Worum handelt es sich bei Zugriffsüberprüfungen?
Mithilfe der Zugriffsüberprüfungen in Microsoft Entra ID, Bestandteil von Microsoft Entra, können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.
Das folgende Video bietet einen kurzen Überblick über Zugriffsüberprüfungen:
Warum sind Zugriffsüberprüfungen wichtig?
Microsoft Entra ID ermöglicht es Ihnen, mit internen Benutzer*innen Ihrer Organisation und mit externen Benutzer*innen zusammenzuarbeiten. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und entweder mit ihren Firmen- oder persönlichen Geräten remote arbeiten. Die Möglichkeit zur komfortablen Nutzung von Self-Service hat dazu geführt, dass bessere Zugriffsverwaltungsfunktionen benötigt werden.
- Wie stellen Sie sicher, dass neue Mitarbeiter die erforderlichen Zugriffsrechte erhalten, damit sie produktiv arbeiten können?
- Wie stellen Sie sicher, dass alte Zugriffsrechte entzogen werden, wenn Personen das Team wechseln oder das Unternehmen verlassen?
- Zu weit reichende Zugriffsrechte können zu Kompromittierungen führen.
- Darüber hinaus können zu umfangreiche Zugriffsrechte auch zu negativen Ergebnissen bei Überprüfungen führen, da dies auf eine fehlende Kontrolle des Zugriffs hinweist.
- Sie müssen sich proaktiv mit Ressourcenbesitzern austauschen, um sicherzustellen, dass sie regelmäßig überprüfen, wer Zugriff auf ihre Ressourcen hat.
Wann sollten Sie Zugriffsüberprüfungen verwenden?
- Zu viele Benutzer in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer über Administratorzugriff verfügen, wie viele dieser Benutzer globale Administratoren sind und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde. Sie können die Rollenzuweisung von Benutzer*innen in Microsoft Entra-Rollen wie z. B. „Globale Administratoren“ oder in Azure-Ressourcenrollen wie etwa „Benutzerzugriffsadministratoren“ in Microsoft Entra Privileged Identity Management (PIM) erneut bestätigen.
- Wenn eine Automatisierung nicht möglich ist: Sie können Regeln für dynamische Mitgliedschaften für Sicherheits- oder Microsoft 365-Gruppen erstellen. Was geschieht aber, wenn die Personaldaten nicht in Microsoft Entra ID gespeichert sind oder Benutzer*innen nach dem Verlassen der Gruppe weiterhin Zugriff benötigen, um ihre Nachfolger einzuarbeiten? Dann können Sie eine Überprüfung für diese Gruppe erstellen, um sicherzustellen, dass die Benutzer, die weiterhin Zugriff benötigen, auch weiterhin Zugriff haben.
- Wenn eine Gruppe einem neuen Zweck dient: Wenn Sie über eine Gruppe verfügen, die mit Microsoft Entra ID synchronisiert wird, oder wenn Sie die Salesforce-Anwendung für alle Benutzer*innen in der Gruppe „Vertriebsteam“ aktivieren möchten, wäre es sinnvoll, den bzw. die Besitzer*in der Gruppe zu bitten, die Gruppenmitgliedschaft zu überprüfen, bevor die Gruppe in einem anderen Risikokontext verwendet wird.
- Geschäftskritischer Datenzugriff: Für bestimmte Ressourcen, z. B. geschäftskritische Anwendungen, kann es als Teil der Complianceprozesse erforderlich sein, Personen regelmäßig zu bestätigen und eine Begründung dafür zu geben, warum sie weiterhin Zugriff benötigen.
- Zum Verwalten einer Richtlinienausnahmeliste: Im Idealfall halten sich alle Benutzer an die Zugriffsrichtlinien, um den Zugriff auf die Ressourcen Ihrer Organisation zu schützen. Es kann aber auch Geschäftsszenarien geben, in denen Ausnahmen erforderlich sind. Als IT-Administrator können Sie diese Aufgabe verwalten, das Übersehen von Richtlinienausnahmen vermeiden und Prüfern den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.
- Auffordern von Gruppenbesitzer*innen zum Bestätigen, dass sie weiterhin Gäste in ihren Gruppen benötigen: Der Mitarbeiterzugriff kann mit anderen IAM-Features (Identity & Access Management) automatisiert werden, z. B. mit Lebenszyklus-Workflows basierend auf Daten aus einer Personalverwaltungsquelle. Dies trifft jedoch nicht auf die Zugriffsrechte eingeladener Gäste zu. Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, muss der Besitzer der Gruppe bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.
- Regelmäßige Durchführung von Überprüfungen: Sie können die Häufigkeit der regelmäßigen Durchführung von Zugriffsüberprüfungen für Benutzer (z. B. wöchentlich, monatlich, vierteljährlich oder jährlich) einrichten. Die Prüfer werden zu Beginn jeder Überprüfung benachrichtigt. Prüfer können den Zugriff über eine benutzerfreundliche Oberfläche und mithilfe intelligenter Empfehlungen genehmigen oder verweigern.
Hinweis
Wenn Sie die Verwendung von Zugriffsüberprüfungen ausprobieren möchten, helfen Ihnen die Informationen unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen weiter.
Wo erstellen Sie Überprüfungen?
Je nachdem, was Sie überprüfen möchten, erstellen Sie Ihre Zugriffsüberprüfung über die Funktion „Zugriffsüberprüfungen“, in Microsoft Entra-Unternehmens-Apps, in PIM oder in der Berechtigungsverwaltung.
| Zugriffsrechte von Benutzern | Prüfer | Überprüfung erstellt in | Prüferoberfläche |
|---|---|---|---|
| Mitglieder von SicherheitsgruppenMitglieder von Office-Gruppen | Angegebene PrüferGruppenbesitzerSelbstüberprüfung | ZugriffsüberprüfungenMicrosoft Entra-Gruppen | Zugriffsbereich |
| Einer verbundenen App zugewiesen | Angegebene PrüferSelbstüberprüfung | ZugriffsüberprüfungenMicrosoft Entra-Unternehmens-Apps | Zugriffsbereich |
| Microsoft Entra-Rolle | Angegebene PrüferSelbstüberprüfung | PIM | Microsoft Entra Admin Center |
| Azure-Ressourcenrolle | Angegebene PrüferSelbstüberprüfung | PIM | Microsoft Entra Admin Center |
| Zugriffspaketzuweisungen | Festgelegte PrüferGruppenmitgliederSelbstüberprüfung | Berechtigungsverwaltung | Zugriffsbereich |
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen in diesem Feature können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden. Weitere Informationen finden Sie in den Artikeln zu den einzelnen Funktionen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Hinweis
Das Erstellen einer Überprüfung auf inaktive Benutzer und mit Empfehlungen für die Benutzer-zu-Gruppe-Zugehörigkeit erfordert eine Microsoft Entra ID-Governance-Lizenz.
Nächste Schritte
- Vorbereiten einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung
- Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen
- Erstellen einer Zugriffsüberprüfung von Benutzern in der Microsoft Entra-Administratorrolle
- Überprüfen des Zugriffs auf Gruppen oder Anwendungen
- Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen