Anleitung zum Ausgliedern und Wechseln von "Microsoft Entra Permissions Management"

Hinweis

Ab dem 1. April 2025 steht Microsoft Entra Permissions Management nicht mehr zum Kauf zur Verfügung, und am 1. Oktober 2025 werden wir den Support für dieses Produkt einstellen. Weitere Informationen finden Sie hier.

Microsoft Entra Permissions Management (Permissions Management) wird am 01. Oktober 2025 eingestellt, wobei neue Käufe ab dem 1. April 2025 nicht mehr möglich sind. Bestehende kostenpflichtige Kunden haben weiterhin Zugriff auf die Berechtigungsverwaltung zwischen dem 1. April 2025 und dem 30. September 2025.

Am 01. Oktober 2025 wird die Berechtigungsverwaltung automatisch offboardiert, und die zugeordnete Datensammlung wird gelöscht. Kunden, die vor dem 1. Oktober 2025 offboarden müssen, sollten sich den Abschnitt Offboarding-Schritte in diesem Leitfaden ansehen.

Warum wird die Berechtigungsverwaltung eingestellt?

Die Entscheidung, das Microsoft Entra Permissions Management aus dem Microsoft Security-Portfolio zu beenden, wurde nach der umfassenden Prüfung unseres Innovationsportfolios getroffen und wie wir uns auf die Bereitstellung der besten Innovationen konzentrieren können, die an unsere unterschiedlichen Bereiche und Partner mit dem Ökosystem in Bezug auf Adjacencies ausgerichtet sind. Wir sind weiterhin bestrebt, lösungen auf oberster Ebene im gesamten Microsoft Entra-Portfolio anzubieten, das Microsoft Entra-ID, Microsoft Entra Suite (umfasst ID-Schutz, ID-Governance, überprüfte ID, Internetzugriff und privaten Zugriff), Microsoft Entra External ID, Microsoft Entra Workload ID und vieles mehr umfasst.

Empfohlene Lösungen

Da die Berechtigungsverwaltung eingestellt wird, empfiehlt Microsoft Kunden, die das Produkt in ihre Umgebung integriert haben, mit der Planung des Übergangs zu beginnen. Kunden, die nicht integriert sind, sollten das Onboarding nicht vermeiden.

Um diesen Übergang zu unterstützen, arbeitet Microsoft mit Delinea zusammen. Delinea bietet eine cloudeigene, vollständig microsoftkompatible Lösung für die Verwaltung von Cloudinfrastrukturberechtigungen (CIEM), die Berechtigungskontrolle für Cloudberechtigungen (PCCE). PCCE bietet Funktionen, die mit der Berechtigungsverwaltung vergleichbar sind, einschließlich der kontinuierlichen Ermittlung von Berechtigungen, mit denen Sie Zugriffsrechte sowohl für Menschliche als auch für Computeridentitäten überwachen und anpassen können.

Wir empfehlen, die Umstellung von der Berechtigungsverwaltung so bald wie möglich zu beginnen, weit vor dem 30. September. Wir sind bestrebt, neben unserem Partner Delinea umfangreiche Unterstützung zu bieten.

Empfohlene Schritte vor der Migration zu Delinea

Um sicherzustellen, dass Sie mit den CIEM-Zielen mit unserem empfohlenen Partner fortfahren, empfehlen wir, die folgenden Informationen aus Ihrem Berechtigungsverwaltungsportal zu notieren:

• Wechseln Sie zuerst zum Microsoft Entra Admin Center , und melden Sie sich bei der Microsoft Entra-ID an, und klicken Sie dann auf dem Navigationsblatt auf "Berechtigungsverwaltung" .

  • Autorisierungssystem-IDs, die in Azure, Amazon Web Service (AWS) und Google Cloud Platform (GCP) überwacht werden. Um dies zu finden, starten Sie das Berechtigungsverwaltungsportal , wählen Sie "Einstellungen " (Zahnradsymbol) aus, und wählen Sie die Registerkarte "Autorisierungssysteme " aus, um die Liste der Autorisierungssystem-IDs anzuzeigen.
  • Gruppen und Benutzer, die Administratorzugriff mit der Rolle "Berechtigungsverwaltungsadministrator" in der Entra-ID erhalten haben. Um dies zu finden, starten Sie Entra-ID, wählen Sie "Rollen und Administratoren" aus, suchen Sie nach der Rolle "Berechtigungsverwaltungsadministrator", wählen Sie "Aufgaben" aus.
  • Autorisierungssystemspezifischer Zugriff auf Gruppen über das Berechtigungsverwaltungsportal. Um dies zu finden, starten Sie das Berechtigungsverwaltungsportal , wählen Sie " Benutzerverwaltung" aus, und klicken Sie dann auf die Registerkarte "Gruppen ", um alle Gruppenzuweisungen anzuzeigen.
  • Benutzerdefinierte Berichte, die in Ihrer Umgebung konfiguriert sind. Um dies zu finden, starten Sie das Berechtigungsverwaltungsportal , wählen Sie "Berichte" aus, navigieren Sie zu "Benutzerdefinierte Berichte".
  • Warnungen, die in Ihrer Umgebung konfiguriert sind. Um dies zu finden, starten Sie das Berechtigungsverwaltungsportal , wählen Sie "Warnungen " (Glockensymbol) aus, navigieren Sie zur entsprechenden Registerkarte "Warnungen".

Offboarding-Schritte

Nach dem Onboarding bei unserem empfohlenen Partner und/oder bei anderen Anbietern können Kunden das Offboarding initiieren. Führen Sie die folgenden Schritte in der folgenden Reihenfolge aus:

1. Entfernen Von Berechtigungen, die in AWS, Azure und GCP zugewiesen sind.
2. Entfernen Sie die OIDC-Anwendung für AWS- und GCP-Umgebungen.
3. Beenden Sie das Sammeln von Daten für Ihre gesamte Liste von Konten/ Abonnements/ Projekten, indem Sie die zugehörigen Datensammler löschen: Dadurch wird sichergestellt, dass keine neuen Daten gesammelt werden, und Sie haben keinen Zugriff mehr auf historische Daten.
4. Deaktivieren der Benutzeranmeldung bei der Cloud Infrastructure Entitlement Management (CIEM)-Unternehmensanwendung

Befolgen Sie die detaillierten Richtlinien für die einzelnen Schritte.

Entfernen von Berechtigungen, die in AWS, Azure und GCP zugewiesen sind

Entfernen Sie zum erfolgreichen Offboarding Ihrer Daten Berechtigungen aus Ihrem integrierten Cloudanbieter (Azure, AWS oder GCP) und Permissions Management. Alle Während des Onboardings zugewiesenen Rollen und Berechtigungen sollten entfernt werden. Dadurch wird sichergestellt, dass Ihre Umgebung ohne überprivilegierten Zugriff geschützt ist, sobald Ihre Umgebung von der Berechtigungsverwaltung deaktiviert wurde.

Lesen Sie die Konfiguration des Datensammlers über das Berechtigungsverwaltungsportal, und wählen Sie die Einstellungen (Zahnradsymbol) aus. Beachten Sie die Konfigurationseinstellungen, um Rollen und Berechtigungen zu entfernen, die in Ihrem jeweiligen Cloudanbieter zugewiesen sind.

Entfernen der OIDC-Anwendung für AWS- und GCP-Umgebungen

Löschen Sie für AWS und GCP die Anwendung, die im Microsoft Entra Admin Center-Mandanten erstellt wurde, in dem das Berechtigungen-Management aktiviert ist. Diese App wurde verwendet, um eine OIDC-Verbindung (OpenID Connect) mit Ihren AWS- und GCP-Umgebungen einzurichten.

Führen Sie die folgenden Schritte aus, um die erstellte Enterprise-Anwendung zu finden, die zum Einrichten der OIDC-Verbindung mit Ihren AWS- und GCP-Umgebungen verwendet wurde:

Hinweis

Der Benutzer muss über die Rollenzuweisungen "Berechtigungsverwaltungsadministrator " und " Cloudanwendungsadministrator " verfügen, um diese Aufgabe auszuführen.

1. Wechseln Sie zum Microsoft Entra Admin Center , und melden Sie sich bei der Microsoft Entra-ID an.
2. Starten Sie das Berechtigungsverwaltungsportal .
3. Wählen Sie "Einstellungen" (Zahnradsymbol) und dann die Registerkarte " Datensammler " aus.
4. Wählen Sie im Dashboard "Datensammler " Ihren Autorisierungssystemtyp aus:
   • AWS für Amazon Web Services.
   • GCP für Google Cloud Platform.
5. Wählen Sie die Auslassungspunkte (...) am Ende der Zeile in der Tabelle aus.
6. Wählen Sie "Konfiguration bearbeiten" aus. Die App befindet sich unter dem Namen der Azure-App .
7. Wechseln Sie zum Microsoft Entra Admin Center , und melden Sie sich bei der Microsoft Entra-ID an.
8. Navigieren Sie zu Entra ID>App-Registrierungen.
9. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus den Suchergebnissen aus.
10. Wählen Sie auf der Seite "Übersicht" die Option "Löschen" aus. Lesen Sie die Informationen zu den Konsequenzen beim Löschen. Aktivieren Sie das Kontrollkästchen, wenn es am unteren Rand des Bereichs angezeigt wird.
11. Wählen Sie "Löschen" aus, um zu bestätigen, dass Sie die App löschen möchten.

Beenden der Datensammlung

Beenden Sie das Sammeln von Daten für Ihre Liste von Konten / Abonnements / Projekten, indem Sie die zugehörigen Datensammler löschen.

Hinweis

Der Benutzer muss über die Rollenzuweisung des Berechtigungsverwaltungsadministrators verfügen, um diese Aufgabe auszuführen.

1. Wechseln Sie zum Microsoft Entra Admin Center , und melden Sie sich bei der Microsoft Entra-ID an.
2. Wählen Sie "Berechtigungsverwaltung" aus, und klicken Sie auf das Startportal.
3. Wählen Sie "Einstellungen" (das Zahnradsymbol) und dann die Registerkarte " Datensammler " aus.
4. Wählen Sie im Dashboard "Datensammler " Ihren Autorisierungssystemtyp aus:
   • AWS für Amazon Web Services.
   • Azure für Microsoft Azure.
   • GCP für Google Cloud Platform.
5. Wählen Sie die Auslassungspunkte (...) am Ende der Zeile in der Tabelle aus.
6. Wählen Sie "Konfiguration löschen" aus. Das Zusammenfassungsfeld für die Berechtigungsverwaltung beim Onboarding wird angezeigt.
7. Klicken Sie auf Löschen.
8. Überprüfen Sie Ihre E-Mail auf einen OTP-Code (Einmaliges Kennwort), und geben Sie sie in "OTP eingeben" ein.
9. Wenn Sie kein OTP erhalten, wählen Sie "OTP erneut senden" aus.
10. Die folgende Meldung wird angezeigt: Successfully deleted configuration.

Deaktivieren der Benutzeranmeldung bei der Unternehmensanwendung Cloud Infrastructure Entitlement Management (CIEM)

Sobald die Datensammlung für alle AWS-Konten, Azure-Abonnements und GCP-Projekte beendet ist, deaktivieren Sie die App "Cloud Infrastructure Entitlement Management(CIEM)", damit sie nicht angemeldet werden kann. Dadurch wird sichergestellt, dass die Berechtigungsverwaltung nicht mehr auf Ihre Umgebungen (Konten, Abonnements und Projekte) zugreifen kann.

Hinweis

Der Benutzer muss über die Rollenzuweisung des Cloudanwendungsadministrators verfügen, um diese Aufgabe auszuführen.

So deaktivieren Sie die CIEM-App, um zu verhindern, dass sich Benutzer anmelden.

1. Wechseln Sie zum Microsoft Entra Admin Center , und melden Sie sich bei der Microsoft Entra-ID an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
3. Suchen Sie nach Cloud-Infrastruktur-Berechtigungsmanagement. Wenn Sie die App nicht finden können, setzen Sie die Filter zurück.
4. Öffnen Sie Die Eigenschaften.
5. Aktivieren Sie "Aktiviert", damit sich Benutzer bei "Nein" anmelden können.

Nächste Schritte

• Weitere Informationen zur Einstellung des Berechtigungsverwaltungsprodukts finden Sie unter aka.ms/MEPMretire