Durchführen einer Zugriffsüberprüfung für Gruppen und Anwendungen in Azure AD-Zugriffsüberprüfungen

Als Administrator erstellen Sie eine Zugriffsüberprüfung für Gruppen oder Anwendungen, und Prüfer führen dann die Zugriffsüberprüfung durch. In diesem Artikel wird beschrieben, wie Sie die Ergebnisse der Zugriffsüberprüfung anzeigen und anwenden.

Hinweis

Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Voraussetzungen

  • Azure AD Premium P2
  • Die Rolle des globalen Administrators, Benutzeradministrators oder Identity Governance-Administrators wird benötigt, um den Zugriff auf Überprüfungen für Gruppen und Anwendungen zu verwalten. Globale Administratoren und Administratoren für privilegierte Rollen können Überprüfungen von Gruppen verwalten, denen Rollen zugewiesen werden können. Weitere Informationen finden Sie unter Verwenden von Azure AD-Gruppen zum Verwalten von Rollenzuweisungen.
  • Sicherheitsleseberechtigte haben Lesezugriff.

Weitere Informationen finden Sie unter Lizenzanforderungen.

Anzeigen des Status der Zugriffsüberprüfung

Sie können den Fortschritt von Zugriffsüberprüfungen nachverfolgen, sobald diese abgeschlossen sind.

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Seite Identity Governance.

  2. Klicken Sie im linken Menü auf Zugriffsüberprüfungen.

  3. Klicken Sie in der Liste auf eine Zugriffsüberprüfung.

    Auf der Seite Übersicht können Sie den Status der aktuellen Instanz der Überprüfung verfolgen. Wenn zu diesem Zeitpunkt keine aktive Instanz geöffnet ist, werden Informationen zur vorherigen Instanz angezeigt. Zugriffsrechte werden im Verzeichnis erst geändert, wenn die Überprüfung abgeschlossen ist.

    Review of All company group

    Alle Blätter unter Aktuell sind nur während der Dauer der jeweiligen Überprüfungsinstanz einsehbar.

    Hinweis

    Während die aktuelle Zugriffsüberprüfung nur Informationen zur aktiven Überprüfungsinstanz enthält, können Sie im Abschnitt Geplante Überprüfung Informationen zu Überprüfungen erhalten, die noch in der Reihe stattfinden werden.

    Die Seite „Ergebnisse“ bietet weitere Informationen zu allen Benutzer*innen, die in der Instanz überprüft werden, einschließlich der Möglichkeit, Ergebnisse zu beenden, zurückzusetzen und herunterzuladen.

    Review guest access across Microsoft 365 groups

    Wenn Sie eine Zugriffsüberprüfung für den Gastzugriff für Microsoft 365-Gruppen anzeigen, werden auf dem Blatt „Übersicht“ alle Gruppen in der Überprüfung aufgelistet.

    review guest access across Microsoft 365 groups

    Klicken Sie auf eine Gruppe, um den Fortschritt der Überprüfung für diese Gruppe anzuzeigen. Es gibt auch die Möglichkeit zum Beenden, Zurücksetzen, Anwenden und Löschen.

    review guest access across Microsoft 365 groups in detail

  4. Klicken Sie auf die Schaltfläche Beenden, wenn Sie eine Zugriffsüberprüfung beenden möchten, bevor dafür das geplante Enddatum erreicht wurde.

    Nachdem Sie eine Überprüfung beendet haben, können Prüfer dafür keine Antworten mehr abgeben. Eine Überprüfung kann nicht neu gestartet werden, nachdem sie beendet wurde.

  5. Wenn Sie die Zugriffsüberprüfung nicht mehr benötigen, können Sie sie löschen, indem Sie auf die Schaltfläche Löschen klicken.

Anzeigen des Status einer mehrstufigen Überprüfung (Vorschau)

So zeigen Sie den Status und die aktuelle Phase einer mehrstufigen Zugriffsüberprüfung an

  1. Wählen Sie die mehrstufige Überprüfung aus, deren Status Sie überprüfen bzw. für die Sie die aktuelle Phase anzeigen möchten.

  2. Klicken Sie im linken Navigationsmenü unter Aktuell auf Ergebnisse.

  3. Sobald Sie sich auf der Ergebnisseite befinden, wird Ihnen unter Status angezeigt, in welcher Phase sich die mehrstufige Überprüfung befindet. Die nächste Phase der Überprüfung wird erst aktiv, wenn die während der Einrichtung der Zugriffsüberprüfung angegebene Zeitspanne abgelaufen ist.

  4. Wenn eine Entscheidung getroffen wurde, die Überprüfungsdauer für diese Phase aber noch nicht abgelaufen ist, können Sie auf der Ergebnisseite die Schaltfläche Aktuelle Phase beenden auswählen. Dadurch wird die nächste Überprüfungsphase ausgelöst.

Abrufen der Ergebnisse

Klicken Sie auf die Seite Ergebnisse, um die Ergebnisse für eine Überprüfung anzuzeigen. Geben Sie im Suchfeld den Anzeigenamen oder Benutzerprinzipalnamen eines Benutzers ein, dessen Zugriff überprüft wurde, um nur den Zugriff dieses Benutzers anzuzeigen.

Retrieve results for an access review

Klicken Sie zum Anzeigen der Ergebnisse einer abgeschlossenen Instanz einer Serienzugriffsüberprüfung auf Ausführungsverlauf. Wählen Sie anschließend basierend auf dem Start- und Enddatum der Instanz die spezifische Instanz in der Liste mit den abgeschlossenen Zugriffsüberprüfungsinstanzen aus. Die Ergebnisse dieser Instanz können auf der Seite Ergebnisse abgerufen werden. Durch wiederholte Zugriffsüberprüfungen erhalten Sie einen konstanten Überblick über den Zugriff auf Ressourcen, die möglicherweise häufiger als einmalige Zugriffsüberprüfungen aktualisiert werden müssen.

Klicken Sie auf die Schaltfläche Herunterladen, um die Ergebnisse einer Zugriffsüberprüfung abrufen möchten, egal ob diese abgeschlossen ist oder gerade ausgeführt wird. Die CSV-Datei mit den Ergebnissen kann in Excel oder in anderen Programmen angezeigt werden, die mit UTF-8 codierte CSV-Dateien öffnen können.

Übernehmen von Änderungen

Wenn Ergebnisse automatisch auf Ressource anwenden basierend auf Ihrer Auswahl unter Einstellungen nach Abschluss aktiviert wurde, wird die automatische Anwendung durchgeführt, nachdem eine Überprüfungsinstanz abgeschlossen ist oder wenn Sie die Überprüfung manuell beenden.

Wenn Ergebnisse automatisch auf Ressource anwenden für die Überprüfung nicht aktiviert wurde, navigieren Sie unter Serien zu Überprüfungsverlauf, nachdem die Überprüfungsdauer endet oder die Überprüfung vorzeitig beendet wurde. Klicken Sie auf die Instanz der Überprüfung, die Sie anwenden möchten.

Apply access review changes

Klicken Sie auf Übernehmen, um die Änderungen manuell zu übernehmen. Wenn der Zugriff eines Benutzers in der Überprüfung verweigert wurde, entfernt Azure AD dessen Mitgliedschaft oder Anwendungszuweisung, nachdem Sie auf Anwenden geklickt haben.

Apply access review changes button

Der Status der Überprüfung ändert sich von Abgeschlossen über Zwischenzustände wie Wird angewandt schließlich in den Status Ergebnis angewendet. Erwartungsgemäß sollten abgelehnte Benutzer (sofern vorhanden) innerhalb weniger Minuten aus der Gruppenmitgliedschaft oder Anwendungszuweisung entfernt werden.

Das manuelle oder automatische Übernehmen von Ergebnissen hat keine Auswirkung auf eine Gruppe, die aus einem lokalen Verzeichnis stammt. Wenn Sie eine Gruppe ändern möchten, die aus einem lokalen Verzeichnis stammt, laden Sie die Ergebnisse herunter, und wenden Sie diese Änderungen auf die Darstellung der Gruppe im Verzeichnis an.

Hinweis

Auf einige abgelehnte Benutzer*innen können keine Ergebnisse angewendet werden. Zu den Szenarios, in denen dies passieren kann, gehören:

  • Überprüfen von Mitgliedern einer synchronisierten lokalen Windows-AD-Gruppe: Wenn die Gruppe von einem lokalen Windows-AD synchronisiert wird, kann die Gruppe nicht in Azure AD verwaltet werden. Daher kann die Mitgliedschaft nicht geändert werden.
  • Überprüfen einer Ressource (Rolle, Gruppe, Anwendung) mit zugewiesenen geschachtelten Gruppen: Für Benutzer*innen, die über eine Mitgliedschaft durch eine geschachtelte Gruppe verfügen, wird die Mitgliedschaft in der geschachtelten Gruppe nicht entfernt, und daher behalten sie den Zugriff auf die Ressource, die überprüft wird.
  • „Benutzer nicht gefunden“ oder andere Fehler können auch dazu führen, dass ein Anwenden des Ergebnisses nicht unterstützt wird.

Aktionen für abgelehnte Gastbenutzer*innen in einer Zugriffsüberprüfung

Bei der Erstellung der Überprüfung kann der Ersteller zwischen zwei Optionen für abgelehnte Gastbenutzer*innen in einer Zugriffsüberprüfung auswählen.

  • Der Zugriff abgelehnter Gastbenutzer*innen auf die Ressource kann entfernt werden. Dies ist die Standardoption.
  • Abgelehnte Gastbenutzer*innen können für 30 Tage an der Anmeldung gehindert und dann von dem Mandanten gelöscht werden. Während des Zeitraums von 30 Tagen kann den Gastbenutzer*innen der Zugriff auf den Mandanten durch Administrator*innen wieder gewährt werden. Wenn den Gastbenutzer*innen nach Abschluss der 30 Tage nicht wieder Zugriff auf die Ressource gewährt wurde, werden sie dauerhaft von dem Mandanten entfernt. Darüber hinaus kann ein globaler Administrator über das Azure Active Directory-Portal explizit einen kürzlich gelöschten Benutzer endgültig löschen, bevor dieser Zeitraum abgelaufen ist. Wurden Benutzer*innen endgültig gelöscht, werden deren Daten aus aktiven Zugriffsüberprüfungen entfernt. Überwachungsinformationen zu gelöschten Benutzern verbleiben im Überwachungsprotokoll.

Aktionen, die für abgelehnte Benutzer*innen mit direkter B2B-Verbindung ausgeführt werden

Abgelehnte Benutzer*innen und Teams mit direkter B2B-Verbindung verlieren den Zugriff auf alle freigegebenen Kanäle im Team.

Nächste Schritte