Entra-Sicherheitsgruppen können Benutzer*innen oder Geräte enthalten. Verwenden Sie diese Gruppen, um den Zugriff auf Folgendes zu verwalten:

• Azure-Ressourcen
  • Microsoft 365-Apps
  • Custom apps (Benutzerdefinierte Apps)
  • SaaS-Apps (Software-as-a-Service) wie Dropbox und ServiceNow
• Azure-Daten und -Abonnements
• Azure-Dienste

Verwenden Sie Microsoft Entra-Sicherheitsgruppen, um Folgendes zuzuweisen:

• Lizenzen für Dienste
  • Microsoft 365
  • Dynamics 365
  • Enterprise Mobility + Security
  • Siehe Was ist die gruppenbasierte Lizenzierung in Microsoft Entra ID?
• Erweiterte Berechtigungen
  • Siehe Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen

Weitere Informationen:

• Verwalten von Microsoft Entra-Gruppen und -Gruppenmitgliedschaften
• Microsoft Entra-Cmdlets Version 2 für die Gruppenverwaltung

Hinweis

Verwenden Sie Sicherheitsgruppen, um bis zu 1.500 Anwendungen zuzuweisen.

Sicherheitsgruppe mit E-Mail-Unterstützung

Navigieren Sie zum Erstellen einer E-Mail-fähigen Sicherheitsgruppe zum Microsoft 365 Admin Center. Aktivieren Sie während der Erstellung eine Sicherheitsgruppe für E-Mails. Zu einem späteren Zeitpunkt ist die Aktivierung nicht mehr möglich. Sie können die Gruppe nicht im Azure-Portal erstellen.

Hybridorganisationen und Microsoft Entra-Sicherheitsgruppen

Hybridorganisationen verfügen über eine Infrastruktur für die lokale Umgebung und eine Microsoft Entra ID-Instanz. Hybridorganisationen, die Active Directory nutzen, können Sicherheitsgruppen lokal erstellen und mit der Cloud synchronisieren. Daher können den Sicherheitsgruppen nur Benutzer aus der lokalen Umgebung hinzugefügt werden.

Wichtig

Schützen Sie Ihre lokale Infrastruktur vor Kompromittierungen. Siehe Schützen von Microsoft 365 vor lokalen Angriffen

Microsoft 365-Gruppen

Microsoft 365-Gruppen stellen den Mitgliedschaftsdienst für den gesamten Microsoft 365-Zugriff dar. Diese Gruppen können im Azure-Portal oder im Microsoft 365 Admin Center erstellt werden. Wenn Sie eine Microsoft 365-Gruppe erstellen, gewähren Sie Zugriff auf eine Gruppe von Ressourcen für die Zusammenarbeit.

Weitere Informationen:

• Übersicht über Microsoft 365-Gruppen für Administratoren
• Erstellen einer Gruppe im Microsoft 365 Admin Center
• Microsoft Entra Admin Center
• Microsoft 365 Admin Center

Rollen von Microsoft 365-Gruppen

• Gruppenbesitzer
  • Hinzufügen oder Entfernen von Mitgliedern
  • Löschen von Unterhaltungen aus dem freigegebenen Posteingang
  • Ändern von Gruppeneinstellungen
  • Umbenennen der Gruppe
  • Aktualisieren der Beschreibung oder des Bilds
• Mitglieder
  • Zugreifen auf alle Elemente in der Gruppe
  • Können Gruppeneinstellungen nicht ändern
  • Können Gäste einladen, der Gruppe beizutreten
  • Verwalten des Gastzugriffs in Microsoft 365-Gruppen
• Guests
  • Sind Mitglieder von außerhalb Ihrer Organisation
  • Für Gäste sind einige Teams-Funktionen eingeschränkt.

Microsoft 365-Gruppeneinstellungen

Wählen Sie den E-Mail-Alias und die Datenschutzeinstellungen aus, und geben Sie an, ob die Gruppe für Teams aktiviert werden soll.

Nach Abschluss der Einrichtung können Sie Mitglieder hinzufügen, Einstellungen für die E-Mail-Nutzung konfigurieren usw.

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

4. Sichern des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365 (dieser Artikel)

5. Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit

6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

9. Schützen des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID

10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten