Worum handelt es sich bei Zugriffsüberprüfungen?
Mithilfe der Zugriffsüberprüfungen in Azure Active Directory (Azure AD), Bestandteil von Microsoft Entra, können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.
Das folgende Video bietet einen kurzen Überblick über Zugriffsüberprüfungen:
Warum sind Zugriffsüberprüfungen wichtig?
Mit Azure AD können Sie mit internen Benutzern Ihrer Organisation und mit externen Benutzern zusammenarbeiten. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und mit ihren Firmen- oder persönlichen Geräten remote arbeiten. Die Möglichkeit zur komfortablen Nutzung von Self-Service hat dazu geführt, dass bessere Zugriffsverwaltungsfunktionen benötigt werden.
- Wie stellen Sie sicher, dass neue Mitarbeiter die erforderlichen Zugriffsrechte erhalten, damit sie produktiv arbeiten können?
- Wie stellen Sie sicher, dass alte Zugriffsrechte entzogen werden, wenn Personen das Team wechseln oder das Unternehmen verlassen?
- Zu weit reichende Zugriffsrechte können zu Kompromittierungen führen.
- Darüber hinaus können zu umfangreiche Zugriffsrechte auch zu negativen Ergebnissen bei Überprüfungen führen, da dies auf eine fehlende Kontrolle des Zugriffs hinweist.
- Sie müssen sich proaktiv mit Ressourcenbesitzern austauschen, um sicherzustellen, dass sie regelmäßig überprüfen, wer Zugriff auf ihre Ressourcen hat.
Wann sollten Sie Zugriffsüberprüfungen verwenden?
- Zu viele Benutzer in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer über Administratorzugriff verfügen, wie viele dieser Benutzer globale Administratoren sind und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde. Sie können die Rollenzuweisung für Benutzer in Azure AD-Rollen wie „Globale Administratoren“ oder in Azure-Ressourcenrollen wie „Benutzerzugriffsadministratoren“ in Microsoft Entra Privileged Identity Management (PIM) erneut bestätigen.
- Falls die Automatisierung nicht möglich ist: Sie können Regeln für dynamische Mitgliedschaften für Sicherheits- oder Microsoft 365-Gruppen erstellen. Was geschieht aber, wenn die Personaldaten nicht in Azure AD gespeichert sind oder die Benutzern nach dem Verlassen der Gruppe weiterhin Zugriff benötigen, um ihre Nachfolgern einzuarbeiten? Dann können Sie eine Überprüfung für diese Gruppe erstellen, um sicherzustellen, dass die Benutzer, die weiterhin Zugriff benötigen, auch weiterhin Zugriff haben.
- Wenn eine Gruppe zu einem neuen Zweck verwendet wird: Wenn Sie über eine Gruppe verfügen, die mit Azure AD synchronisiert wird, oder wenn Sie die Salesforce-Anwendung für alle Benutzer in der Gruppe „Vertriebsteam“ aktivieren möchten, wäre es sinnvoll, den Besitzer der Gruppe zu bitten, die Gruppenmitgliedschaft zu überprüfen, bevor die Gruppe in einem anderen Risikokontext verwendet wird.
- Geschäftskritischer Datenzugriff: Für bestimmte Ressourcen, z. B. geschäftskritische Anwendungen, kann es als Teil der Complianceprozesse erforderlich sein, Personen regelmäßig zu bestätigen und eine Begründung dafür zu geben, warum sie weiterhin Zugriff benötigen.
- Zum Verwalten einer Richtlinienausnahmeliste: Im Idealfall halten sich alle Benutzer an die Zugriffsrichtlinien, um den Zugriff auf die Ressourcen Ihrer Organisation zu schützen. Es kann aber auch Geschäftsszenarien geben, in denen Ausnahmen erforderlich sind. Als IT-Administrator können Sie diese Aufgabe verwalten, das Übersehen von Richtlinienausnahmen vermeiden und Prüfern den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.
- Auffordern von Gruppenbesitzern zur Bestätigung, dass sie weiterhin Gäste in ihren Gruppen benötigen: Der Mitarbeiterzugriff kann per lokalem Identity & Access Management (IAM) automatisiert werden. Dies trifft aber nicht auf die Zugriffsrechte eingeladener Gäste zu. Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, muss der Besitzer der Gruppe bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.
- Regelmäßige Durchführung von Überprüfungen: Sie können die Häufigkeit der regelmäßigen Durchführung von Zugriffsüberprüfungen für Benutzer (z. B. wöchentlich, monatlich, vierteljährlich oder jährlich) einrichten. Die Prüfer werden zu Beginn jeder Überprüfung benachrichtigt. Prüfer können den Zugriff über eine benutzerfreundliche Oberfläche und mithilfe intelligenter Empfehlungen genehmigen oder verweigern.
Hinweis
Wenn Sie die Verwendung von Zugriffsüberprüfungen ausprobieren möchten, helfen Ihnen die Informationen unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen weiter.
Wo erstellen Sie Überprüfungen?
Je nachdem, was Sie überprüfen möchten, erstellen Sie Ihre Zugriffsüberprüfung über die Funktion „Zugriffsüberprüfungen“, in Azure AD-Unternehmens-Apps (in der Vorschauversion), in PIM oder in der Berechtigungsverwaltung.
| Zugriffsrechte von Benutzern | Prüfer | Überprüfung erstellt in | Prüferoberfläche |
|---|---|---|---|
| Mitglieder von SicherheitsgruppenMitglieder von Office-Gruppen | Angegebene PrüferGruppenbesitzerSelbstüberprüfung | ZugriffsüberprüfungenAzure AD-Gruppen | Zugriffsbereich |
| Einer verbundenen App zugewiesen | Angegebene PrüferSelbstüberprüfung | ZugriffsüberprüfungenAzure AD-Unternehmens-Apps (in der Vorschauversion) | Zugriffsbereich |
| Azure AD-Rolle | Angegebene PrüferSelbstüberprüfung | PIM | Microsoft Entra Admin Center |
| Azure-Ressourcenrolle | Angegebene PrüferSelbstüberprüfung | PIM | Microsoft Entra Admin Center |
| Zugriffspaketzuweisungen | Selbstüberprüfung von Gruppenmitgliedern mit angegebenen prüfenden Personen | Berechtigungsverwaltung | Zugriffsbereich |
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen in diesem Feature können mit einem Microsoft Azure AD Premium P2-Abonnement ausgeführt werden. Weitere Informationen finden Sie in den Artikeln zu den einzelnen Funktionen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Hinweis
Zum Erstellen einer Überprüfung auf inaktive Benutzern und mit Empfehlungen für die Benutzer-zu-Gruppe-Zugehörigkeit ist eine Microsoft Entra ID-Governance-Lizenz erforderlich.
Nächste Schritte
- Vorbereiten einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung
- Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen
- Erstellen einer Zugriffsüberprüfung von Benutzern in der Azure AD-Administratorrolle
- Überprüfen des Zugriffs auf Gruppen oder Anwendungen
- Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen