Bereitstellen von Organisationsrichtlinien für das Verwalten des Zugriffs auf Anwendungen, die mit Microsoft Entra ID integriert sind
In den vorherigen Abschnitten haben Sie Ihre Governance-Richtlinien für eine Anwendung definiert und diese Anwendung mit Microsoft Entra ID integriert. In diesem Abschnitt konfigurieren Sie die Microsoft Entra-Funktionen für bedingten Zugriff und Berechtigungsverwaltung, um den laufenden Zugriff auf Ihre Anwendungen zu steuern. Sie richten Folgendes ein:
- Richtlinien für den bedingten Zugriff, wie sich ein Benutzer bei Microsoft Entra ID für eine Anwendung authentifiziert, die mit Microsoft Entra ID für das einmalige Anmelden integriert ist
- Berechtigungsverwaltungsrichtlinien, um zu erfahren, wie ein Benutzer Zuordnungen zu Anwendungsrollen und -mitgliedschaften in Gruppen abruft und hält.
- Richtlinien für die Überprüfung des Zugriffs, d. h. wie oft Gruppenmitgliedschaften überprüft werden
Sobald diese Richtlinien bereitgestellt sind, können Sie das laufende Verhalten von Microsoft Entra ID überwachen, wenn Benutzer Zugriff auf die Anwendung anfordern und zugewiesen bekommen.
Bereitstellen von Richtlinien für bedingten Zugriff für die Durchsetzung des einmaligen Anmeldens
In diesem Abschnitt legen Sie die Richtlinien für den bedingten Zugriff fest, die bestimmen, ob sich ein autorisierter Benutzer bei der App anmelden kann, basierend auf Faktoren wie der Authentifizierungsstärke des Benutzers oder dem Gerätestatus.
Bedingter Zugriff ist nur für Anwendungen möglich, die auf Microsoft Entra ID für einmaliges Anmelden (Single Sign-On, SSO) angewiesen sind. Wenn die Anwendung nicht für das einmalige Anmelden integriert werden kann, fahren Sie im nächsten Abschnitt fort.
- Laden Sie bei Bedarf das Domument mit den Nutzungsbedingungen (Terms of Use, TOU) hoch. Wenn Sie von den Benutzern verlangen, dass sie vor dem Zugriff auf die Anwendung die Nutzungsbedingungen akzeptieren, erstellen Sie das Dokument mit den Nutzungsbedingungen und laden Sie es hoch, damit es in eine Richtlinie für den bedingten Zugriff aufgenommen werden kann.
- Überprüfen Sie, ob Benutzer für Microsoft Entra mehrstufige Authentifizierung bereit sind. Wir empfehlen, für geschäftskritische Anwendungen, die über den Verbund integriert sind, die Microsoft Entra Multi-Faktor-Authentifizierung zu verlangen. Für diese Anwendungen sollte es eine Richtlinie geben, die verlangt, dass der Benutzer eine Multi-Faktor-Authentifizierungsanforderung erfüllt hat, bevor Microsoft Entra ID ihm die Anmeldung bei der Anwendung erlaubt. Einige Organisationen können auch den Zugriff nach Standorten sperren oder verlangen, dass der Benutzer von einem registrierten Gerät aus zugreift. Wenn es noch keine geeignete Richtlinie gibt, die die notwendigen Bedingungen für Authentifizierung, Standort, Gerät und Nutzungsbedingungen enthält, dann fügen Sie eine Richtlinie zu Ihrer Bereitstellung mit bedingtem Zugriff hinzu.
- Platzieren Sie den Anwendungsendpunkt in den Gültigkeitsbereich der entsprechenden Richtlinie für bedingten Zugriff. Wenn Sie eine bestehende Richtlinie für den bedingten Zugriff haben, die für eine andere Anwendung erstellt wurde, die denselben Governance-Anforderungen unterliegt, können Sie diese Richtlinie aktualisieren, damit sie auch für diese Anwendung gilt, um zu vermeiden, dass es zu viele Richtlinien gibt. Sobald Sie die Aktualisierungen vorgenommen haben, überprüfen Sie, ob die erwarteten Richtlinien angewendet werden. Mit dem Was-wäre-wenn-Tool für bedingten Zugriff können Sie sehen, welche Richtlinien für einen Benutzer gelten würden.
- Erstellen Sie eine wiederkehrende Zugriffsüberprüfung, wenn Benutzer temporäre Richtlinienausschlüsse benötigen. In einigen Fällen ist es möglicherweise nicht möglich, Richtlinien für bedingten Zugriff für jeden autorisierten Benutzer sofort durchzusetzen. Beispielsweise verfügen einige Benutzer möglicherweise nicht über ein geeignetes registriertes Gerät. Wenn es erforderlich ist, einen oder mehrere Benutzer aus der Richtlinie für bedingten Zugriff auszuschließen und den Zugriff zuzulassen, konfigurieren Sie eine Zugriffsüberprüfung für die Gruppe der Benutzer, die von den Richtlinien für bedingten Zugriff ausgeschlossen sind.
- Dokumentieren Sie die Sitzungseinstellungen für die Tokenlebensdauer und die Anwendungen. Wie lange ein Benutzer, dem der weitere Zugriff verweigert wurde, eine Verbundanwendung weiterhin nutzen kann, hängt von der Sitzungslebensdauer der Anwendung selbst und von der Gültigkeitsdauer des Zugriffstokens ab. Die Sitzungslebensdauer für eine Anwendung hängt von der Anwendung selbst ab. Weitere Informationen zum Steuern der Lebensdauer von Zugriffstoken finden Sie unter Konfigurierbare Tokengültigkeitsdauer.
Bereitstellen von Berechtigungsverwaltungsrichtlinien für die Automatisierung der Zugriffszuweisung
In diesem Abschnitt konfigurieren Sie die Microsoft Entra-Berechtigungsverwaltung, damit Benutzer den Zugriff auf die Rollen Ihrer Anwendung oder auf von der Anwendung verwendete Gruppen anfordern können. Um diese Aufgaben ausführen zu können, müssen Sie die Rolle Globaler Administrator oder Identity Governance-Administrator innehaben oder als Katalogersteller und Besitzer der Anwendung delegiert sein.
Hinweis
Gemäß des Zugriffs mit geringsten Berechtigungen empfehlen wir die Verwendung der Rolle „Identity Governance-Administrator“.
- Zugriffspakete für verwaltete Anwendungen sollten in einem zugewiesenen Katalog enthalten sein. Wenn Sie noch nicht über einen Katalog für Ihr Anwendungsgovernanceszenario verfügen, erstellen Sie einen Katalog in der Microsoft Entra-Berechtigungsverwaltung. Wenn Sie mehrere Kataloge erstellen müssen, können Sie ein PowerShell-Skript verwenden, um die einzelnen Kataloge zu erstellen.
- Füllen Sie den Katalog mit den erforderlichen Ressourcen auf. Fügen Sie die Anwendung und alle Microsoft Entra-Gruppen, auf die die Anwendung angewiesen ist, als Ressourcen in diesem Katalog hinzu. Wenn Sie über viele Ressourcen verfügen, können Sie ein PowerShell-Skript verwenden, um jede Ressource einem Katalog hinzuzufügen.
- Erstellen Sie ein Zugriffspaket für jede Rolle oder Gruppe, die Benutzer anfordern können. Erstellen Sie für die Anwendungen und ihre Anwendungsrollen oder -gruppen ein Zugriffspaket, das diese Rolle oder Gruppe als Ressource enthält. In dieser Phase der Konfiguration des Zugriffspakets konfigurieren Sie die Zugriffspaket-Zuweisungsrichtlinie für die direkte Zuweisung, so dass nur Administratoren Zuweisungen erstellen können. Legen Sie in dieser Richtlinie die Anforderungen für die Überprüfung des Zugriffs für bestehende Benutzer fest, damit diese nicht unbegrenzt Zugriff haben. Sie können ein PowerShell-Skript verwenden, um ein Zugriffspaket in einem Katalog zu erstellen.
- Konfigurieren Sie Zugriffspakete, um die Anforderungen der Aufgabentrennung durchzusetzen. Wenn Sie Anforderungen der Aufgabentrennung haben, konfigurieren Sie die inkompatiblen Zugriffspakete oder vorhandenen Gruppen für Ihr Zugriffspaket. Wenn Ihr Szenario die Möglichkeit erfordert, eine Prüfung der Aufgabentrennung zu überschreiben, dann können Sie auch zusätzliche Zugriffspakete für diese Überschreibungsszenarien einrichten.
- Fügen Sie den Zugriffspaketen Zuordnungen bestehender Benutzer hinzu, die bereits Zugriff auf die Anwendung haben. Weisen Sie für jedes Zugriffspaket bestehende Benutzer der Anwendung in dieser Rolle oder Mitglieder dieser Gruppe dem Zugriffspaket zu. Sie können Benutzer*innen direkt über das Azure-Portal einem Zugriffspaket zuweisen, oder per Massenvorgang über Graph oder PowerShell.
- Sie können für Benutzer Richtlinien für das Anfordern von Zugriffsrechten erstellen. Erstellen Sie in jedem Zugriffspaket zusätzliche Zugriffspaketzuweisungsrichtlinien für Benutzer, die Zugriffsrechte anfordern möchten. Konfigurieren Sie die Anforderungen für die Genehmigung und wiederkehrende Zugriffsüberprüfung in dieser Richtlinie.
- Erstellen Sie für andere Gruppen wiederkehrende Zugriffsüberprüfungen, die von der Anwendung verwendet werden. Wenn es Gruppen gibt, die von der Anwendung verwendet werden, aber keine Ressourcenrollen für ein Zugriffspaket sind, dann erstellen Sie Zugriffsüberprüfungen für die Mitgliedschaft in diesen Gruppen.
Anzeigen von Berichten über den Zugriff
Microsoft Entra ID und Microsoft Entra ID Governance stellen zusammen mit Azure Monitor mehrere Berichte zur Verfügung, mit deren Hilfe Sie nachvollziehen können, wer Zugriff auf eine Anwendung hat und ob die Person diesen Zugriff nutzt.
- Administrator*innen oder Katalogbesitzer*innen können über das Microsoft Entra Admin Center, Graph oder PowerShell die Liste der Benutzer*innen abrufen, die Zugriffspaketzuweisungen haben.
- Sie können die Überwachungsprotokolle auch an Azure Monitor senden und einen Verlauf der Änderungen am Zugriffspaket im Microsoft Entra Admin Center oder über PowerShell anzeigen.
- Sie können die Anmeldungen bei einer Anwendung für die letzten 30 Tage im Anmeldebericht im Microsoft Entra Admin Center oder über Graph einsehen.
- Sie können die Anmeldeprotokolle auch an Azure Monitor senden, um die Anmeldeaktivitäten bis zu zwei Jahre lang zu archivieren.
Überwachen der Anpassung von Berechtigungsverwaltungsrichtlinien und Zugriff bei Bedarf
Überprüfen Sie in regelmäßigen Abständen – z. B. wöchentlich, monatlich oder vierteljährlich, je nach Umfang der Änderungen der Anwendungszugriffszuweisung für Ihre Anwendung – im Microsoft Entra Admin Center, ob der Zugriff in Übereinstimmung mit den Richtlinien gewährt wird. Sie können auch sicherstellen, dass die für die Genehmigung und Überprüfung identifizierten Benutzer immer noch die richtigen Personen für diese Aufgaben sind.
Achten Sie auf die Zuweisung von Anwendungsrollen und Änderungen der Gruppenmitgliedschaft. Wenn Sie Microsoft Entra ID so konfiguriert haben, dass es sein Überwachungsprotokoll an Azure Monitor sendet, verwenden Sie die
Application role assignment activity
in Azure Monitor, um alle Anwendungsrollenzuweisungen zu überwachen und zu melden, die nicht über die Berechtigungsverwaltung vorgenommen wurden. Wenn es Rollenzuweisungen gibt, die von einem Anwendungsbesitzer direkt erstellt wurden, sollten Sie sich mit diesem Anwendungsbesitzer in Verbindung setzen, um festzustellen, ob diese Zuweisung autorisiert wurde. Wenn die Anwendung auf Microsoft Entra-Sicherheitsgruppen angewiesen ist, sollten Sie außerdem auf Änderungen an diesen Gruppen achten.Halten Sie auch Ausschau nach Benutzern, denen direkt in der Anwendung Zugriff gewährt wird. Wenn die folgenden Bedingungen erfüllt sind, ist es möglich, dass ein Benutzer Zugriff auf eine Anwendung erhält, ohne Teil von Microsoft Entra ID zu sein oder ohne von Microsoft Entra ID zum Benutzerkontospeicher der Anwendung hinzugefügt zu werden:
- Die Anwendung verfügt über einen lokalen Benutzerkontospeicher in der App.
- Der Benutzerkontospeicher befindet sich in einer Datenbank oder in einem LDAP-Verzeichnis.
- Die Anwendung ist für das einmalige Anmelden nicht nur auf Microsoft Entra ID angewiesen.
Bei einer Anwendung mit den Eigenschaften in der vorherigen Liste sollten Sie regelmäßig überprüfen, ob die Benutzer nur über die Microsoft Entra-Bereitstellung zum lokalen Benutzerspeicher der Anwendung hinzugefügt wurden. Bei Benutzern, die direkt in der Anwendung erstellt wurden, wenden Sie sich an den Besitzer der Anwendung, um festzustellen, ob diese Zuweisung autorisiert wurde.
Stellen Sie sicher, dass genehmigende und prüfende Personen auf dem neuesten Stand bleiben. Vergewissern Sie sich, dass für jedes Zugriffspaket, das Sie im vorherigen Abschnitt konfiguriert haben, die Richtlinien für die Zuweisung von Zugriffspaketen weiterhin die richtigen genehmigenden und prüfenden Personen enthalten. Aktualisieren Sie diese Richtlinien, wenn die zuvor konfigurierten genehmigenden und prüfenden Personen nicht mehr in der Organisation vorhanden sind oder eine andere Rolle innehaben.
Überprüfen Sie, ob die prüdenden Personen während einer Prüfung Entscheidungen treffen. Überwachen Sie, dass die wiederkehrenden Zugriffsüberprüfungen für diese Zugriffspakete erfolgreich abgeschlossen werden, um sicherzustellen, dass die prüfenden Personen teilnehmen und Entscheidungen treffen, um den weiteren Zugriffsbedarf des Benutzers zu genehmigen oder zu verweigern.
Prüfen Sie, ob die Bereitstellung und die Aufhebung der Bereitstellung wie erwartet funktionieren. Wenn Sie zuvor die Bereitstellung von Benutzern für die Anwendung konfiguriert hatten, beginnt Microsoft Entra ID mit der Aufhebung der Bereitstellung von abgelehnten Benutzern in der Anwendung, wenn die Ergebnisse einer Überprüfung angewendet werden oder die Zuweisung eines Benutzers zu einem Zugriffspaket abläuft. Sie können den Prozess der Aufhebung der Bereitstellung von Benutzern überwachen. Wenn die Bereitstellung einen Fehler mit der Anwendung angibt, können Sie das Bereitstellungsprotokoll herunterladen, um zu prüfen, ob ein Problem mit der Anwendung aufgetreten ist.
Aktualisieren Sie die Microsoft Entra-Konfiguration mit allen Rollen- oder Gruppenänderungen in der Anwendung. Wenn die Anwendung neue Anwendungsrollen im Manifest hinzufügt, bestehende Rollen aktualisiert oder auf zusätzliche Gruppen angewiesen ist, müssen Sie die Zugriffspakete und Zugriffsüberprüfungen aktualisieren, um diesen neuen Rollen oder Gruppen Rechnung zu tragen.