Erstellen einer Zugriffsüberprüfung von PIM für Gruppen in Microsoft Entra ID (Vorschau)
In diesem Artikel wird beschrieben, wie Sie eine Zugriffsüberprüfung von PIM für Gruppen erstellen, die die aktiven Mitglieder der Gruppe und die berechtigten Mitglieder umfasst. Überprüfungen können sowohl für aktive Mitglieder der Gruppe ausgeführt werden – also diejenigen Mitglieder, die zum Zeitpunkt der Erstellung der Überprüfung aktiv sind – als auch für die berechtigten Mitglieder der Gruppe.
Voraussetzungen
- Microsoft Entra ID Governance-Lizenz.
- Nur Benutzer mit der Rolle Globaler Administrator oder der Rolle Administrator für privilegierte Rollen können Überprüfungen von PIM für Gruppen erstellen. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen.
Weitere Informationen finden Sie unter Lizenzanforderungen.
Erstellen einer Zugriffsüberprüfung von PIM für Gruppen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Umfang
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Browsen Sie zu Identitätsgovernance>Zugriffsüberprüfung>Verlauf überprüfen.
Wählen Sie Neue Zugriffsüberprüfung aus, um eine neue Zugriffsüberprüfung zu erstellen.
Wählen Sie im Feld Zu überprüfende Elemente auswählen die Option Teams + Gruppen aus.
Wählen Sie Teams + Gruppen und dann Ausgewählte Teams + Gruppen unter Prüfbereich aus. Auf der rechten Seite wird eine Liste der Gruppen angezeigt, aus der Sie auswählen können.
Hinweis
Wenn eine Instanz von PIM für Gruppen ausgewählt wird, werden alle berechtigten und alle aktiven Benutzer*innen in dieser Gruppe einer Überprüfung unterzogen.
Jetzt können Sie einen Bereich für die Überprüfung auswählen. Folgende Optionen sind verfügbar:
- Nur Gastbenutzer: Diese Option beschränkt die Zugriffsüberprüfung ausschließlich auf die Microsoft Entra B2B-Gastbenutzer in Ihrem Verzeichnis.
- Jeder: Mit dieser Option wird die Zugriffsüberprüfung auf alle Benutzerobjekte angewendet, die der Ressource zugeordnet sind.
Wenn Sie eine Überprüfung der Gruppenmitgliedschaft durchführen, können Sie Zugriffsüberprüfungen nur für die inaktiven Benutzer in der Gruppe erstellen. Aktivieren Sie im Abschnitt Benutzerbereich das Kontrollkästchen neben Inaktive Benutzer (auf Mandantenebene). Wenn Sie das Kontrollkästchen aktivieren, wird die Überprüfung auf inaktive Benutzer beschränkt. Hierbei handelt es sich um Benutzer, die sich weder per interaktiver Anmeldung noch per nicht interaktiver Anmeldung bei dem Mandanten angemeldet haben. Geben Sie dann in Tage inaktiv die Anzahl der Tage ohne Aktivität ein (max. 730 Tage = zwei Jahre). Benutzer in der Gruppe, die für die angegebene Anzahl von Tagen inaktiv waren, sind die einzigen Benutzer in der Überprüfung.
Hinweis
Zuletzt erstellte Benutzer sind von der Konfiguration der Inaktivitätszeit nicht betroffen. Bei der Zugriffsüberprüfung wird überprüft, ob ein Benutzer innerhalb des konfigurierten zeitlichen Rahmens erstellt wurde. Benutzer, die zumindest während dieser Zeit nicht vorhanden waren, werden nicht berücksichtigt. Wenn Sie die Inaktivitätszeit beispielsweise auf 90 Tage festgelegt haben und ein Gastbenutzer vor weniger als 90 Tagen erstellt oder eingeladen wurde, ist der Gastbenutzer nicht im Bereich der Zugriffsüberprüfung enthalten. Dadurch wird sichergestellt, dass sich ein Benutzer mindestens einmal anmelden kann, bevor er entfernt wird.
- Wählen Sie Weiter: Überprüfungen aus.
Nachdem Sie diesen Schritt erreicht haben, können Sie die Anweisungen unter Weiter: Überprüfungen im Artikel Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen befolgen, um die Zugriffsüberprüfung abzuschließen.
Hinweis
Bei der Überprüfung von PIM für Gruppen werden nur aktive Besitzer*innen als Prüfer*innen zugewiesen. Berechtigte Besitzer gehören nicht dazu. Für eine Überprüfung von PIM für Gruppen ist mindestens ein*e Fallbackprüfer*in erforderlich. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, werden der Überprüfung die Fallbackprüfer zugewiesen.