Häufig gestellte Fragen (FAQs)

  • Artikel

In diesem Artikel werden häufig gestellte Fragen (FAQs) zu Microsoft Entra Permissions Management beantwortet.

Was ist Microsoft Entra Permissions Management?

Microsoft Entra Permissions Management (Permissions Management) ist eine Lösung der Berechtigungsverwaltung für die Cloudinfrastruktur (Cloud Infrastructure Entitlement Management, CIEM), die umfassende Erkenntnisse zu Berechtigungen bietet, die allen Identitäten zugewiesen sind. Beispiele wären etwa überprivilegierte Workload- und Benutzeridentitäten, Aktionen und Ressourcen in mehreren Cloudinfrastrukturen in Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP). Permissions Management kann nicht verwendete und übermäßige Berechtigungen erkennen, automatisch richtig dimensionieren und kontinuierlich überwachen. Es vertieft die Zero Trust-Sicherheitsstrategie durch die Erweiterung des Prinzips der geringstmöglichen Zugriffsberechtigungen.

Welche Voraussetzungen gelten für die Verwendung von Permissions Management?

Permissions Management unterstützt die Datensammlung von AWS, GCP und/oder Microsoft Azure. Für die Datensammlung und -analyse müssen Kunden über ein Microsoft Entra-Konto verfügen, um Permissions Management verwenden zu können.

Kann ein Kunde Permissions Management verwenden, wenn er über andere Identitäten mit Zugriff auf seine IaaS-Plattform verfügt, die noch nicht in Microsoft Entra ID vorhanden sind?

Ja, Kunden können das Risiko von AWS IAM- oder GCP-Konten oder von anderen Identitätsanbietern wie Okta oder AWS IAM erkennen, mindern und überwachen.

Wo können Kunden auf Permissions Management zugreifen?

Kunden können über das Microsoft Entra-Verwaltungscenter auf die Permissions Management-Schnittstelle zugreifen.

Kann Permissions Management von Kunden ohne Cloud lokal verwendet werden?

Nein. Permissions Management ist ein gehostetes Cloudangebot.

Können Nicht-Azure-Kunden Permissions Management verwenden?

Ja. Kunden ohne Azure können unsere Lösung verwenden. Da es sich bei Permissions Management um eine Lösung für mehrere Clouds handelt, können auch Kund*innen ohne Azure-Abonnement von dieser Lösung profitieren.

Ist Permissions Management für Mandanten verfügbar, die in der Europäischen Union (EU) gehostet werden?

Ja, die Berechtigungsverwaltung ist derzeit für Mandanten verfügbar, die in der Europäischen Union (EU) gehostet werden.

Welchen Wert bietet Permissions Management, wenn ich bereits Microsoft Entra ID Privileged Identity Management (PIM) verwende?

Permissions Management ergänzt Microsoft Entra PIM. Microsoft Entra PIM bietet Just-in-Time-Zugriff für Administratorrollen in Azure und Microsoft-Onlinediensten sowie für Apps, die Gruppen verwenden. Permissions Management ermöglicht eine auf mehreren Clouds basierende Ermittlung, Behandlung und Überwachung des privilegierten Zugriffs in Azure, AWS und GCP.

Welche öffentlichen Cloudinfrastrukturen unterstützt Permissions Management?

Permissions Management unterstützt derzeit die drei wichtigsten öffentlichen Clouds: Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure.

Werden Hybridumgebungen von Permissions Management unterstützt?

Hybridumgebungen werden von Permissions Management derzeit nicht unterstützt.

Welche Identitäten werden von Permissions Management unterstützt?

Permissions Management unterstützt Benutzeridentitäten (z. B. Mitarbeiter, Kunden, externe Partner) und Workloadidentitäten (z. B. virtuelle Computer, Container, Web-Apps, serverlose Funktionen).

Ist Permissions Management in Government Cloud verfügbar?

Nein. Permissions Management ist derzeit nicht in Government Cloud verfügbar.

Ist Permissions Management für Sovereign Clouds verfügbar?

Nein. Permissions Management ist derzeit nicht in Sovereign Cloud verfügbar.

Wie sammelt Permissions Management Erkenntnisse zur Berechtigungsverwendung?

Permissions Management verfügt über einen Datensammler. Dieser sammelt Zugriffsberechtigungen, die verschiedenen Identitäten zugewiesen sind, sowie Aktivitätsprotokolle und Ressourcenmetadaten. Der Datensammler bietet einen umfassenden Überblick über die Ressourcenzugriffsberechtigungen, die allen Identitäten gewährt wurden, sowie Details zur Verwendung der gewährten Berechtigungen.

Wie wird das Cloudberechtigungsrisiko von Permissions Management ausgewertet?

Permissions Management bietet einen präzisen, cloudinfrastrukturübergreifenden Einblick in alle Identitäten und die Berechtigungen, die ihnen gewährt wurden bzw. die von ihnen verwendet werden, um alle Aktionen aufzudecken, die von einer beliebigen Identität für eine beliebige Ressource ausgeführt werden. Dieser Überblick ist nicht nur auf Benutzeridentitäten beschränkt, sondern schließt auch Workloadidentitäten wie virtuelle Computer, Zugriffsschlüssel, Container und Skripts mit ein. Das Dashboard bietet eine Übersicht über das Berechtigungsprofil, um die Identitäten und Ressourcen mit dem höchsten Risiko zu finden.

Was ist der Index für schleichende Berechtigungsausweitung?

Der Index für schleichende Berechtigungsausweitung (Permission Creep Index, PCI) ist ein quantitatives Maß für das Risiko im Zusammenhang mit einer Identität oder Rolle und wird bestimmt, indem die erteilten Berechtigungen mit den verwendeten Berechtigungen verglichen werden. Dadurch können Benutzer sofort die Risikostufe im Zusammenhang mit der Anzahl nicht verwendeter oder überdimensionierter Berechtigungen für Identitäten und Ressourcen bewerten. Der Index gibt Aufschluss über den potenziellen Schaden, den Identitäten angesichts der ihnen zugewiesenen Berechtigungen verursachen können.

Wie können Kunden nicht verwendete oder übermäßige Berechtigungen mithilfe von Permissions Management löschen?

Mit Permissions Management können Benutzer mit wenigen Klicks übermäßige Berechtigungen richtig dimensionieren und die Erzwingung der Richtlinie für geringstmögliche Berechtigungen automatisieren. Die Lösung analysiert kontinuierlich historische Daten zur Berechtigungsnutzung für jede Identität und ermöglicht es Kunden, die Berechtigungen dieser Identität auf Berechtigungen zu beschränken, die nur für den täglichen Betrieb verwendet werden. Alle nicht verwendeten und anderen riskanten Berechtigungen können automatisch entfernt werden.

Warum wird ein Benutzer, den ich gelöscht habe, weiterhin auf der Registerkarte „Analysen“ angezeigt?

Überprüfen Sie, ob dem Benutzer eine klassische Administratorrolle zugewiesen wurde. Klassische Administratorrollen werden nicht entfernt, wenn ein Benutzer gelöscht wird. Um dies zu beheben, wechseln Sie zur Seite für klassische Administratoren, und löschen Sie diese Rollenzuweisung separat für den Benutzer.

Wie können Kunden mit Permissions Management bei Bedarf Berechtigungen erteilen?

In Not- und Ausnahmefällen, in denen eine Identität bestimmte Aktionen für bestimmte Ressourcen ausführen muss, kann die Identität bei Bedarf die erforderlichen Berechtigungen mithilfe eines Self-Service-Workflows für einen begrenzten Zeitraum anfordern. Kunden können entweder die integrierte Workflow-Engine oder ihr IT-Service-Management (ITSM) verwenden. Die Benutzererfahrung ist für jeden Identitätstyp, jede Identitätsquelle (lokal, Unternehmensverzeichnis oder Verbund) und für jede Cloud identisch.

Was ist der Unterschied zwischen Berechtigungen bei Bedarf und Just-In-Time-Zugriff?

JIT-Zugriff (Just-In-Time) ist eine Methode, mit der das Prinzip der geringstmöglichen Rechte erzwungen wird, um sicherzustellen, dass Identitäten über die Mindestberechtigungen zum Ausführen der anstehenden Aufgabe verfügen. Berechtigungen bei Bedarf sind eine Form des JIT-Zugriffs, die die temporäre Erweiterung von Rechten ermöglicht, sodass Identitäten auf Anforderungsbasis zeitlich begrenzter Zugriff auf Ressourcen gewährt werden kann.

Wie können Kunden mithilfe von Permissions Management die Verwendung von Berechtigungen überwachen?

Kunden müssen nur die Entwicklung ihres Index für schleichende Berechtigungsausweitung (Permission Creep Index, PCI) nachverfolgen, um die Verwendung von Berechtigungen zu überwachen. Kunden können den PCI auf der Registerkarte Analyse über ihr Permissions Management-Dashboard überwachen.

Können Kunden Berichte zur Berechtigungsverwendung generieren?

Permissions Management bietet verschiedene Systemberichtstypen, in denen bestimmte Gruppen von Daten erfasst werden. Diese Berichte ermöglichen Kunden Folgendes:

  • Zeitnahe Entscheidungen treffen.
  • Analysieren von Nutzungstrends und der System-/Benutzerleistung.
  • Identifizieren von Bereichen mit hohem Risiko.

Informationen zu Berichten zur Berechtigungsverwendung finden Sie unter Generieren und Herunterladen des Berechtigungsanalyseberichts.

Kann Permissions Management in ITSM-Tools (Information Technology Service Management) von Drittanbietern integriert werden?

Eine Integration in ITMS-Tools wie ServiceNow ist für die Zukunft geplant.

Wie wird Permissions Management bereitgestellt?

Kunden mit der Rolle „Globaler Administrator“ müssen zuerst ein Onboarding von Permissions Management in ihren Microsoft Entra-Mandanten durchführen und dann das Onboarding ihrer AWS-Konten, GCP-Projekte und Azure-Abonnements durchführen. Ausführlichere Informationen zur Integration finden Sie in unserer Produktdokumentation.

Wie lange dauert die Bereitstellung von Permissions Management?

Das hängt vom jeweiligen Kunden sowie von der Anzahl vorhandener AWS-Konten, GCP-Projekte und Azure-Abonnements ab.

Wie schnell kann ich nach der Bereitstellung von Permissions Management Einblicke in Berechtigungen erhalten?

Nach vollständiger Integration und Einrichtung der Datensammlung können Kunden innerhalb von Stunden auf Erkenntnisse zur Berechtigungsverwendung zugreifen. Der Index für schleichende Berechtigungsausweitung wird von unserer Machine Learning-Engine stündlich aktualisiert, damit Kunden sofort mit der Risikobewertung beginnen können.

Werden von Permissions Management vertrauliche personenbezogene Daten gesammelt und gespeichert?

Nein, Permissions Management hat keinen Zugriff auf vertrauliche personenbezogene Daten.

Wo finde ich mehr Informationen zu Permissions Management?

Weitere Informationen finden Sie in unserem Blog und auf unserer Webseite. Sie können sich aber auch an Ihren Microsoft-Ansprechpartner wenden, um einen Termin für eine Demo zu vereinbaren.

Was ist der Datenvernichtungs-/Außerbetriebnahmeprozess?

Wenn ein Kunde eine kostenlose 45-Tage-Testversion von Permissions Management initiiert und nicht innerhalb von 45 Tagen nach Ablauf der Testversion in eine kostenpflichtige Lizenz konvertiert, werden alle gesammelten Daten innerhalb von 30 Tagen nach dem Ablaufdatum der Testversion gelöscht.

Wenn ein Kunde beschließt, die Lizenzierung des Dienstes zu beenden, werden alle zuvor gesammelten Daten innerhalb von 30 Tagen nach Beendigung der Lizenz gelöscht.

Kunden können auch bestimmte Daten entfernen, exportieren oder ändern, wenn ein globaler Administrator, der die Permissions Management-Dienstdatei verwendet, einen offiziellen Antrag betroffener Personen einreicht. So reichen Sie einen Antrag ein:

Wenn Sie ein Unternehmenskunde sind, können Sie sich an Ihren Microsoft-Vertreter, Ihr Kontoteam oder Ihren Mandantenadministrator wenden, um ein IcM-Supportticket mit hoher Priorität einzureichen, um einen Antrag betroffener Personen anzufordern. Fügen Sie keine Details oder personenbezogenen Informationen in die IcM-Anforderung ein. Wir werden uns erst nach der Einreichung eines IcM an Sie wenden, um diese Details anzufordern.

Wenn Sie ein Self-Service-Kunde sind (Sie haben eine Testversion oder eine kostenpflichtige Lizenz im Microsoft 365 Admin Center eingerichtet), können Sie sich an das Datenschutzteam von Permissions Management wenden, indem Sie Ihr Profil-Dropdownmenü und dann Kontoeinstellungen in Permissions Management auswählen. Befolgen Sie die Anweisungen, um einen Antrag betroffener Personen zu stellen.

Erfahren Sie mehr über Anträge betroffener Personen in Azure.

Benötige ich eine Lizenz für die Verwendung von Microsoft Entra Permissions Management?

Ja, ab dem 1. Juli, 2022 müssen neue Kunden eine kostenlose 45-Tage-Testlizenz oder eine kostenpflichtige Lizenz für die Nutzung des Diensts erwerben. Sie können hier eine Testversion aktivieren: https://aka.ms/TryPermissionsManagement, oder Sie können hier direkt ressourcenbasierte Lizenzen erwerben: https://aka.ms/BuyPermissionsManagement

Welche Preise gelten für Permissions Management?

Permissions Management kostet 125 USD pro Ressource und Jahr (10,40 USD pro Ressource/Monat). Permissions Management erfordert Lizenzen für Workloads. Dies schließt alle Ressourcen ein, die Compute oder Arbeitsspeicher nutzen.

Muss ich für alle Ressourcen bezahlen?

Obwohl Permissions Management alle Ressourcen unterstützt, benötigt Microsoft nur Lizenzen für abrechenbare Ressourcen pro Cloud-Umgebung. Weitere Informationen zu abrechenbaren Ressourcen finden Sie unter Anzeigen abrechenbarer Ressourcen, die in Ihrem Autorisierungssystem aufgeführt sind.

Wie kann ich die Anzahl der abrechenbaren Ressourcen berechnen, die ich besitze?

Um die abrechenbaren Ressourcen zu berechnen, die Sie in Ihrer Multicloudinfrastruktur besitzen, müssen Sie zunächst eine 45-tägige kostenlose Testversion von Permissions Management aktivieren oder eine kostenpflichtige Lizenz erwerben. Wählen Sie unter Berechtigungsverwaltung die Option Einstellungen (Zahnradsymbol) aus, und klicken Sie dann auf die Registerkarte Abrechenbare Ressourcen. Zeigen Sie die Menge der abrechenbaren Ressourcen in der Spalte Gesamtanzahl von Lizenzen an.

Was mache ich, wenn ich die Legacyversion des CloudKnox-Diensts verwende?

Wir arbeiten derzeit an der Entwicklung eines Migrationsplans, um Kunden im ursprünglichen CloudKnox-Dienst zu helfen, später in 2022 zum neuen Microsoft Entra Permissions Management-Dienst zu wechseln.

Kann ich Microsoft Entra Permissions Management in der EU verwenden?

Ja, das Produkt ist konform.

Wie kann ich eine der neuen 18 Sprachen aktivieren, die in der GA-Version unterstützt werden?

Wir sind jetzt in 18 Sprachen lokalisiert. Wir respektieren Ihre Browsereinstellung, oder Sie können Ihre Sprache manuell aktivieren, indem Sie Ihrer Microsoft Entra Permissions Management-URL ein Abfragezeichenfolgensuffix hinzufügen:

?lang=xx-XX

Dabei ist xx-XX einer der folgenden verfügbaren Sprachparameter: „cs-CZ“, „de-DE“, „en-US“, „es-ES“, „fr-FR“, „hu-HU“, „id-ID“, „it-IT“, „ja-JP“, „ko-KR“, „nl-NL“, „pl-PL“, „pt-BR“, „pt-PT“, „ru-RU“, „sv-SE, „tr-TR“, „zh-CN“ oder „zh-TW“.

Ressourcen

Nächste Schritte