Erstellen einer Zugriffsüberprüfung von Gruppen und Anwendungen in Azure AD

Der Zugriff auf Gruppen und Anwendungen für Mitarbeiter und Gäste ändert sich im Laufe der Zeit. Zur Senkung der Risiken im Zusammenhang mit veralteten Zugriffszuweisungen können Administratoren mithilfe von Azure Active Directory (Azure AD) Zugriffsüberprüfungen für Gruppenmitglieder oder Anwendungszugriff erstellen.

Auch Besitzer von Microsoft 365-Gruppen und Sicherheitsgruppen können mit Azure AD Zugriffsüberprüfungen für Gruppenmitglieder erstellen, wenn der globale Administrator oder Benutzeradministrator die Einstellung im Bereich Einstellungen für Zugriffsüberprüfungen aktiviert. Weitere Informationen zu diesen Szenarien finden Sie unter Verwaltung von Benutzer- und Gastbenutzerzugängen mit Zugriffsüberprüfungen.

Sehen Sie sich ein kurzes Video zur Aktivierung von Zugriffsüberprüfungen an.

In diesem Artikel wird die Erstellung einer oder mehrerer Zugriffsüberprüfungen für Gruppenmitglieder oder Anwendungszugriff beschrieben.

Voraussetzungen

  • Azure AD Premium P2.
  • Die Rolle „Globaler Administrator“, „Benutzeradministrator“ oder „Identity Governance-Administrator“ zum Erstellen von Überprüfungen für Gruppen und Anwendungen.
  • Globale Administratoren und Administratoren für privilegierte Rollen können Überprüfungen von Gruppen erstellen, denen Rollen zugewiesen werden können. Weitere Informationen finden Sie unter Verwenden von Azure AD-Gruppen zum Verwalten von Rollenzuweisungen.
  • Besitzer von Microsoft 365-Gruppen und Sicherheitsgruppen.

Weitere Informationen finden Sie unter Lizenzanforderungen.

Wenn Sie den Zugriff auf eine Anwendung überprüfen, lesen Sie vor dem Erstellen der Überprüfung den Artikel zum Vorbereiten einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung, um sicherzustellen, dass die Anwendung in Azure AD integriert ist.

Erstellen einer einstufigen Zugriffsüberprüfung

`Scope`

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Seite Identity Governance.

  2. Wählen Sie im linken Menü Zugriffsüberprüfungen aus.

  3. Wählen Sie Neue Zugriffsüberprüfung aus, um eine neue Zugriffsüberprüfung zu erstellen.

    Screenshot: Bereich „Zugriffsüberprüfungen“ in Identity Governance.

  4. Wählen Sie im Feld Auswählen, was überprüft werden soll aus, welche Ressource Sie überprüfen möchten.

    Screenshot: Erstellen einer Zugriffsüberprüfung.

  5. Wenn Sie Teams und Gruppen ausgewählt haben, stehen Ihnen zwei Optionen zur Auswahl.

    • Alle Microsoft 365-Gruppen mit Gastbenutzern: Wählen Sie diese Option aus, wenn Sie wiederkehrende Überprüfungen für alle Gastbenutzer in all Ihren Microsoft Teams- und Microsoft 365-Gruppen in Ihrer Organisation erstellen möchten. Dynamische Gruppen und Gruppen, denen Rollen zugewiesen werden können, sind nicht enthalten. Sie können auch einzelne Gruppen ausschließen, indem Sie Auszuschließende Gruppen auswählen auswählen.

    • Teams und Gruppen auswählen: Wählen Sie diese Option aus, wenn Sie eine Gruppe von Teams oder Gruppen für die Überprüfung angeben möchten. Auf der rechten Seite wird eine Liste der Gruppen angezeigt, aus der Sie auswählen können.

      Screenshot: Auswählen von Teams und Gruppen.

  6. Wenn Sie Anwendungen ausgewählt haben, können Sie eine oder mehrere Anwendungen auswählen.

    Screenshot: Benutzeroberfläche, die angezeigt wird, wenn Sie Anwendungen anstelle von Gruppen ausgewählt haben.

Hinweis

Wenn Sie mehrere Gruppen oder Anwendungen auswählen, werden mehrere Zugriffsüberprüfungen erstellt. Wenn Sie z. B. fünf zu überprüfende Gruppen auswählen, werden fünf separate Zugriffsüberprüfungen erstellt.

  1. Jetzt können Sie einen Bereich für die Überprüfung auswählen. Folgende Optionen sind verfügbar:

    • Nur Gastbenutzer: Diese Option beschränkt die Zugriffsüberprüfung ausschließlich auf die Azure AD B2B-Gastbenutzer in Ihrem Verzeichnis.
    • Jeder: Mit dieser Option wird die Zugriffsüberprüfung auf alle Benutzerobjekte angewendet, die der Ressource zugeordnet sind.

    Hinweis

    Wenn Sie Alle Microsoft 365-Gruppen mit Gastbenutzern ausgewählt haben, steht Ihnen als einzige Option für die Überprüfung Nur Gastbenutzer zur Verfügung.

  2. Wenn Sie eine Überprüfung der Gruppenmitgliedschaft durchführen, können Sie auch Zugriffsüberprüfungen nur für inaktive Benutzer in der Gruppe erstellen. Aktivieren Sie im Abschnitt Benutzerbereich das Kontrollkästchen neben Inaktive Benutzer (auf Mandantenebene). Wenn Sie das Kontrollkästchen aktivieren, wird die Überprüfung auf inaktive Benutzer beschränkt. Hierbei handelt es sich um Benutzer, die sich weder per interaktiver Anmeldung noch per nicht interaktiver Anmeldung bei dem Mandanten angemeldet haben. Geben Sie dann in Tage inaktiv die Anzahl der Tage ohne Aktivität ein (max. 730 Tage = zwei Jahre). Benutzer in der Gruppe, die für die angegebene Anzahl von Tagen inaktiv waren, sind die einzigen Benutzer in der Überprüfung.

    Hinweis

    Zuletzt erstellte Benutzer sind von der Konfiguration der Inaktivitätszeit nicht betroffen. Bei der Zugriffsüberprüfung wird überprüft, ob ein Benutzer innerhalb des konfigurierten zeitlichen Rahmens erstellt wurde. Benutzer, die zumindest während dieser Zeit nicht vorhanden waren, werden nicht berücksichtigt. Wenn Sie die Inaktivitätszeit beispielsweise auf 90 Tage festgelegt haben und ein Gastbenutzer vor weniger als 90 Tagen erstellt oder eingeladen wurde, ist der Gastbenutzer nicht im Bereich der Zugriffsüberprüfung enthalten. Dadurch wird sichergestellt, dass sich ein Benutzer mindestens einmal anmelden kann, bevor er entfernt wird.

  3. Wählen Sie Weiter: Überprüfungen aus.

Weiter: Überprüfungen

  1. Sie können eine ein- oder mehrstufige Überprüfung erstellen. Die Anleitung für eine einstufige Überprüfung finden Sie in diesem Artikel. Zum Erstellen einer mehrstufigen Zugriffsüberprüfung müssen Sie die Schritte unter Erstellen einer mehrstufigen Zugriffsüberprüfung ausführen.

  2. Wählen Sie im Abschnitt Prüfer angeben im Feld Prüfer auswählen mindestens eine Person aus, die die Entscheidungen über Zugriffsüberprüfungen treffen soll. Es gibt folgende Auswahlmöglichkeiten:

    • Gruppenbesitzer: Diese Option ist nur verfügbar, wenn Sie eine Überprüfung für ein Team oder eine Gruppe durchführen.
    • Ausgewählte Benutzer oder Gruppen
    • Benutzer überprüfen ihren eigenen Zugriff
    • Vorgesetzte von Benutzern

    Wenn Sie Vorgesetzte von Benutzern oder Gruppenbesitzer auswählen, können Sie auch einen Fallbackprüfer angeben. Fallbackprüfer werden aufgefordert, eine Überprüfung durchzuführen, wenn für den Benutzer im Verzeichnis kein Vorgesetzter angegeben ist oder wenn die Gruppe keinen Besitzer hat.

    Wichtig

    Für privilegierte Zugriffsgruppen (Vorschau) müssen Sie Gruppenbesitzer auswählen. Es ist obligatorisch, dem Prüfer mindestens einen Fallbackprüfer zuzuweisen. Die Überprüfung weist nur aktiven Besitzern als Prüfer zu. Berechtigte Besitzer sind nicht enthalten. Wenn keine aktiven Besitzer vorhanden sind, wenn die Überprüfung beginnt, wird der Überprüfung die Fallbackprüfer(n) zugewiesen.

    Screenshot: Neue Zugriffsüberprüfung.

  3. Wählen Sie im Abschnitt Wiederholung der Überprüfung angeben die folgenden Optionen aus:

    • Dauer (in Tagen) : Gibt an, wie lange Prüfer etwas für eine Überprüfung eingeben kann.

    • Startdatum: Gibt an, wann die Überprüfungsreihe beginnt.

    • Enddatum: Gibt an, wann die Überprüfungsreihe endet. Mögliche Optionen sind Nie, An bestimmtem Datum beenden oder Nach Anzahl von Vorkommen beenden.

      Screenshot, der zeigt, wie oft die Überprüfung durchgeführt werden soll.

  4. Wählen Sie Weiter: Einstellungen aus.

Weiter: Einstellungen

  1. Im Abschnitt Einstellungen nach Abschluss können Sie angeben, was nach Abschluss der Überprüfung geschehen soll.

    Screenshot: Einstellungen nach Abschluss.

    • Ergebnisse automatisch auf Ressource anwenden: Aktivieren Sie dieses Kontrollkästchen, wenn der Zugriff abgelehnter Benutzer am Ende der Überprüfungsdauer automatisch entfernt werden soll. Wenn die Option deaktiviert ist, müssen Sie die Ergebnisse nach Abschluss der Überprüfung manuell anwenden. Weitere Informationen zum Anwenden der Überprüfungsergebnisse finden Sie unter Verwaltung von Benutzer- und Gastbenutzerzugängen mit Zugriffsüberprüfungen.

    • Wenn Prüfer nicht reagieren: Mit dieser Option geben Sie an, wie mit Benutzern verfahren werden soll, die innerhalb des Überprüfungszeitraums von keinem Prüfer überprüft wurden. Diese Einstellung wirkt sich nicht auf Benutzer aus, die von einem Prüfer überprüft wurden. Die Dropdownliste enthält die folgenden Optionen:

      • Keine Änderung: Der Zugriff des Benutzers bleibt unverändert.
      • Zugriff entfernen: Dem Benutzer wird der Zugriff entzogen.
      • Zugriff genehmigen: Der Zugriff des Benutzers wird genehmigt.
      • Empfehlungen annehmen: Die Systemempfehlungen hinsichtlich der Ablehnung oder Gewährung des weiteren Benutzerzugriffs werden verwendet.
    • Auf abgelehnte Gastbenutzer anzuwendende Aktion: Diese Option ist nur verfügbar, wenn die Zugriffsüberprüfung so konfiguriert wurde, dass sie nur Gastbenutzer umfasst. Mithilfe dieser Option können Sie angeben, wie mit Gastbenutzern verfahren werden soll, die entweder durch einen Prüfer oder aufgrund der Einstellung Wenn Prüfer nicht reagieren abgelehnt wurden.

      • Mitgliedschaft des Benutzers aus der Ressource entfernen: Bei Verwendung dieser Option wird der Zugriff eines abgelehnten Gastbenutzers auf die überprüfte Gruppe oder Anwendung deaktiviert. Sie können sich weiterhin beim Mandanten anmelden und verlieren keinen anderen Zugriff.
      • Anmeldung des Benutzers für 30 Tage blockieren und den Benutzer anschließend vom Mandanten entfernen: Bei Verwendung dieser Option können sich abgelehnte Gastbenutzer nicht mehr beim Mandanten anmelden – unabhängig vom Zugriff auf andere Ressourcen. Wurde diese Maßnahme fälschlicherweise ergriffen, können Administratoren den Zugriff des Gastbenutzers innerhalb von 30 Tagen nach der Deaktivierung wieder aktivieren. Wird für den deaktivierten Gastbenutzer keine Aktion durchgeführt, wird er nach 30 Tagen aus dem Mandanten gelöscht.

    Weitere Informationen zu bewährten Methoden im Zusammenhang mit dem Entfernen von Gastbenutzern, die keinen Zugriff mehr auf Ressourcen in Ihrer Organisation haben, finden Sie unter Verwenden von Azure AD Identity Governance zum Überprüfen und Entfernen externer Benutzer, die keinen Zugriff mehr auf Ressourcen haben.

    Hinweis

    Die auf abgelehnte Gastbenutzer anzuwendende Aktion kann nicht für Überprüfungen konfiguriert werden, die sich neben Gastbenutzern auf einen größeren Bereich beziehen. Es ist auch nicht für Bewertungen von Alle Microsoft 365-Gruppen mit Gastbenutzern konfigurierbar. Wenn es nicht konfigurierbar ist, wird die Standardoption zum Entfernen der Mitgliedschaft eines Benutzers aus der Ressource für abgelehnte Benutzer verwendet.

  2. Verwenden Sie die Option Bei Abschluss der Überprüfung Benachrichtigung senden an: , um Benachrichtigungen mit Abschlussupdates an andere Benutzer oder Gruppen zu senden. Mit diesem Feature können andere Beteiligte als der Ersteller der Überprüfung über den Fortschritt der Überprüfung informiert werden. Um dieses Feature zu verwenden, wählen Sie Benutzer oder Gruppen auswählen aus, und fügen Sie einen weiteren Benutzer oder eine weitere Gruppe hinzu, für den bzw. die Sie Statusinformationen zur Überprüfung erhalten möchten.

  3. Wählen Sie im Abschnitt Entscheidungshilfen für Überprüfungen aktivieren aus, ob Ihre Prüfer während des Überprüfungsvorgangs Empfehlungen erhalten sollen.

    1. Wenn Sie Keine Anmeldung innerhalb von 30 Tagen auswählen, werden Benutzer, die sich während des vorherigen 30-Tage-Zeitraums angemeldet haben, für die Genehmigung empfohlen. Für Benutzer, die sich während der letzten 30 Tage nicht angemeldet haben, wird die Ablehnung empfohlen. Für diesen 30-tägigen Zeitraum ist nicht relevant, ob die Anmeldungen interaktiv waren oder nicht. Das letzte Anmeldedatum des angegebenen Benutzers oder der angegebenen Benutzer*in wird ebenfalls zusammen mit der Empfehlung angezeigt.

    Hinweis

    Wenn Sie eine anwendungsbasierte Zugriffsüberprüfung erstellen, liegt Ihren Empfehlungen der 30-tägige Intervallzeitraum zugrunde, der auf der letzten Anmeldung des Benutzers bei der Anwendung basiert (nicht auf der letzten Anmeldung beim Mandanten).

    Screenshot mit Option „Entscheidungshilfen für Prüfer aktivieren“

  4. Sie können im Abschnitt Erweiterte Einstellungen Folgendes auswählen:

    • Begründung erforderlich: Wenn Sie dieses Kontrollkästchen aktivieren, müssen Prüfer einen Grund für die Genehmigung oder Ablehnung angeben.

    • E-Mail-Benachrichtigungen: Aktivieren Sie dieses Kontrollkästchen, damit Azure AD beim Start einer Zugriffsüberprüfung E-Mail-Benachrichtigungen an die Prüfer und beim Abschluss einer Überprüfung Benachrichtigungen an Administratoren sendet.

    • LErinnerungen: Aktivieren Sie dieses Kontrollkästchen, damit Azure AD Erinnerungen zu laufenden Zugriffsüberprüfungen an alle Prüfer sendet. Prüfer erhalten die Erinnerungen nach der Hälfte der Überprüfung, unabhängig davon, ob sie ihre Überprüfung abgeschlossen haben oder nicht.

    • Zusätzlicher Inhalt für E-Mail an Prüfer: Der Inhalt der an Prüfer gesendeten E-Mail wird automatisch basierend auf den Überprüfungsdetails generiert, z. B. Name der Überprüfung, Name der Ressource, Fälligkeitsdatum usw. Wenn Sie weitere Informationen übermitteln müssen, können Sie in dem Feld Details wie Anweisungen oder Kontaktinformationen angeben. Die eingegebenen Informationen werden in die Einladung eingefügt, und Erinnerungs-E-Mails werden an die zugewiesenen Prüfer gesendet. Der in der folgenden Abbildung hervorgehobene Abschnitt zeigt, wo diese Informationen angezeigt werden.

      Screenshot: Zusätzliche Inhalte für Prüfer.

  5. Klicken Sie auf Weiter: Überprüfen + erstellen.

    Screenshot: Registerkarte „Überprüfen und erstellen“.

Weiter: Überprüfen + erstellen

  1. Benennen Sie die Zugriffsüberprüfung. Wahlweise können Sie jeder Überprüfung eine Beschreibung hinzufügen. Den Prüfern werden Name und Beschreibung angezeigt.

  2. Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.

Erstellen einer mehrstufigen Zugriffsüberprüfung

Mit einer mehrstufigen Überprüfung kann der oder die Administrator*in zwei oder drei Prüfergruppen definieren, damit Überprüfungen nacheinander abgeschlossen werden. Bei einstufigen Überprüfungen treffen alle Prüfer*innen innerhalb desselben Zeitraums eine Entscheidung, und der Prüfer*innen, der die letzte Entscheidung trifft, „gewinnt“. Bei einer mehrstufigen Überprüfung treffen zwei oder drei unabhängige Prüfergruppen innerhalb einer Stufe eine Entscheidung, und die nächste Stufe beginnt erst, wenn in der vorherigen Stufe eine Entscheidung getroffen wurde. Mehrstufige Überprüfungen eignen sich, um den Aufwand für Prüfer*innen in späteren Stufen zu reduzieren, Prüfer*innen eine Eskalation von Angelegenheiten zu ermöglichen oder um eine Einigung von unabhängigen Prüfergruppen auf Entscheidungen herbeizuführen.

Warnung

Daten von Benutzern, die in mehrstufige Zugriffsüberprüfungen einbezogen werden, sind Teil des Überwachungsdatensatzes zu Beginn der Überprüfung. Administratoren können die Daten jederzeit löschen, indem sie die mehrstufige Zugriffsüberprüfungsreihe löschen. Allgemeine Informationen zur DSGVO und zum Schutz von Benutzerdaten finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

  1. Nachdem Sie die Ressource und den Bereich Ihrer Überprüfung ausgewählt haben, wechseln Sie zur Registerkarte Überprüfungen.

  2. Klicken Sie auf das Kontrollkästchen neben Überprüfung in mehreren Phasen.

  3. Wählen Sie unter First stage review (Erste Überprüfungsstufe) im Dropdownmenü neben Prüfer auswählen die Prüfer*innen aus.

  4. Wenn Sie Gruppenbesitzer oder Vorgesetzte von Benutzern auswählen, haben Sie die Möglichkeit, eine*n Ersatzprüfer*in hinzuzufügen. Klicken Sie zum Hinzufügen eines Ersatzprüfers oder einer Ersatzprüferin auf + Alternative Prüfer auswählen, und fügen Sie die Benutzer*innen hinzu, die Ersatzprüfer*innen sein sollen.

    Screenshot mit aktivierter Überprüfung in mehreren Phasen sowie Einstellungen zur Überprüfung in mehreren Phasen

  5. Fügen Sie die Dauer der ersten Stufe hinzu. Um die Dauer hinzuzufügen, geben Sie eine Zahl in das Feld neben Dauer der Phase (in Tagen) ein. Dies ist die Anzahl von Tagen, während der die Prüfer der ersten Stufe Zeit haben, um Entscheidungen zu treffen.

  6. Wählen Sie unter Second stage review (Zweite Überprüfungsstufe) im Dropdownmenü neben Prüfer auswählen die Prüfer*innen aus. Diese Prüfer werden aufgefordert, die Überprüfung zu überprüfen, nachdem die ersten Überprüfungsstufe abgelaufen ist.

  7. Fügen Sie bei Bedarf Ersatzprüfer*innen hinzu.

  8. Fügen Sie die Dauer der zweiten Stufe hinzu.

  9. Standardmäßig werden zwei Stufen angezeigt, wenn Sie eine mehrstufige Überprüfung erstellen. Sie können jedoch bis zu drei Stufen hinzufügen. Wenn Sie eine dritte Stufe hinzufügen möchten, klicken Sie auf + Phase hinzufügen, und füllen Sie die Pflichtfelder aus.

  10. Sie können es den Prüfer*innen der zweiten und dritten Stufe gestatten, die in die in den vorherigen Stufen getroffenen Entscheidungen einzusehen. Klicken Sie dazu unter Überprüfungsergebnisse anzeigen auf das Kontrollkästchen neben Prüfern späterer Phasen Entscheidungen aus vorherigen Phasen anzeigen. Lassen Sie das Kontrollkästchen deaktiviert, um diese Einstellung zu deaktivieren, wenn Ihre Prüfer*innen eine unabhängige Überprüfung durchführen sollen.

    Screenshot mit Dauer und aktivierter Einstellung zum Anzeigen vorheriger Phasen für die Überprüfung in mehreren Phasen

  11. Die Dauer jeder Serie wird auf die Summe der Tage festgelegt, die Sie für die einzelnen Stufen als Dauer angegebenen haben.

  12. Geben Sie die Wiederholung der Überprüfung, das Startdatum und das Enddatum für die Überprüfung an. Der Serientyp muss mindestens die gleiche Dauer aufweisen wie die gesamte Serie (d. h. die maximale Dauer für eine wöchentliche Überprüfungsserie beträgt 7 Tage).

  13. Um anzugeben, welche zu prüfenden Benutzer*innen in die nächste Stufe übergehen, müssen Sie mindestens eine der folgenden Optionen neben Geben Sie zu Überprüfende an, um zur nächsten Phase zu wechseln auswählen: Screenshot, der die Einstellung zum Angeben von zu prüfenden Benutzer*innen sowie Optionen für eine mehrstufige Überprüfung anzeigt

    1. Genehmigte Prüfer: Nur genehmigte zu prüfenden Benutzer*innen kommen in die nächste Stufe.
    2. Abgelehnte Prüfer: Nur abgelehnte zu prüfenden Benutzer*innen kommen in die nächste Stufe.
    3. Nicht überprüfte zu Überprüfende: Nur zu prüfenden Benutzer*innen, die noch nicht überprüft wurden, kommen in die nächste Stufe.
    4. Prüfer, die als „Nicht bekannt“ markiert sind: Nur zu prüfenden Benutzer*innen, die als „Nicht bekannt“ markiert sind, kommen in die nächste(n) Stufe(n).
    5. Alle: Alle Benutzer*innen kommen in die nächste Stufe, wenn Sie möchten, dass die Prüfer*innen aller Stufen eine Entscheidung treffen.
  14. Wechseln Sie zur Registerkarte „Einstellungen“, konfigurieren Sie die restlichen Einstellungen, und erstellen Sie die Überprüfung. Befolgen Sie die Anweisungen unter Weiter: Einstellungen.

Einschließen von Benutzern direkter B2B-Verbindungen und von Teams, die auf freigegebene Teams-Kanäle zugreifen, in Zugriffsüberprüfungen

Sie können Zugriffsüberprüfungen für B2B Direct Connect-Benutzer über freigegebene Kanäle in Microsoft Teams erstellen. Bei der externen Zusammenarbeit können Sie Azure AD-Zugriffsüberprüfungen verwenden, um sicherzustellen, dass der externe Zugriff auf freigegebene Kanäle aktuell bleibt. Weitere Informationen zu freigegebenen Teams-Kanälen und B2B Direct Connect-Benutzern finden Sie im Artikel Übersicht über direkte B2B-Verbindungen.

Wenn Sie eine Zugriffsüberprüfung für ein Team mit freigegebenen Kanälen erstellen, können Ihre Prüfer überprüfen, ob weiterhin Zugriff auf diese externen Benutzer und Teams in den freigegebenen Kanälen benötigt wird. Externe Benutzer in den freigegebenen Kanälen werden als B2B Direct Connect-Benutzer bezeichnet. Sie können den Zugriff von B2B Connect-Benutzern und anderen unterstützten Benutzern für die B2B-Zusammenarbeit sowie interne Benutzer ohne B2B in derselben Überprüfung überprüfen.

Hinweis

Derzeit sind B2B Direct Connect-Benutzer und -Teams nur in einstufigen Überprüfungen enthalten. Wenn mehrstufige Überprüfungen aktiviert sind, werden die Direct Connect-Benutzer und -Teams nicht in die Zugriffsüberprüfung einbezogen.

B2B Direct Connect-Benutzer und -Teams werden in Zugriffsüberprüfungen der Teams-fähigen Microsoft 365-Gruppe einbezogen, zu der die freigegebenen Kanäle gehören. Zum Erstellen der Überprüfung müssen Sie eine der folgenden Rollen innehaben:

  • Globaler Administrator
  • Benutzeradministrator
  • Identity Governance-Administrator

Befolgen Sie die nachstehenden Anweisungen, um eine Zugriffsüberprüfung für ein Team mit freigegebenen Kanälen zu erstellen:

  1. Melden Sie sich als globaler Administrator, Benutzeradministrator oder Identity Governance-Administrator beim Azure-Portal an.

  2. Öffnen Sie die Seite Identity Governance.

  3. Wählen Sie im linken Menü Zugriffsüberprüfungen aus.

  4. Wählen Sie + Neue Zugriffsüberprüfung aus.

  5. Wählen Sie Teams + Groups (Teams und Gruppen) aus, und klicken Sie dann auf Teams und Gruppen auswählen, um eine Option für Überprüfungsbereich festzulegen. B2B Direct Connect-Benutzer und -Teams sind nicht in Überprüfungen vom Typ Alle Microsoft 365-Gruppen mit Gastbenutzern enthalten.

  6. Wählen Sie ein Team aus, das über freigegebene Kanäle verfügt, die für mindestens einen B2B Direct Connect-Benutzer oder Teams freigegeben wurden.

  7. Legen Sie unter Bereich eine Option fest.

    Screenshot zum Einstellen des Überprüfungsumfangs auf die Überprüfung freigegebener Kanäle

    • Wählen Sie Alle Benutzer aus, damit folgende Personen einbezogen werden:
      • Alle internen Benutzer
      • B2B-Benutzer für die Zusammenarbeit, die Mitglieder des Teams sind
      • B2B Direct Connect-Benutzer
      • Teams, die auf freigegebene Kanäle zugreifen
    • Oder wählen Sie Nur Gastbenutzer aus, um nur B2B Direct Connect-Benutzer und -Teams sowie B2B-Benutzer für die Zusammenarbeit einzuschließen.
  8. Fahren Sie mit der Registerkarte Überprüfungen fort. Wählen Sie einen Prüfer aus, um die Überprüfung abzuschließen, und geben Sie dann Werte für Dauer und Wiederholung der Überprüfung an.

    Hinweis

    • Wenn Sie die Option Prüfer auswählen auf Benutzer überprüfen eigenen Zugriff oder Vorgesetzte von Benutzern festlegen, können B2B Direct Connect-Benutzer und -Teams den eigenen Zugriff in Ihrem Mandanten nicht überprüfen. Der Besitzer des überprüften Teams wird in einer E-Mail aufgefordert, die B2B Direct Connect-Benutzer und -Teams zu überprüfen.
    • Wenn Sie Vorgesetzte von Benutzern auswählen, überprüft ein ausgewählter alternativer Prüfer alle Benutzer ohne Vorgesetzte im Basismandanten. Dazu zählen B2B Direct Connect-Benutzer und -Teams ohne Vorgesetzte.
  9. Wechseln Sie zur Registerkarte Einstellungen, und konfigurieren Sie zusätzliche Einstellungen. Wechseln Sie dann zur Registerkarte Überprüfen und erstellen, um Ihre Zugriffsüberprüfung zu starten. Ausführlichere Informationen zum Erstellen von Überprüfungs- und Konfigurationseinstellungen finden Sie unter Erstellen einer einstufigen Zugriffsüberprüfung.

Ermöglichen der Erstellung und Verwaltung von Zugriffsüberprüfungen der eigenen Gruppen für Gruppenbesitzer

Die Rolle muss „Globaler Administrator“ oder „Benutzeradministrator“ lauten.

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Seite Identity Governance.

  2. Wählen Sie im Menü auf der linken Seite unter Zugriffsüberprüfungen die Option Einstellungen aus.

  3. Legen Sie auf der Seite Delegieren, wer Zugriffsüberprüfungen erstellen und verwalten kann die Einstellung Gruppenbesitzer können Zugriffsüberprüfungen für Gruppen, deren Besitzer sie sind, erstellen und verwalten auf Ja fest.

    Screenshot: Aktivieren der Überprüfung durch Gruppenbesitzer.

    Hinweis

    Standardmäßig ist die Einstellung auf den Wert Nein festgelegt. Um Gruppenbesitzern das Erstellen und Verwalten von Zugriffsüberprüfungen zu erlauben, legen Sie die Einstellung auf Ja fest.

Starten der Zugriffsüberprüfung

Wählen Sie nach dem Festlegen der Einstellungen für eine Zugriffsüberprüfung die Option Starten aus. Die Zugriffsüberprüfung wird in der Liste mit einer Angabe des Status angezeigt.

Screenshot: Liste der Zugriffsüberprüfungen und deren Status.

Standardmäßig sendet Azure AD kurz nach dem Start der Überprüfung eine E-Mail an die Prüfer. Wenn Sie nicht möchten, dass Azure AD die E-Mail sendet, stellen Sie sicher, dass die Prüfer darüber in Kenntnis gesetzt werden, dass sie eine ausstehende Zugriffsüberprüfung abschließen müssen. Sie können ihnen die Anweisungen zum Überprüfen des Zugriffs auf Gruppen oder Anwendungen anzeigen. Wenn Ihre Überprüfung für Gäste gedacht ist, die ihren eigenen Zugriff überprüfen sollen, können Sie ihnen die Anweisungen zum Überprüfen des eigenen Zugriffs auf Gruppen oder Anwendungen anzeigen.

Wenn Sie Gäste als Prüfer zugewiesen haben und diese ihre Einladung für den Mandanten nicht akzeptiert haben, erhalten sie keine E-Mail von Zugriffsüberprüfungen. Sie müssen zunächst die Einladung annehmen, bevor sie mit der Überprüfung beginnen können.

Zugriffsüberprüfung aktualisieren

Nachdem eine oder mehrere Zugriffsüberprüfungen gestartet wurden, möchten Sie die Einstellungen Ihrer vorhandenen Zugriffsüberprüfungen möglicherweise ändern oder aktualisieren. Im Folgenden finden Sie einige häufige Szenarien, die sie berücksichtigen sollten:

  • Einstellungen oder Prüfern aktualisieren: Wenn eine Zugriffsüberprüfung wiederholt wird, gibt es getrennte Einstellungen für Aktuell und Serie. Wenn Sie die Einstellungen oder Prüfer unter Aktuell aktualisieren, werden die Änderungen nur auf die aktuelle Zugriffsüberprüfung angewendet. Wenn Sie die Einstellungen oder Prüfer unter Serie aktualisieren, werden die Einstellungen für alle zukünftigen Wiederholungen aktualisiert.

    Screenshot: Aktualisieren der Einstellungen für die Zugriffsüberprüfung.

  • Prüfer hinzufügen und entfernen: Beim Aktualisieren von Zugriffsüberprüfungen können Sie zusätzlich zum primären Prüfer einen Fallbackprüfer hinzufügen. Primäre Prüfer können entfernt werden, wenn Sie eine Zugriffsüberprüfung aktualisieren. Fallbackprüfer können standardmäßig nicht entfernt werden.

    Hinweis

    Fallbackprüfer können nur hinzugefügt werden, wenn der Prüfertyp „Vorgesetzter“ oder „Gruppenbesitzer“ lautet. Primäre Prüfer können hinzugefügt werden, wenn der Prüfertyp der ausgewählte Benutzer ist.

  • Prüfer erinnern: Beim Aktualisieren von Zugriffsüberprüfungen können Sie die Option Erinnerungen unter Erweiterte Einstellungen aktivieren. Benutzer erhalten dann nach der Hälfte des Überprüfungszeitraums eine E-Mail-Benachrichtigung, unabhängig davon, ob sie ihre Überprüfung abgeschlossen haben oder nicht.

    Screenshot: Erinnerungen für Prüfer.

Nächste Schritte