Was ist Berechtigungsverwaltung?
Die Berechtigungsverwaltung ist ein Identity Governance-Feature, mit dem Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren.
Personen in Organisationen benötigen für ihre Aufgaben Zugriff auf verschiedene Gruppen, Anwendungen und SharePoint Online-Websites. Die Verwaltung dieses Zugangs stellt eine Herausforderung dar, da die Anforderungen Änderungen unterliegen. Neue Anwendungen werden hinzugefügt, oder Benutzer benötigen mehr Zugriffsrechte. Dieses Szenario wird noch komplizierter, wenn Sie mit externen Organisationen zusammenarbeiten. Sie wissen möglicherweise nicht, welche Personen in der anderen Organisation Zugriff auf die Ressourcen Ihrer Organisation benötigen, und die Personen in der anderen Organisation wissen nicht, welche Anwendungen, Gruppen oder Websites Ihre Organisation verwendet.
Mit der Berechtigungsverwaltung können Sie den Zugriff auf Gruppen, Anwendungen und SharePoint Online-Websites für interne Benutzer sowie für Benutzer außerhalb Ihrer Organisation, die auf diese Ressourcen zugreifen müssen, effizienter verwalten.
Argumente für die Berechtigungsverwaltung
Die Verwaltung des Zugriffs von Mitarbeiter*innen auf Ressourcen stellt Unternehmen häufig vor Herausforderungen, z. B.:
- Die Benutzer wissen möglicherweise nicht, welche Zugriffsrechte erforderlich sind. Aber auch dann, wenn sie dies wissen, kann es schwierig sein, die richtigen Personen zu finden, die den Zugriff genehmigen.
- Wenn Benutzer den richtigen Zugriff auf eine Ressource erhalten haben, verfügen sie möglicherweise länger über diesen Zugriff, als für die Geschäftszwecke erforderlich ist.
Diese Probleme sind für Benutzer, die Zugriff aus einer anderen Organisation benötigen, z. B. externe Benutzer in Lieferkettenorganisationen oder bei Geschäftspartnern, noch größer. Zum Beispiel:
- Keine einzelne Person kann alle Personen in den Verzeichnissen anderer Organisationen kennen und einladen.
- Selbst wenn sie diese Benutzer einladen könnte, kann niemand in der betreffenden Organisation den Zugriff aller Benutzer konsistent verwalten.
Die Berechtigungsverwaltung unterstützt Sie dabei, diese Herausforderungen zu bewältigen. Wenn Sie mehr darüber erfahren möchten, wie Kundinnen und Kunden die Berechtigungsverwaltung verwenden, können Sie die Fallstudien von Mississippi Division of Medicaid, Storebrand, Nippon Express Co., Ltd und dem Digital Security and Resilience Team bei Microsoft lesen. Dieses Video bietet einen Überblick über die Berechtigungsverwaltung und ihren Nutzen:
Welche Möglichkeiten bietet mir die Berechtigungsverwaltung?
Einige Funktionen der Berechtigungsverwaltung:
- Steuern des Zugriffs auf Anwendungen, Gruppen, Teams und SharePoint-Websites mit mehrstufigen Genehmigungsverfahren und Nutzen von zeitlich begrenzten Zuweisungen und wiederkehrenden Zugriffsüberprüfungen um sicherzustellen, dass Benutzer nicht unbegrenzt Zugriff erhalten.
- Gewähren Sie Benutzern automatisch Zugriff auf diese Ressourcen, basierend auf den Eigenschaften des Benutzers wie Abteilung oder Kostencenter, und entfernen Sie den Zugriff eines Benutzers, wenn sich diese Eigenschaften ändern.
- Delegieren der Möglichkeit, Zugriffspakete zu erstellen, an Nicht-Administratoren. Diese Zugriffspakete enthalten Ressourcen, die von Benutzern angefordert werden können, und die delegierten Zugriffspaket-Manager können Richtlinien mit Regeln definieren, dein festlegen, welche Benutzer Zugriff anfordern können, wer den Zugriff genehmigen muss und wann der Zugriff abläuft.
- Auswählen verbundener Organisationen, deren Benutzer Zugriff anfordern können. Wenn ein Benutzer, der noch nicht in Ihrem Verzeichnis ist, Zugriff anfordert und genehmigt wird, wird er automatisch in Ihr Verzeichnis eingeladen und der Zugriff zugewiesen. Wenn der Zugriff abläuft und keine anderen Zugriffspaketzuweisungen vorhanden sind, kann das betreffende B2B-Konto in Ihrem Verzeichnis automatisch entfernt werden.
Hinweis
Wenn Sie die Berechtigungsverwaltung ausprobieren möchten, können Sie mit dem Tutorial zum Erstellen des ersten Zugriffspakets beginnen.
Sie können auch die gängigen Szenarios durchlesen oder Videos ansehen, z. B.:
- Bereitstellen der Berechtigungsverwaltung in Ihrer Organisation
- Überwachen und Skalieren der Verwendung der Berechtigungsverwaltung
- Delegieren in der Berechtigungsverwaltung
Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
Die Berechtigungsverwaltung beinhaltet das Konzept von Zugriffspaketen. Ein Zugriffspaket ist ein Bündel aller Ressourcen mit den Zugriffsrechten, die ein Benutzer benötigt, um an einem Projekt zu arbeiten oder seine Aufgaben zu erledigen. Zugriffspakete können verwendet werden, um den Zugriff für Ihre Mitarbeiter*innen und auch für Benutzer*innen außerhalb Ihrer Organisation zu steuern.
Mit der Berechtigungsverwaltung können Sie den Benutzerzugriff auf folgende Ressourcen verwalten:
- Mitgliedschaft in Microsoft Entra-Sicherheitsgruppen
- Mitgliedschaft in Microsoft 365-Gruppen und -Teams
- Zuweisung zu Microsoft Entra-Unternehmensanwendungen wie SaaS-Anwendungen und kundenspezifisch integrierten Anwendungen, die Verbund-/Einzelanmeldung und/oder Bereitstellung unterstützen
- Mitgliedschaft in SharePoint Online-Websites
Sie können auch den Zugriff auf andere Ressourcen steuern, die auf Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen basieren. Beispiel:
- Sie können Benutzerlizenzen für Microsoft 365 mit einer Microsoft Entra-Sicherheitsgruppe in einem Zugriffspaket vergeben und die gruppenbasierte Lizenzierung für diese Gruppe konfigurieren.
- Sie können Benutzern mithilfe einer Microsoft Entra-Sicherheitsgruppe in einem Zugriffspaket und durch Erstellen einer Azure-Rollenzuweisung für diese Gruppe Zugriff zum Verwalten von Azure-Ressourcen erteilen.
- Sie können mithilfe von Gruppen, die Microsoft Entra-Rollen in einem Zugriffspaket zugewiesen werden können, und durch das Zuweisen einer Microsoft Entra-Rolle zu dieser Gruppe Benutzern Zugriff zum Verwalten von Microsoft Entra-Rollen gewähren.
Wie kann gesteuert werden, wer Zugriff erhält?
Bei einem Zugriffspaket listet ein Administrator oder delegierter Zugriffspaket-Manager die Ressourcen (Gruppen, Apps und Websites) sowie die Rollen auf, die die Benutzer für diese Ressourcen benötigen.
Zugriffspakete enthalten außerdem eine oder mehrere Richtlinien. Eine Richtlinie definiert die Regeln oder Leitlinien für die Zuweisung zum Zugriffspaket. Die einzelnen Richtlinien können verwendet werden, um sicherzustellen, dass nur den übereinstimmenden Benutzern Zugriff zugewiesen werden kann. Der Zugriff ist zudem zeitlich begrenzt und läuft ab, sofern er nicht verlängert wird.
Sie können Richtlinien für Benutzer*innen einrichten, die Zugriff anfordern können. Bei diesen Richtlinientypen definieren Administrator*innen oder Zugriffspaket-Manager*innen Folgendes:
- Die bereits vorhandenen Benutzer (in der Regel Mitarbeiter oder bereits eingeladene Gäste) oder die Partnerorganisationen von externen Benutzern, die Zugriff anfordern dürfen
- Den Genehmigungsprozess und die Benutzer, die den Zugriff genehmigen oder verweigern können
- Die Dauer der Zuweisung des Benutzerzugriffs nach der Genehmigung, bevor die Zuweisung abläuft
Sie können auch Richtlinien einrichten, dass Benutzer*innen der Zugriff entweder von Administrator*innen, automatisch anhand von Regeln oder über Lebenszyklus-Workflows zugewiesen wird.
Im folgenden Diagramm wird ein Beispiel für die verschiedenen Elemente der Berechtigungsverwaltung gezeigt. Es zeigt einen Katalog mit zwei exemplarischen Zugriffspaketen.
- Zugriffspaket 1 enthält als Ressource eine einzelne Gruppe. Der Zugriff wird mit einer Richtlinie definiert, die einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs ermöglicht.
- Zugriffspaket 2 enthält als Ressourcen eine Gruppe, eine Anwendung und eine SharePoint Online-Website. Der Zugriff wird mit zwei verschiedenen Richtlinien definiert. Die erste Richtlinie ermöglicht einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs. Die zweite Richtlinie ermöglicht Benutzern in einem externen Verzeichnis das Anfordern des Zugriffs.
Wann sollten Zugriffspakete verwendet werden?
Zugriffspakete sind kein Ersatz für andere Mechanismen der Zugriffszuweisung. Sie eignen sich am besten für folgende Situationen:
- Migrieren von Zugriffsrichtliniendefinitionen von einer Unternehmensrollenverwaltung eines Drittanbieters zu Microsoft Entra ID.
- Benutzer*innen benötigen für eine bestimmte Aufgabe zeitlich begrenzten Zugriff. Sie können beispielsweise die gruppenbasierte Lizenzierung und eine dynamische Gruppe verwenden, um sicherzustellen, dass alle Mitarbeiter über ein Exchange Online-Postfach verfügen. Anschließend nutzen Sie Zugriffspakete in Situationen, in denen Mitarbeiter zusätzliche Zugriffsrechte benötigen. Dies könnten z. B. Leseberechtigungen für abteilungsspezifische Ressourcen einer anderen Abteilung ein.
- Zugriff, der von Vorgesetzten der Mitarbeiter*innen oder von anderen festgelegten Personen genehmigt werden muss
- Zugriff, der Personen in einem bestimmten Teil einer Organisation während ihrer Zeit in dieser Rolle automatisch zugewiesen werden soll. Kann aber auch von Personen an anderer Stelle in der Organisation oder in der Organisation eines Geschäftspartners angefordert werden.
- Abteilungen möchten eigene Zugriffsrichtlinien für ihre Ressourcen ohne Beteiligung der IT verwalten.
- Mehrere Organisationen arbeiten in einem Projekt zusammen, sodass mehrere Benutzer aus einer Organisation über Microsoft Entra B2B integriert werden müssen, um auf die Ressourcen einer anderen Organisation zugreifen zu können.
Wie kann der Zugriff delegiert werden?
Zugriffspakete sind in Containern definiert, die als Kataloge bezeichnet werden. Sie können einen einzelnen Katalog für alle Zugriffspakete verwenden oder einzelne Personen festlegen, die eigene Kataloge erstellen und dafür verantwortlich sind. Ein Administrator kann jedem Katalog Ressourcen hinzufügen. Ein Nicht-Administrator kann jedoch nur Ressourcen, deren Besitzer er ist, hinzufügen. Ein Katalogbesitzer kann andere Benutzer als Mitbesitzer des Katalogs oder als Zugriffspaket-Manager hinzufügen. Diese Szenarien werden im Artikel Delegierung und Rollen in der Azure AD-Berechtigungsverwaltung ausführlicher beschrieben.
Übersicht über die verwendete Terminologie
Zum besseren Verständnis der Berechtigungsverwaltung und der dazugehörigen Dokumentation sollten Sie mit den folgenden Begriffen vertraut sein.
Begriff | BESCHREIBUNG |
---|---|
Zugriffspaket | Ein Ressourcenpaket, das von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind immer in einem Katalog enthalten. Sie erstellen ein neues Zugriffspaket für ein Szenario, in dem Benutzer Zugriff anfordern müssen. |
Zugriffsanforderung | Die Anforderung des Zugriffs auf die Ressourcen in einem Zugriffspaket. Eine Anforderung durchläuft in der Regel einen Genehmigungsworkflow. Bei einer Genehmigung erhält der anfordernde Benutzer eine Zugriffspaketzuweisung. |
Zuweisung | Die Zuweisung eines Zugriffspakets für einen Benutzer stellt sicher, dass der Benutzer über alle Ressourcenrollen des betreffenden Zugriffspakets verfügt. Zugriffspaketzuweisungen sind normalerweise zeitlich begrenzt, bevor sie ablaufen. |
catalog | Ein Container verwandter Ressourcen und Zugriffspakete. Kataloge werden für die Delegierung verwendet, damit Nicht-Administratoren eigene Zugriffspakete erstellen können. Katalogbesitzer können Ressourcen, deren Besitzer sie sind, zu einem Katalog hinzufügen. |
Katalogersteller | Eine Auflistung der Benutzer, die berechtigt sind, neue Kataloge zu erstellen. Wenn ein Nicht-Administratorbenutzer, der als Katalogersteller autorisiert wurde, einen neuen Katalog erstellt, wird er automatisch Besitzer des betreffenden Katalogs. |
Verbundene Organisation | Ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, zu der eine Beziehung besteht. Die Benutzer einer verbundenen Organisation können in einer Richtlinie als Benutzer angegeben werden, die Zugriff anfordern dürfen. |
policy | Mehrere Regeln, die den Zugriffslebenszyklus definieren. Sie legen beispielsweise fest, wie Benutzer Zugriff erhalten, wer den Zugriff genehmigen darf und wie lange Benutzer durch eine Zuweisung Zugriff haben. Eine Richtlinie ist mit einem Zugriffspaket verknüpft. Ein Zugriffspaket kann beispielsweise zwei Richtlinien enthalten: eine für Mitarbeiter, um Zugriff anzufordern, und eine zweite für externe Benutzer, um Zugriff anzufordern. |
resource | Ein Asset, z. B. eine Office-Gruppe, eine Sicherheitsgruppe, eine Anwendung oder eine SharePoint Online-Website, mit einer Rolle, für die einem Benutzer Berechtigungen erteilt werden können. |
Ressourcenverzeichnis | Ein Verzeichnis, das mindestens eine Ressource enthält, die freigegeben (geteilt) werden soll. |
Ressourcenrolle | Mehrere Berechtigungen, die einer Ressource zugeordnet sind und von einer Ressource definiert werden. Eine Gruppe umfasst zwei Rollen: Mitglied und Besitzer. SharePoint-Websites umfassen in der Regel drei Rollen, können aber weitere benutzerdefinierte Rollen aufweisen. Anwendungen können über benutzerdefinierte Rollen verfügen. |
Lizenzanforderungen
Dieses Feature erfordert Microsoft Entra ID Governance- oder Microsoft Entra Suite-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen innerhalb dieses Features können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden. Weitere Informationen und Details finden Sie in den Artikeln zu den einzelnen Funktionen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Nächste Schritte
- Wenn Sie das Microsoft Entra Admin Center für die Verwaltung des Zugriffs auf Ressourcen verwenden möchten, finden Sie weitere Informationen unter Tutorial: Verwalten des Zugriffs auf Ressourcen: Microsoft Entra.
- Wenn Sie den Zugriff auf Ressourcen über Microsoft Graph verwalten möchten, finden Sie weitere Informationen unter Tutorial: Verwalten des Zugriffs auf Ressourcen: Microsoft Graph.
- Gängige Szenarios