Vorbereiten einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung

Azure Active Directory (Azure AD) Identity Governance ermöglicht Ihnen, den Sicherheitsbedarf Ihrer Organisation und die Produktivität von Mitarbeitern mit den richtigen Prozessen sowie Transparenz in Einklang zu bringen. Bereitgestellt werden Funktionen, die den richtigen Zugriff der richtigen Personen auf die richtigen Ressourcen gewährleisten.

Organisationen mit Compliance-Anforderungen oder Risikomanagementplänen haben sensible oder geschäftskritische Anwendungen. Die Sensibilität der Anwendung kann auf ihrem Zweck oder den darin enthaltenen Daten basieren, wie z.B. Finanzinformationen oder persönliche Daten der Kunden der Organisation. Für diese Anwendungen wird in der Regel nur eine Teilmenge aller Benutzer in der Organisation zugriffsberechtigt sein, und der Zugriff sollte nur auf der Grundlage dokumentierter Geschäftsanforderungen gestattet werden. Azure AD kann mit vielen beliebten SaaS-Anwendungen, lokalen Anwendungen und Anwendungen integriert werden, die Ihre Organisation mit Standardprotokoll - und API-Schnittstellen entwickelt hat. Über diese Schnittstellen kann Azure AD die autoritative Quelle sein, die den Zugriff auf diese Anwendungen steuert. Wenn Sie Ihre Anwendungen in Azure AD integrieren, können Sie dann Azure AD-Zugriffsüberprüfungen verwenden, um die Benutzer, die Zugriff auf diese Anwendungen haben, neu zu zertifizieren und den Benutzern, die keinen Zugriff mehr benötigen, den Zugriff zu entziehen. Sie können auch andere Features verwenden, einschließlich Nutzungsbedingungen, bedingtem Zugriff und Berechtigungsverwaltung, um den Zugriff auf Anwendungen zu steuern, wie in Steuern des Zugriffs für Anwendungen in Ihrer Umgebung beschrieben.

Voraussetzungen für die Zugriffsüberprüfung

Um Azure AD für eine Zugriffsüberprüfung des Zugriffs auf eine Anwendung zu verwenden, müssen Sie eine der folgenden Lizenzen in Ihrem Mandanten haben:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5-Lizenz

Für die Nutzung der Zugriffsüberprüfungsfunktion ist es zwar nicht erforderlich, dass die Benutzer über diese Lizenzen verfügen, um die Funktion nutzen zu können, aber Sie benötigen in Ihrem Mandanten mindestens so viele Lizenzen wie die Anzahl der Mitglieder (Nicht-Gäste), die als Überprüfer konfiguriert werden sollen.

Außerdem wird empfohlen, die Mitgliedschaft privilegierter Verzeichnisrollen regelmäßig zu überprüfen, die die Möglichkeit haben, den Zugriff anderer Benutzer auf alle Anwendungen zu steuern. Administratoren in den Global Administrator, Identity Governance Administrator, User Administrator, Application AdministratorCloud Application Administrator , und Privileged Role Administrator können Änderungen an Benutzern und deren Anwendungsrollenzuweisungen vornehmen, sodass der Zugriff auf die Überprüfung dieser Verzeichnisrollen geplant wurde.

Bestimmen, wie die Anwendung in Azure AD integriert ist

Damit Azure AD-Zugriffsüberprüfungen für eine Anwendung verwendet werden können, muss die Anwendung zunächst mit Azure AD integriert werden. Wenn eine Anwendung in Azure AD integriert werden soll, muss eine von zwei Anforderungen erfüllt sein:

  • Die Anwendung basiert auf Azure AD für Verbund-SSO, und Azure AD steuert die Ausgabe von Authentifizierungstoken. Wenn Azure AD der einzige Identitätsanbieter für die Anwendung ist, können sich nur Benutzer anmelden, die einer der Rollen der Anwendung in Azure AD zugewiesen sind. Diejenigen Benutzer, die durch eine Überprüfung abgelehnt werden, verlieren ihre Anwendungsrollenzuweisung und können kein neues Token mehr erhalten, um sich bei der Anwendung anzumelden.
  • Die Anwendung stützt sich auf Benutzer- oder Gruppenlisten, die der Anwendung von Azure AD bereitgestellt werden. Diese Erfüllung könnte über ein Bereitstellungsprotokoll wie das System for Cross-Domain Identity Management (SCIM) erfolgen, indem die Anwendung Azure AD über Microsoft Graph abfragt oder über Gruppen, die in AD DS geschrieben werden. Die Benutzer, denen eine Überprüfung verweigert wird, verlieren ihre Anwendungsrollenzuweisung oder ihre Gruppenzugehörigkeit. Wenn diese Änderungen in der Anwendung bereitgestellt werden, haben die verweigerten Benutzer dann keinen Zugriff mehr.

Wenn keine dieser Kriterien für eine Anwendung erfüllt ist, da die Anwendung nicht auf Azure AD angewiesen ist, können Zugriffsüberprüfungen weiterhin verwendet werden. Es kann jedoch einige Einschränkungen geben. Benutzer, die sich nicht in Ihrem Azure AD befinden oder den Anwendungsrollen in Azure AD nicht zugewiesen sind, werden bei der Überprüfung nicht berücksichtigt. Außerdem können die Änderungen, die nicht verweigert werden, nicht automatisch an die Anwendung gesendet werden, wenn es kein Bereitstellungsprotokoll gibt, das die Anwendung unterstützt. Die Organisation muss stattdessen über ein Verfahren verfügen, um die Ergebnisse einer abgeschlossenen Überprüfung an die Anwendung zu senden.

Damit eine Vielzahl von Anwendungen und IT-Anforderungen mit Azure AD abgedeckt werden kann, gibt es mehrere Muster, wie eine Anwendung in Azure AD integriert werden kann. Das folgende Flussdiagramm veranschaulicht, wie Sie aus drei Integrationsmustern (A-C) auswählen, die für Anwendungen zur Verwendung mit Identity Governance geeignet sind. Wenn Sie wissen, welches Muster für eine bestimmte Anwendung verwendet wird, können Sie die entsprechenden Ressourcen in Azure AD so konfigurieren, dass sie für die Zugriffsprüfung bereit sind.

Diagramm für Anwendungsintegrationsmuster

Muster Anwendungsintegrationsmuster Schritte zur Vorbereitung einer Zugriffsüberprüfung
A Die Anwendung unterstützt Verbund-SSO, Azure AD ist der einzige Identitätsanbieter, und die Anwendung basiert nicht auf Gruppen- oder Rollenansprüchen. Bei diesem Muster konfigurieren Sie, dass die Anwendung individuelle Anwendungsrollenzuweisungen erfordert und dass Benutzer der Anwendung zugewiesen werden. Um die Überprüfung auszuführen, erstellen Sie eine einzelne Zugriffsüberprüfung für die Anwendung, von den Benutzern, die dieser Anwendungsrolle zugewiesen sind. Wenn die Überprüfung abgeschlossen ist und ein Benutzer verweigert wurde, wird er aus der Anwendungsrolle entfernt. Azure AD wird dann für diesen Benutzer keine Verbund-Token mehr ausstellen und der Benutzer kann sich nicht mehr bei dieser Anwendung anmelden.
B Wenn die Anwendung zusätzlich zu Anwendungsrollenzuweisungen Gruppenansprüche verwendet. Eine Anwendung kann die AD- oder Azure AD-Gruppenmitgliedschaft verwenden, die sich von Anwendungsrollen unterscheidet, um einen differenzierteren Zugriff auszudrücken. Hier können Sie je nach Ihren geschäftlichen Anforderungen wählen, ob Sie die Benutzer mit Anwendungsrollenzuweisungen oder die Benutzer mit Gruppenmitgliedschaften überprüfen lassen möchten. Wenn die Gruppen keine umfassende Zugriffsabdeckung bieten, insbesondere wenn Benutzer auch dann Zugriff auf die Anwendung haben, wenn sie nicht Mitglied dieser Gruppen sind, dann wird empfohlen, die Anwendungsrollenzuweisungen zu überprüfen, wie in Muster A oben beschrieben.
C Die Anwendung basiert im Hinblick auf Verbund-SSO nicht allein auf Azure AD, unterstützt aber die Bereitstellung über SCIM oder über Updates für eine SQL-Tabelle mit Benutzern oder ein LDAP-Verzeichnis ohne AD. In diesem Muster konfigurieren Sie Azure AD für die Bereitstellung der Benutzer mit Anwendungsrollenzuweisungen für die Datenbank oder das Verzeichnis der Anwendung, aktualisieren die Anwendungsrollenzuweisungen in Azure AD mit einer entsprechenden Benutzerliste und erstellen dann eine Einzelzugriffsüberprüfung der Anwendungsrollenzuweisungen. Weitere Informationen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung, um die Zuweisungen von Anwendungsrollen in Azure AD zu aktualisieren.

Weitere Optionen

Die oben aufgeführten Integrationsmuster sind auf SaaS-Anwendungen von Drittanbietern oder auf Anwendungen anwendbar, die von oder für Ihre Organisation entwickelt wurden.

  • Einige Microsoft Online Services, z. B. Exchange Online, verwenden Lizenzen. Die Benutzerlizenzen können zwar nicht direkt überprüft werden, aber wenn Sie gruppenbasierte Lizenzzuweisungen mit Gruppen mit zugewiesenen Benutzern verwenden, können Sie stattdessen die Mitgliedschaften dieser Gruppen überprüfen.
  • Einige Anwendungen können die delegierte Benutzerzustimmung verwenden, um den Zugriff auf Microsoft Graph oder andere Ressourcen zu steuern. Da die Zustimmungen der einzelnen Benutzer nicht durch einen Genehmigungsprozess kontrolliert werden, sind die Zustimmungen in Azure AD nicht überprüfbar. Stattdessen können Sie überprüfen, wer über Richtlinien für bedingten Zugriff eine Verbindung mit der Anwendung herstellen kann, die auf Anwendungsrollenzuweisungen oder Gruppenmitgliedschaften basieren könnten.
  • Wenn die Anwendung Verbund- oder Bereitstellungsprotokolle nicht unterstützt, benötigen Sie einen Prozess zum manuellen Anwenden der Ergebnisse, wenn eine Überprüfung abgeschlossen ist. Wenn bei einer Anwendung, die nur die SSO-Integration mit Kennwort unterstützt, die Zuweisung einer Anwendung nach Abschluss einer Überprüfung entfernt wird, wird die Anwendung nicht mehr auf der Seite myapps für den Benutzer angezeigt. Ein Benutzer, der das Kennwort bereits kennt, wird jedoch nicht daran gehindert, sich weiterhin bei der Anwendung anzumelden. Bitten Sie den SaaS-Anbieter, den App-Katalog für Verbund oder Bereitstellung zu integrieren, indem Sie ihre Anwendung aktualisieren, um ein Standardprotokoll zu unterstützen.

Prüfen Sie, ob die Anwendung und die Gruppen für die Überprüfung bereit sind

Nachdem Sie das Integrationsmuster für die Anwendung identifiziert haben, prüfen Sie, ob die Anwendung, wie sie in Azure AD dargestellt ist, zur Überprüfung bereit ist.

  1. Klicken Sie im Azure-Portal auf Azure Active Directory, klicken Sie auf Unternehmensanwendungen, und überprüfen Sie, ob sich Ihre Anwendung in der Liste der Unternehmensanwendungen in Ihrem Azure AD-Mandanten befindet.

  2. Wenn die Anwendung noch nicht aufgeführt ist, überprüfen Sie, ob die Anwendung den Anwendungskatalog für Anwendungen verfügbar ist, die für Verbund-SSO oder -Bereitstellung integriert werden können. Wenn sie sich im Katalog befindet, verwenden Sie die Lernprogramme , um die Anwendung für den Verbund zu konfigurieren, und wenn sie die Bereitstellung unterstützt, konfigurieren Sie auch die Anwendung für die Bereitstellung. Wenn die Anwendung AD-Sicherheitsgruppen verwendet, fügen Sie die Anwendung für den Remotezugriff per Anwendungsproxy hinzu und konfigurieren Sie das Gruppenrückschreiben in AD.

  3. Wenn die Anwendung in der Liste der Unternehmensanwendungen in Ihrem Mandanten enthalten ist, wählen Sie die Anwendung aus der Liste aus.

  4. Wechseln sie zur Registerkarte Eigenschaften. Überprüfen Sie, ob die Option Benutzerzuweisung erforderlich? auf Ja festgelegt ist. Wenn diese Einstellung auf Nein festgelegt ist, können alle Benutzer in Ihrem Verzeichnis, einschließlich externer Identitäten, auf die Anwendung zugreifen, und Sie können den Zugriff auf die Anwendung nicht überprüfen.

    Screenshot: Planen von App-Zuweisungen

  5. Wechseln Sie zur Registerkarte Rollen und Administratoren. Auf dieser Registerkarte werden die administrativen Rollen angezeigt, mit denen die Darstellung der Anwendung in Azure AD gesteuert werden kann, nicht die Zugriffsrechte in der Anwendung. Stellen Sie sicher, dass für jede administrative Rolle, die über die Berechtigung verfügt, die Anwendungsintegration oder Zuweisungen zu ändern, und die dieser administrativen Rolle zugewiesen ist, nur autorisierte Benutzer in dieser Rolle sind.

  6. Wechseln sie zur Registerkarte Bereitstellung. Wenn die automatische Bereitstellung nicht konfiguriert ist, hat Azure AD keine Möglichkeit, die Anwendung zu benachrichtigen, wenn der Zugriff eines Benutzers während der Überprüfung verweigert wird. Bei einigen Integrationsmustern ist möglicherweise keine Bereitstellung erforderlich, wenn die Anwendung zu einem Verbund gehört, ausschließlich auf Azure AD als Identitätsanbieter basiert oder AD DS-Gruppen verwendet. Wenn Ihre Anwendungsintegration jedoch Muster C ist und die Anwendung keine Verbund-SSO mit Azure AD als einziger Identitätsanbieter unterstützt, müssen Sie die Bereitstellung von Azure AD in die Anwendung konfigurieren. Die Bereitstellung ist erforderlich, damit Azure AD die überprüften Benutzer automatisch aus der Anwendung entfernen kann, wenn eine Überprüfung abgeschlossen ist. Dieser Entfernungsschritt kann durch eine Änderung erfolgen, die von Azure AD an die Anwendung über SCIM, LDAP oder SQL gesendet wird.

  7. Wenn die Bereitstellung konfiguriert ist, klicken Sie auf Attributzuordnungen bearbeiten, erweitern Sie den Abschnitt Zuordnung, und klicken Sie auf Azure Active Directory-Benutzer bereitstellen. Überprüfen Sie, ob es in der Liste der Attributzuordnungen es eine Zuordnung isSoftDeleted zum Attribut im Datenspeicher der Anwendung gibt, die Sie auf "falsch" festlegen möchten, wenn ein Benutzer den Zugriff verliert. Wenn diese Zuordnung nicht vorhanden ist, benachrichtigt Azure AD die Anwendung nicht, wenn ein Benutzer außerhalb des Bereichs war, wie in der Funktionsweise der Bereitstellung beschrieben.

  8. Wenn die Anwendung Verbund-SSO unterstützt, wechseln Sie auf die Registerkarte Bedingter Zugriff. Überprüfen Sie die aktivierten Richtlinien für diese Anwendung. Wenn Richtlinien aktiviert sind, die den Zugriff blockieren und denen Benutzer zugewiesen sind, aber keine weiteren Bedingungen erfüllt sind, kann es sein, dass diese Benutzer bereits daran gehindert werden, Verbund-SSO für die Anwendung abzurufen.

  9. Wechseln Sie zur Registerkarte Benutzer und Gruppen. Diese Liste enthält alle Benutzer, die der Anwendung in Azure AD zugewiesen sind. Wenn die Liste leer ist, wird eine Überprüfung der Anwendung sofort abgeschlossen, da es keine Aufgabe für den Prüfer gibt, die ausgeführt werden soll.

  10. Wenn Ihre Anwendung mit Muster C integriert ist, müssen Sie bestätigen, dass die Benutzer in dieser Liste identisch sind wie die im internen Datenspeicher der Anwendungen, bevor Sie die Überprüfung starten. Azure AD importiert die Benutzer oder deren Zugriffsrechte nicht automatisch aus einer Anwendung. Sie können jedoch Benutzern eine Anwendungsrolle über PowerShell zuweisen. Lesen Sie Verwalten der vorhandenen Benutzer einer Anwendung, um zu erfahren, wie Sie Benutzer aus unterschiedlichen Anwendungsdatenspeichern in Azure AD einbringen und ihnen eine Anwendungsrolle zuweisen.

  11. Überprüfen Sie, ob allen Benutzern dieselbe Anwendungsrolle zugewiesen ist, z. B. Benutzer. Wenn Benutzer mehreren Rollen zugewiesen sind, werden, wenn Sie eine Zugriffsüberprüfung der Anwendung erstellen, alle Zuweisungen zu allen Rollen der Anwendung gemeinsam überprüft.

  12. Überprüfen Sie die Liste der Verzeichnisobjekte, die den Rollen zugewiesen sind, um zu bestätigen, dass keine Gruppen den Anwendungsrollen zugewiesen sind. Es ist möglich, diese Anwendung zu überprüfen, wenn eine Gruppe einer Rolle zugewiesen ist; Ein Benutzer, der Mitglied der Gruppe ist, die der Rolle zugewiesen ist und dessen Zugriff verweigert wurde, wird nicht automatisch aus der Gruppe entfernt. Wenn die Anwendung selbst nicht auf Gruppen basiert, wird empfohlen, zuerst die Anwendung zu konvertieren und anstelle von Gruppenmitgliedern direkte Benutzerzuweisungen zu verwenden. Dadurch kann die Anwendungsrollenzuweisung für einen Benutzer, dessen Zugriff bei der Zugriffsüberprüfung abgelehnt wurde, automatisch entfernt werden. Wenn die Anwendung auf Gruppen basiert und allen Gruppen der Anwendung dieselbe Anwendungsrolle zugewiesen wird, überprüfen Sie die Gruppenmitgliedschaften anstelle der Anwendungszuweisungen.

Wenn die Anwendungsintegration außerdem eine oder mehrere Gruppen überprüfen muss, wie in Muster B beschrieben, überprüfen Sie, ob jede Gruppe zur Überprüfung bereit ist.

  1. Klicken Sie in der Azure-Portalumgebung für Azure AD auf Gruppen, und wählen Sie dann die Gruppe aus der Liste aus.
  2. Überprüfen Sie auf der Registerkarte Übersicht, ob der Mitgliedschaftstypzugewiesen ist, und die QuelleCloud ist. Wenn die Anwendung eine dynamische Gruppe oder eine von der lokalen Umgebung synchronisierte Gruppe verwendet, können diese Gruppenmitgliedschaften in Azure AD nicht geändert werden. Es wird empfohlen, die Anwendung in Gruppen zu konvertieren, die in Azure AD mit zugewiesenen Mitgliedschaften erstellt wurden, und dann die Mitgliedsbenutzer in diese neue Gruppe zu kopieren.
  3. Wechseln Sie zur Registerkarte Rollen und Administratoren. Auf dieser Registerkarte werden die administrativen Rollen angezeigt, mit denen die Darstellung der Gruppe in Azure AD gesteuert werden kann, nicht die Zugriffsrechte in der Anwendung. Stellen Sie für jede administrative Rolle, die das Ändern der Gruppenmitgliedschaft ermöglicht und Benutzer in dieser administrativen Rolle hat, sicher, dass nur autorisierte Benutzer in dieser Rolle sind.
  4. Wechseln sie zur Registerkarte Mitglieder. Stellen Sie sicher, dass die Mitglieder der Gruppe Benutzer sind und dass keine Nichtbenutzermitglieder oder geschachtelte Gruppen vorhanden sind. Wenn beim Starten der Überprüfung keine Mitglieder einer Gruppe vorhanden sind, wird die Überprüfung dieser Gruppe sofort abgeschlossen.
  5. Wechseln sie zur Registerkarte Besitzer. Stellen Sie sicher, dass keine autorisierten Benutzer als Besitzer angezeigt werden. Wenn Sie die Gruppenbesitzer bitten, die Zugriffsüberprüfung einer Gruppe durchzuführen, bestätigen Sie, dass die Gruppe mindestens einen Besitzer hat.

Auswählen geeigneter Prüfer

Beim Erstellen jeder Zugriffsüberprüfung können Administratoren einen oder mehrere Prüfer auswählen. Die Prüfer können eine Überprüfung durchführen, wobei sie Benutzer für den weiteren Zugriff auf eine Ressource auswählen oder sie entfernen.

Normalerweise ist ein Ressourcenbesitzer für die Durchführung einer Überprüfung verantwortlich. Wenn Sie eine Überprüfung einer Gruppe im Rahmen der Zugriffsüberprüfung für eine in Muster B integrierte Anwendung erstellen, können Sie die Gruppenbesitzer als Prüfer auswählen. Anwendungen in Azure AD verfügen nicht unbedingt über einen Besitzer. Aus diesem Grund ist die Option zum Auswählen des Anwendungsbesitzers als Prüfer nicht verfügbar. Stattdessen können Sie beim Erstellen der Überprüfung die Namen der Anwendungsbesitzer angeben, um die Prüfer zu sein.

Wenn Sie eine Überprüfung einer Gruppe oder Anwendung erstellen, können Sie auch eine mehrstufige Überprüfung wählen. Sie können beispielsweise auswählen, dass der Vorgesetzte jedes zugewiesenen Benutzers die erste Phase der Überprüfung ausführt, und der Ressourcenbesitzer die zweite Phase. Auf diese Weise kann sich der Ressourcenbesitzer auf die Benutzer konzentrieren, die bereits von ihrem Vorgesetzten genehmigt wurden.

Bevor Sie die Überprüfungen erstellen, überprüfen Sie, ob Sie mindestens so viele Azure AD Premium P2-Lizenzen in Ihrem Mandanten haben, wie es Mitgliedsnutzer gibt, die als Überprüfer zugewiesen sind. Überprüfen Sie außerdem, ob alle Prüfer aktive Benutzer mit E-Mail-Adressen sind. Wenn die Zugriffsüberprüfungen beginnen, überprüfen sie jeweils eine E-Mail von Azure AD. Wenn der Prüfer kein Postfach hat, erhält er weder die E-Mail, wenn die Prüfung beginnt, noch eine Erinnerungs-E-Mail. Und wenn sie daran gehindert werden, sich bei Azure AD anzumelden, können sie die Überprüfung nicht ausführen.

Erstellen der Überprüfungen

Sobald Sie die Ressourcen, die Anwendung und optional eine oder mehrere Gruppen auf der Grundlage des Integrationsmusters identifiziert haben und wissen, wer die Prüfer sein sollen, können Sie Azure AD so konfigurieren, dass die Überprüfungen gestartet werden.

  1. Für diesen Schritt müssen Sie sich in der Rolle Global administrator oder Identity Governance administrator befinden.

  2. In den Mustern A und C erstellen Sie eine Zugriffsüberprüfung und wählen die Anwendung aus. Befolgen Sie die Anweisungen im Leitfaden zum Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen, um die Überprüfung der Rollenzuweisungen der Anwendung zu erstellen.

  3. Wenn Ihre Anwendung in Muster B integriert ist, verwenden Sie denselben Leitfaden, um zusätzliche Zugriffsüberprüfungen für jede der Gruppen zu erstellen.

    Hinweis

    Wenn Sie eine Zugriffsüberprüfung erstellen und Entscheidungshilfen aktivieren, variiert die Entscheidungshilfe je nach überprüfter Ressource. Wenn es sich bei der Ressource um eine Anwendung handelt, basieren die Empfehlungen auf dem 30-Tage-Intervall, je nachdem, wann sich der Benutzer zuletzt bei der Anwendung angemeldet hat. Wenn es sich bei der Ressource um eine Gruppe handelt, basieren die Empfehlungen auf dem Intervall, in dem sich der Benutzer zuletzt bei einer beliebigen Anwendung im Mandant angemeldet hat, nicht nur bei der Anwendung, die diese Gruppen verwendet.

  4. Bitten Sie die Prüfer zu Beginn der Zugriffsüberprüfung um ihre Einschätzung. Standardmäßig erhalten sie jeweils eine E-Mail von Azure AD mit einem Link zum Zugriffsbereich, wo sie die Mitgliedschaft in den Gruppen oder den Zugriff auf die Anwendung überprüfen können.

Ansicht der Aufgaben, die aktualisiert werden, wenn die Überprüfungen abgeschlossen sind

Sobald die Überprüfungen begonnen haben, können Sie deren Fortschritt überwachen und die genehmigenden Personen bei Bedarf aktualisieren, bis die Überprüfung abgeschlossen ist. Sie können dann bestätigen, dass die Benutzer, deren Zugriff von den Überprüfern verweigert wurde, ihren Zugriff aus der Anwendung entfernen lassen.

  1. Überwachen Sie die Zugriffsüberprüfungen und stellen Sie sicher, dass die Prüfer eine Auswahl treffen, um den Bedarf des Benutzers an weiterem Zugriff zu genehmigen oder zu verweigern, bis die Zugriffsüberprüfung abgeschlossen ist.

  2. Wenn die automatische Anwendung bei der Erstellung der Überprüfung nicht ausgewählt wurde, müssen Sie die Überprüfungsergebnisse anwenden, wenn die Überprüfung abgeschlossen ist.

  3. Warten Sie, bis der Status der Überprüfung auf Ergebnis angewendet wechselt. Erwartungsgemäß sollten abgelehnte Benutzer (sofern vorhanden) innerhalb weniger Minuten aus der Gruppenmitgliedschaft oder Anwendungszuweisung entfernt werden.

  4. Wenn Sie zuvor die Bereitstellung von Benutzern für die Anwendung konfiguriert hatten, beginnt Azure AD mit der Aufhebung der Bereitstellung von verweigerten Benutzern aus der Anwendung, sobald die Ergebnisse angewendet werden. Sie können den Prozess der Aufhebung der Bereitstellung von Benutzern überwachen. Wenn die Bereitstellung einen Fehler mit der Anwendung angibt, können Sie das Bereitstellungsprotokoll herunterladen, um zu prüfen, ob ein Problem mit der Anwendung aufgetreten ist.

  5. Wenn Sie die Gruppenrückschreibung für die überprüften Gruppen konfiguriert haben, warten Sie, bis die Gruppenrückschreibung in Azure AD Connect abgeschlossen ist und die Änderungen an alle Domänencontroller weitergegeben worden sind.

  6. Wenn die Bereitstellung für Ihre Anwendung nicht konfiguriert wurde, müssen Sie die Liste der abgelehnten Benutzer möglicherweise separat in die Anwendung kopieren. Verwenden Sie zum Beispiel bei Zugriffsüberprüfungen für eine von Windows Server AD verwaltete Gruppe dieses PowerShell-Beispielskript. Das Skript umreißt die erforderlichen Microsoft Graph-Aufrufe und exportiert die Windows Server AD PowerShell-Cmdlets, um die Änderungen auszuführen.

  7. Wenn Sie möchten, können Sie auch einen Prüfverlaufsbericht über abgeschlossene Überprüfungen herunterladen.

  8. Wie lange ein Benutzer, dem der weitere Zugriff verweigert wurde, eine Verbundanwendung weiterhin nutzen kann, hängt von der Sitzungsdauer der Anwendung selbst und von der Gültigkeitsdauer des Zugriffstokens ab. Wenn die Anwendungen Kerberos verwenden, haben die Benutzer ggf. so lange weiter Zugriff, bis Ihre Kerberos-Authentifizierung abläuft, da Kerberos die Gruppenmitgliedschaften eines Benutzers zwischenspeichert, wenn sie sich bei einer Domäne anmelden. Weitere Informationen zum Steuern der Lebensdauer von Zugriffstoken finden Sie unter Konfigurierbare Tokengültigkeitsdauer.

Nächste Schritte