Erstellen eines Zugriffspakets in der Berechtigungsverwaltung

  • Artikel

Mit einem Zugriffspaket können Sie Ressourcen und Richtlinien einmalig so einrichten, dass der Zugriff für die gesamte Lebensdauer des Zugriffspakets automatisch verwaltet wird. In diesem Artikel wird das Erstellen eines Zugriffspakets beschrieben.

Übersicht

Alle Zugriffspakete müssen sich in einem Container befinden, der als „Katalog“ bezeichnet wird. In einem Katalog wird definiert, welche Ressourcen Sie Ihrem Zugriffspaket hinzufügen können. Wenn Sie keinen Katalog angeben, wird Ihr Zugriffspaket in den Katalog „Allgemein“ eingefügt. Derzeit können Sie vorhandene Pakete nicht in einen anderen Katalog verschieben.

Ein Zugriffspaket kann verwendet werden, um den Zugriff auf Rollen von mehreren Ressourcen zuzuweisen, die sich im Katalog befinden. Wenn Sie Administrator oder Katalogbesitzer sind, können Sie beim Erstellen eines Zugriffspakets Ressourcen zum Katalog hinzufügen. Sie können auch Ressourcen hinzufügen, nachdem das Zugriffspaket erstellt wurde, und Benutzer, die dem Zugriffspaket zugewiesen sind, erhalten auch die zusätzlichen Ressourcen.

Wenn Sie ein Zugriffspaket-Manager sind, können Sie keine eigenen Ressourcen zu einem Katalog hinzufügen. Sie können nur die im Katalog verfügbaren Ressourcen verwenden. Wenn Sie einem Katalog Ressourcen hinzufügen müssen, können Sie den Katalogbesitzer darum bitten.

Alle Zugriffspakete müssen über mindestens eine Richtlinie für Benutzer verfügen, die ihnen zugewiesen werden sollen. Richtlinien geben an, wer das Zugriffspaket anfordern kann, zusammen mit Genehmigungs- und Lebenszykluseinstellungen, oder wie der Zugang automatisch zugewiesen wird. Beim Erstellen eines Zugriffspakets können Sie eine anfängliche Richtlinie für in Ihrem Verzeichnis enthaltene Benutzer, nicht in Ihrem Verzeichnis enthaltene Benutzer oder nur direkte Administratorzuweisungen erstellen.

Diagram of an example marketing catalog, including its resources and its access package.

Nachfolgend sind die grundlegenden Schritte zum Erstellen eines Zugriffspakets mit einer anfänglichen Richtlinie aufgeführt:

  1. Starten Sie in Identity Governance den Prozess zum Erstellen eines Zugriffspakets.

  2. Wählen Sie den Katalog aus, in dem Sie das Zugriffspaket ablegen möchten, und stellen Sie sicher, dass es über die erforderlichen Ressourcen verfügt.

  3. Fügen Sie Ressourcenrollen von Ressourcen im Katalog zu Ihrem Zugriffspaket hinzu.

  4. Geben Sie eine anfängliche Richtlinie für Benutzer an, die Zugriff anfordern können.

  5. Geben Sie Genehmigungseinstellungen und Lebenszykluseinstellungen in dieser Richtlinie an.

Sobald das Zugriffspaket erstellt wurde, können Sie die ausgeblendete Einstellung ändern, Ressourcenrollen hinzufügen oder entfernen und zusätzliche Richtlinien hinzufügen.

Starten des Erstellungsprozesses

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Um die folgenden Schritte auszuführen, müssen Sie über eine der folgenden Rollen verfügen: Globaler Administrator, Identity Governance-Administrator, Katalogbesitzer oder Zugriffspaket-Manager.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie Neues Zugriffspaket aus.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Konfigurieren von Grundlagen

Auf der Registerkarte Grundlagen geben Sie dem Zugriffspaket einen Namen und geben der Katalog an, in dem es erstellt werden soll.

  1. Geben Sie einen Anzeigenamen und eine Beschreibung für das Zugriffspaket ein. Benutzer sehen diese Informationen, wenn sie eine Anforderung für das Zugriffspaket senden.

  2. Wählen Sie in der Dropdownliste Katalog den Katalog aus, in den das Zugriffspaket gelegt werden soll. Beispielsweise verfügen Sie möglicherweise über einen Katalogbesitzer, der alle Marketingressourcen verwaltet, die angefordert werden können. In diesem Fall können Sie den Marketingkatalog auswählen.

    Es werden nun Kataloge angezeigt, in denen Sie Zugriffspakete erstellen dürfen. Um ein Zugriffspaket in einem vorhandenen Katalog erstellen zu können, müssen Sie über eine der folgenden Rollen verfügen: Globaler Administrator oder Identity Governance-Administrator. Oder Sie müssen Katalogbesitzer oder Zugriffspaket-Manager in diesem Katalog sein.

    Screenshot that shows basic information for a new access package.

    Wenn Sie über eine der Rollen „Globaler Administrator“, „Identity Governance-Administrator“ oder „Katalogersteller“ verfügen und Ihr Zugriffspaket in einem neuen, noch nicht aufgeführten Katalog erstellen möchten, wählen Sie Neuen Katalog erstellen aus. Geben Sie einen Namen und eine Beschreibung für den Katalog ein, und wählen Sie Erstellen aus.

    Das Zugriffspaket, das Sie erstellen, und alle darin enthaltenen Ressourcen werden dem neuen Katalog hinzugefügt. Später können Sie den Ressourcen, die Sie im Katalog einfügen, weitere Katalogbesitzer oder Attribute hinzufügen. Weitere Informationen zum Bearbeiten der Attributliste für eine bestimmte Katalogressource und die erforderlichen Rollen finden Sie unter Hinzufügen von Ressourcenattributen im Katalog.

  3. Wählen Sie Weiter: Ressourcenrollen aus.

Auswählen von Ressourcenrollen

Auf der Registerkarte Ressourcenrollen wählen Sie die Ressourcen aus, die in das Zugriffspaket aufgenommen werden sollen. Benutzern, die das Zugriffspaket anfordern und erhalten, werden alle Ressourcenrollen, z. B. Gruppenzugehörigkeit, im Zugriffspaket zugewiesen.

Wenn Sie nicht sicher sind, welche Ressourcenrollen einbezogen werden sollen, können Sie das Hinzufügen beim Erstellen des Zugriffspakets überspringen und sie später hinzufügen.

  1. Wählen Sie den hinzuzufügenden Ressourcentyp aus (Gruppen und Teams, Apps oder SharePoint-Websites).

  2. Wählen Sie in der Liste im angezeigten Bereich Anwendungen auswählen Ressourcen aus.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Wenn Sie das Zugriffspaket im Katalog „Allgemein“ oder einem neuen Katalog erstellen, können Sie beliebige Ressourcen aus dem Verzeichnis in Ihrem Besitz auswählen. Sie müssen über mindestens eine der folgenden Rollen verfügen: Globaler Administrator, Identity Governance-Administrator oder Katalogersteller.

    Hinweis

    Sie können einem Katalog und einem Zugriffspaket dynamische Gruppen hinzufügen. Sie können jedoch nur die Rolle „Besitzer“ auswählen, wenn Sie in einem Zugriffspaket eine dynamische Gruppenressource verwalten.

    Wenn Sie das Zugriffspaket in einem vorhandenen Katalog erstellen, können Sie jede bereits im Katalog vorhandene Ressource auswählen, ohne deren Besitzer zu sein.

    Wenn Sie über eine der Rollen „Globaler Administrator“, „Identity Governance-Administrator“ oder „Katalogbesitzer“ verfügen, haben Sie zusätzlich die Möglichkeit, noch nicht im Katalog enthaltene Ressourcen auszuwählen, die sich in Ihrem Besitz befinden oder die Sie verwalten. Wenn Sie Ressourcen im Verzeichnis auswählen, die derzeit nicht im ausgewählten Katalog vorhanden sind, werden diese Ressourcen ebenfalls dem Katalog hinzugefügt, sodass andere Katalog-Administratoren Zugriffspakete damit erstellen können. Wenn Sie alle Ressourcen anzeigen möchten, die dem Katalog hinzugefügt werden können, aktivieren Sie das Kontrollkästchen Alle anzeigen am oberen Rand des Bereichs. Wenn Sie nur Ressourcen auswählen möchten, die derzeit im ausgewählten Katalog vorhanden sind, lassen Sie das Kontrollkästchen Alle anzeigen deaktiviert (Standardeinstellung).

  3. Wählen Sie in der Liste Rolle die Rolle aus, die Benutzern für die Ressource zugewiesen werden soll. Weitere Informationen zum Auswählen der geeigneten Rollen für eine Ressource finden Sie unter So ermitteln Sie, welche Ressourcenrollen in ein Zugriffspaket kommen.

    Screenshot that shows resource role selection for a new access package.

  4. Wählen Sie Weiter: Anforderungen aus.

Erstellen von Anforderungsrichtlinien

Auf der Registerkarte Anforderungen erstellen Sie die erste Richtlinie, um anzugeben, wer das Zugriffspaket anfordern kann. Außerdem konfigurieren Sie Genehmigungseinstellungen. Später können Sie weitere Anforderungsrichtlinien erstellen, um zusätzlichen Gruppen von Benutzern mit eigenen Genehmigungseinstellungen das Anfordern des Zugriffspakets zu ermöglichen.

Screenshot that shows the Requests tab for a new access package.

Führen Sie die Schritte in einem der folgenden Abschnitte aus, je nachdem, welche Benutzer in der Lage sein sollen, dieses Zugriffspaket anzufordern.

Benutzern in Ihrem Verzeichnis erlauben, das Zugriffspaket anzufordern

Führen Sie die folgenden Schritte aus, wenn Sie möchten, dass Benutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Beim Definieren der Anforderungsrichtlinie können Sie einzelne Benutzer oder Gruppen von Benutzern angeben. Beispielsweise verfügt Ihre Organisation möglicherweise bereits über eine Gruppe wie Alle Mitarbeiter. Wenn diese Gruppe in die Richtlinie für Benutzer eingefügt wird, die Zugriff anfordern können, können alle Mitglieder dieser Gruppe Zugriff anfordern.

  1. Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für in Ihrem Verzeichnis befindliche Benutzer aus.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt, sodass Sie weiter verfeinern können, wer in Ihrem Verzeichnis dieses Zugriffspaket anfordern kann.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Wählen Sie eine der folgenden Optionen aus:

    Option BESCHREIBUNG
    Bestimmte Benutzer und Gruppen Wählen Sie diese Option aus, wenn Sie möchten, dass nur die von Ihnen angegebenen Benutzer und Gruppen in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.
    Alle Mitglieder (keine Gäste) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Diese Option umfasst keine Gastbenutzer, die Sie möglicherweise in Ihr Verzeichnis eingeladen haben.
    Alle Benutzer (einschließlich Gästen) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer und Gastbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.

    Gastbenutzer sind externe Benutzer, die über Microsoft Entra B2Bin Ihr Verzeichnis eingeladen wurden. Weitere Informationen zu den Unterschieden zwischen Mitglieds- und Gastbenutzer*innen finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?.

  3. Wenn Sie Bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie Benutzer und Gruppen hinzufügen aus.

  4. Wählen Sie im Bereich Benutzer und Gruppen auswählen die Benutzer und Gruppen aus, die Sie hinzufügen möchten.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Wählen Sie Auswählen aus, um die Benutzer und Gruppen hinzuzufügen.

  6. Scrollen Sie nach unten zum Abschnitt Genehmigungseinstellungen angeben.

Benutzern, die sich nicht in Ihrem Verzeichnis befinden, erlauben, das Zugriffspaket anzufordern

Benutzer, die sich in einem anderen Microsoft Entra-Verzeichnis oder einer anderen Domäne befinden, wurden möglicherweise noch nicht in Ihr Verzeichnis eingeladen. Microsoft Entra-Verzeichnisse müssen in Einschränkungen bei der Zusammenarbeit so konfiguriert werden, dass sie Einladungen zulassen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

Für einen Benutzer, der sich noch nicht in Ihrem Verzeichnis befindet und dessen Anforderung genehmigt wird bzw. keine Genehmigung benötigt, wird ein Gastbenutzerkonto erstellt. Der Gast wird eingeladen, erhält jedoch keine Einladungs-E-Mail. Stattdessen erhält er eine E-Mail, wenn seine Zugriffspaketzuweisung bereitgestellt wird. Wenn dieser Gastbenutzer zu einem späteren Zeitpunkt keine Zugriffspaketzuweisungen mehr besitzt, weil die letzte Zuweisung abgelaufen ist oder abgebrochen wurde, wird das Konto für die Anmeldung blockiert und anschließend gelöscht. Das Blockieren und Löschen erfolgt standardmäßig.

Wenn Gastbenutzer dauerhaft in Ihrem Verzeichnis bleiben sollen, auch wenn sie keine Zugriffspaketzuweisungen haben, können Sie die Einstellungen für Ihre Berechtigungsverwaltungskonfiguration ändern. Weitere Informationen zum Gastbenutzerobjekt finden Sie unter Eigenschaften von Microsoft Entra B2B Collaboration-Benutzer*innen.

Gehen Sie folgendermaßen vor, wenn Sie Benutzern, die sich nicht in Ihrem Verzeichnis befinden, die Möglichkeit geben möchten, das Zugriffspaket anzufordern:

  1. Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden aus.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Wählen Sie eine der folgenden Optionen aus:

    Option BESCHREIBUNG
    Bestimmte verbundene Organisationen Wählen Sie diese Option aus, wenn Sie aus einer Liste mit Organisationen auswählen möchten, die Ihr Administrator zuvor hinzugefügt hat. Alle Benutzer aus den ausgewählten Organisationen können dieses Zugriffspaket anfordern.
    Alle verbundenen Organisationen Wählen Sie diese Option aus, wenn alle Benutzer aus allen Ihren konfigurierten verbundenen Organisationen dieses Zugriffspaket anfordern können.
    Alle Benutzer (alle verbundenen Organisationen und alle neuen externen Benutzer) Wählen Sie diese Option aus, wenn alle Benutzer dieses Zugriffspaket anfordern können und die Einstellungen der B2B-Zulassungsliste oder -Sperrliste für jeden neuen externen Benutzer Vorrang haben sollen.

    Eine verbundene Organisation ist ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, mit der eine Beziehung besteht.

  3. Wenn Sie Bestimmte verbundene Organisationen ausgewählt haben, wählen Sie Verzeichnisse hinzufügen aus, um aus einer Liste von verbundenen Organisationen auszuwählen, die Ihr Administrator zuvor hinzugefügt hat.

  4. Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Wenn die Organisation, mit der Sie zusammenarbeiten möchten, nicht in der Liste enthalten ist, können Sie Ihren Administrator bitten, sie als verbundene Organisation hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation.

  5. Wenn Sie Alle verbundenen Organisationen ausgewählt haben, sollten Sie mit Ihrem globalen Administrator die Liste der verbundenen Organisationen bestätigen, die derzeit konfiguriert und geplant sind.

  6. Wenn Sie Alle Benutzer ausgewählt haben, müssen Sie Genehmigungen im Abschnitt „Genehmigungen“ konfigurieren, da dieser Bereich es jeder Identität im Internet ermöglicht, Zugriff anzufordern.

  7. Nachdem Sie alle verbundenen Organisationen ausgewählt haben, wählen Sie Auswählen aus.

    Alle Benutzer aus den ausgewählten verbundenen Organisationen werden dieses Zugriffspaket anfordern können. Dies schließt in Microsoft Entra ID auch Benutzer aller Unterdomänen ein, die der Organisation zugeordnet sind, sofern die Positiv- oder Sperrliste von Azure B2B diese Domänen nicht blockiert. Wenn Sie eine Identitätsanbieterdomäne für soziale Netzwerke angeben, z. B. live.com, kann jeder Benutzer des Identitätsanbieters für soziale Netzwerke dieses Zugriffspaket anfordern. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

  8. Scrollen Sie nach unten zum Abschnitt Genehmigungseinstellungen angeben.

Nur direkte Administratorzuweisungen zulassen

Gehen Sie folgendermaßen vor, wenn Sie Zugriffsanforderungen umgehen und Administratoren ermöglichen soll, bestimmte Benutzer direkt diesem Zugriffspaket zuzuweisen. Benutzer müssen das Zugriffspaket nicht anfordern. Sie können weiterhin Lebenszykluseinstellungen festlegen, aber es gibt keine Anforderungseinstellungen.

  1. Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Keine (nur direkte Zuweisungen eines Administrators) aus.

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Nach der Erstellung des Zugriffspakets können Sie ihm direkt bestimmte interne und externe Benutzer zuweisen. Wenn Sie einen externen Benutzer angeben, wird ein Gastbenutzerkonto in Ihrem Verzeichnis erstellt. Weitere Informationen zum direkten Zuweisen eines Benutzers finden Sie unter Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket .

  2. Fahren Sie mit dem Abschnitt Ermöglichen von Anforderungen fort.

Festlegen von Genehmigungseinstellungen

Im Abschnitt Genehmigung geben Sie an, ob eine Genehmigung erforderlich ist, wenn Benutzer dieses Zugriffspaket anfordern. Die Genehmigungseinstellungen funktionieren wie folgt:

  • Bei einstufiger Genehmigung muss nur eine der ausgewählten genehmigenden Personen bzw. genehmigenden Fallbackpersonen eine Anforderung genehmigen.
  • Bei zweistufiger Genehmigung muss nur eine der ausgewählten genehmigenden Personen pro Stufe eine Anforderung genehmigen.
  • Eine genehmigende Person kann ein Vorgesetzter, ein Sponsor eines Benutzers, ein interner Sponsor oder ein externer Sponsor sein, je nach Zugriffsgovernance für die Richtlinie.
  • Weder für die einstufige noch für die zweistufige Genehmigung ist die Genehmigung durch jede ausgewählte genehmigende Person erforderlich.
  • Die Genehmigungsentscheidung basiert darauf, welche genehmigende Person die Anforderung zuerst überprüft.

Eine Demonstration, wie einer Anforderungsrichtlinie genehmigende Personen hinzugefügt werden, finden Sie im folgenden Video:

Eine Demonstration, wie einer Anforderungsrichtlinie mehrstufige Genehmigung hinzugefügt wird, finden Sie im folgenden Video:

Führen Sie diese Schritte aus, um die Genehmigungseinstellungen für Anforderungen des Zugriffspakets festzulegen:

  1. Um die Genehmigung für Anforderungen der ausgewählten Benutzer anzufordern, setzen Sie Genehmigung anfordern auf Ja. Stellen Sie den Umschalter auf Nein, um Anforderungen automatisch genehmigen zu lassen. Wenn die Richtlinie externen Benutzern von außerhalb Ihrer Organisation das Anfordern des Zugriffs zulässt, sollten Sie eine Genehmigung anfordern, sodass es einen Überblick darüber gibt, wer dem Verzeichnis Ihrer Organisation hinzugefügt wird.

  2. Um von Benutzern eine Begründung für die Anforderung des Zugriffspakets anzufordern, legen Sie die Umschaltfläche Begründung des Anforderers erforderlich auf Ja fest.

  3. Bestimmen Sie, ob für Anforderungen eine einstufige oder eine zweistufige Genehmigung erforderlich ist. Stellen Sie den Schalter Wie viele Phasen für einstufige Genehmigung auf 1, für zweistufige Genehmigung auf 2 oder für dreistufige Genehmigung auf 3.

    Screenshot that shows approval settings for requests to an access package.

Führen Sie die folgenden Schritte aus, um genehmigende Personen hinzuzufügen, nachdem Sie die Anzahl der Phasen ausgewählt haben.

Einstufige Genehmigung

  1. Fügen Sie die Informationen für Erste genehmigende Person hinzu:

    • Wenn die Richtlinie auf Für Benutzer in Ihrem Verzeichnis festgelegt wurde, können Sie entweder Vorgesetzter als genehmigende Person oder Sponsoren als genehmigende Personen auswählen. Alternativ können Sie einen bestimmten Benutzer hinzufügen, indem Sie Bestimmte genehmigende Personen auswählen und dann Genehmigende Personen hinzufügen auswählen.

      Um Sponsoren als genehmigende Personen für die Genehmigung zu verwenden, benötigen Sie eine Microsoft Entra ID Governance-Lizenz. Weitere Informationen finden Sie unter Vergleichen allgemein verfügbarer Funktionen von Microsoft Entra ID.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Wenn die Richtlinie auf Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden festgelegt wurde, können Sie entweder Externer Projektsponsor oder Interner Projektsponsor auswählen. Alternativ können Sie einen bestimmten Benutzer hinzufügen, indem Sie Bestimmte genehmigende Personen auswählen und dann Genehmigende Personen hinzufügen auswählen.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Wenn Sie Vorgesetzter als erste genehmigende Person ausgewählt haben, wählen Sie Fallback hinzufügen aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Fallbackpersonen sein sollen. Genehmigende Fallbackpersonen empfangen die Anforderung, wenn die Berechtigungsverwaltung den Vorgesetzten des Benutzers, der Zugriff anfordert, nicht finden kann.

    Die Berechtigungsverwaltung findet den Vorgesetzten anhand des Attributs Vorgesetzter. Das Attribut befindet sich im Profil des Benutzers in Microsoft Entra ID. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren von Profilinformationen und Einstellungen eines Benutzers.

  3. Wenn Sie Sponsoren als erste genehmigende Person ausgewählt haben, wählen Sie Fallback hinzufügen aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Fallbackpersonen sein sollen. Genehmigende Fallbackpersonen empfangen die Anforderung, wenn die Berechtigungsverwaltung den Sponsor des Benutzers, der Zugriff anfordert, nicht finden kann.

    Die Berechtigungsverwaltung findet Sponsoren mithilfe des Attributs Sponsoren. Das Attribut befindet sich im Profil des Benutzers in Microsoft Entra ID. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren von Profilinformationen und Einstellungen eines Benutzers.

  4. Wenn Sie Bestimmte genehmigende Personen auswählen ausgewählt haben, wählen Sie Genehmigende Personen hinzufügen aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Personen sein sollen.

  5. Geben Sie im Feld Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die eine genehmigende Person Zeit hat, um eine Anforderung für dieses Zugriffspaket zu überprüfen.

    Wenn eine Anforderung nicht innerhalb dieses Zeitraums genehmigt wird, wird sie automatisch abgelehnt. Der Benutzer muss dann eine weitere Anforderung für das Zugriffspaket senden.

  6. Um von genehmigenden Personen eine Rechtfertigung ihrer Entscheidung anzufordern, legen Sie Begründung der genehmigenden Person erforderlich auf Ja fest.

    Die Begründung ist für andere genehmigende Personen und den Anfordernden sichtbar.

Zweistufige Genehmigung

Wenn Sie eine zweistufige Genehmigung ausgewählt haben, müssen Sie eine zweite genehmigende Person hinzufügen:

  1. Fügen Sie die Informationen für Zweite genehmigende Person hinzu:

    • Wenn sich die Benutzer in Ihrem Verzeichnis befinden, können Sie Sponsoren als genehmigende Personen auswählen. Fügen Sie alternativ einen bestimmten Benutzer hinzu, indem Sie Bestimmte genehmigende Personen auswählen im Dropdownmenü auswählen und dann Genehmigende Personen hinzufügen auswählen.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Wenn sich die Benutzer nicht in Ihrem Verzeichnis befinden, wählen Sie Interner Sponsor oder Externer Sponsor als zweite genehmigende Person aus. Fügen Sie nach dem Auswählen der genehmigenden Person die genehmigenden Fallbackpersonen hinzu.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. Geben Sie in dem Feld unter Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die der zweiten genehmigenden Person für die Genehmigung der Anforderung zur Verfügung stehen.

  3. Legen Sie den Umschalter Begründung der genehmigenden Person erforderlich auf Ja oder Nein fest.

Dreistufige Genehmigung

Wenn Sie eine dreistufige Genehmigung ausgewählt haben, müssen Sie eine dritte genehmigende Person hinzufügen:

  1. Fügen Sie die Informationen für Dritte genehmigende Person hinzu:

    Wenn sich die Benutzer in Ihrem Verzeichnis befinden, fügen Sie einen bestimmten Benutzer als dritte genehmigende Person hinzu, indem Sie Bestimmte genehmigende Personen auswählen>Genehmigende Personen hinzufügen auswählen.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. Geben Sie in dem Feld unter Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die der zweiten genehmigenden Person für die Genehmigung der Anforderung zur Verfügung stehen.

  3. Legen Sie den Umschalter Begründung der genehmigenden Person erforderlich auf Ja oder Nein fest.

Alternative genehmigende Personen

Sie können neben den ersten und zweiten genehmigenden Personen alternative genehmigende Personen angeben, die Anforderungen genehmigen können. Das Festlegen alternativer genehmigender Personen trägt dazu bei, dass die Anforderungen vor ihrem Ablauf (Timeout) genehmigt oder abgelehnt werden. Beim Auflisten genehmigender Personen kann bei zweistufiger Genehmigung zwischen der ersten und der zweiten genehmigenden Person unterschieden werden.

Wenn Sie alternative genehmigende Personen angeben und die erste oder zweite genehmigende Person die Anforderung nicht genehmigen kann, wird die ausstehende Anforderung an die alternativen genehmigenden Personen weitergeleitet. Die Anforderung wird entsprechend dem Weiterleitungszeitplan gesendet, den Sie während der Richtlinieneinrichtung angegeben haben. Die genehmigenden Personen erhalten eine E-Mail mit der Aufforderung, die ausstehende Anforderung zu genehmigen oder abzulehnen.

Nachdem die Anforderung an die alternativen genehmigenden Personen weitergeleitet wurde, können die ersten oder zweiten genehmigenden Personen den Antrag dennoch weiterhin genehmigen oder ablehnen. Alternative genehmigende Personen nutzen dieselbe Website Mein Zugriff, um die ausstehende Anforderung zu genehmigen oder abzulehnen.

Sie können Personen oder Gruppen von Personen auflisten, die als genehmigende Personen und alternative genehmigende Personen fungieren sollen. Achten Sie darauf, dass Sie verschiedene Gruppen von Personen auflisten, die als erste, zweite und alternative genehmigende Personen fungieren sollen. Wenn Sie beispielsweise Alice und Bob als erste genehmigende Personen aufgelistet haben, führen Sie Carol und Dave als alternative genehmigende Personen auf.

Führen Sie die folgenden Schritte aus, um einem Zugriffspaket alternative genehmigende Personen hinzuzufügen:

  1. Wählen Sie unter Erste genehmigende Person, Zweite genehmigende Person oder unter beiden Erweiterte Anforderungseinstellungen anzeigen aus.

    Screenshot of the selection for showing advanced request settings.

  2. Legen Sie die Umschaltfläche Wenn keine Aktion ausgeführt wird, an alternative genehmigende Personen weiterleiten? auf Ja fest.

  3. Wählen Sie Alternative genehmigende Personen hinzufügen und dann die alternativen genehmigenden Personen aus der Liste aus.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Wenn Sie Vorgesetzter als erste genehmigende Person auswählen, wird im Feld Alternative genehmigende Person eine zusätzliche Option angezeigt: Mitglied der zweiten Führungsebene als alternative genehmigende Person. Wenn Sie diese Option auswählen, müssen Sie eine stellvertretende genehmigende Person hinzufügen, an die die Anforderung weitergeleitet wird, wenn das System das Mitglied der zweiten Führungsebene nicht finden kann.

  4. Geben Sie im Feld Nach wie viel Tagen an alternative genehmigende Personen weiterleiten? die Anzahl von Tagen ein, die Sie den genehmigenden Personen zum Genehmigen oder Ablehnen einer Anforderung einräumen. Wenn keine genehmigenden Personen die Anforderung vor der Anforderungsdauer genehmigen oder ablehnen, läuft die Anforderung ab (Timeout). Der Benutzer muss dann eine weitere Anforderung für das Zugriffspaket senden.

Anforderungen können erst einen Tag nach Erreichen der Hälfte der Anforderungsdauer an alternative genehmigende Personen weitergeleitet werden. Die Entscheidung der hauptsächlichen genehmigenden Personen muss ein Timeout nach mindestens vier Tagen haben. Bei einem Anforderungstimeout von maximal drei Tagen reicht die Zeit nicht aus, um die Anforderung an alternative genehmigende Personen weiterzuleiten.

In diesem Beispiel beträgt die Dauer der Anforderung 14 Tage. Die Hälfte der Anforderungsdauer wird also an Tag 7 erreicht. Die Anforderung kann deshalb erst an Tag 8 weitergeleitet werden.

Darüber hinaus können Anforderungen nicht am letzten Tag der Antragsdauer weitergeleitet werden. Im Beispiel kann die Anforderung also spätestens an Tag 13 weitergeleitet werden.

Ermöglichen von Anforderungen

  1. Wenn das Zugriffspaket Benutzern in der Anforderungsrichtlinie sofort zum Anfordern zur Verfügung gestellt werden soll, legen Sie den Umschalter Neue Anforderungen und Zuweisungen aktivieren auf Ja fest.

    Sie können sie in der Zukunft immer aktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.

    Wenn Sie Keine (nur direkte Administratorzuweisungen) ausgewählt haben und Sie Neue Anforderungen und Zuweisungen aktivieren auf Nein festlegen, können Administratoren dieses Zugriffspaket nicht direkt zuweisen.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Navigieren Sie zum nächsten Abschnitt, um zu erfahren, wie Sie Ihrem Zugriffspaket eine Anforderung für eine überprüfte ID hinzufügen. Wählen Sie andernfalls Weiter aus.

Hinzufügen einer Anforderung für eine überprüfte ID

Führen Sie die folgenden Schritte aus, wenn Sie Ihrer Zugriffspaketrichtlinie eine Anforderung für eine überprüfte ID hinzufügen möchten. Benutzer, die Zugriff auf das Zugriffspaket wünschen, müssen die erforderlichen überprüften IDs vorlegen, bevor sie ihre Anforderung erfolgreich übermitteln können. Informationen zum Konfigurieren Ihres Mandanten mit dem Microsoft Entra Verified ID-Dienst finden Sie unter Einführung in Microsoft Entra Verified ID.

Sie benötigen eine globaler Administratorrolle, um einem Zugriffspaket Anforderungen für eine überprüfte ID hinzuzufügen. Identity Governance-Administratoren, Benutzeradministratoren, Katalogbesitzer oder Zugriffspaket-Manager können noch keine Anforderungen für eine überprüfte ID zu Zugriffspaketen hinzufügen.

  1. Wählen Sie + Zertifikataussteller hinzufügen und dann einen Zertifikataussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Wenn Sie Ihre eigenen Anmeldeinformationen für Benutzer ausstellen möchten, finden Sie Anweisungen dazu unter Ausstellen von Microsoft Entra Verified ID-Anmeldeinformationen über eine Anwendung.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Wählen Sie die Anmeldeinformationstypen aus, die Benutzer während des Anforderungsprozesses präsentieren sollen.

    Screenshot that shows the area for selecting credential types for an access package.

    Wenn Sie mehrere Anmeldeinformationstypen von einem Zertifikataussteller auswählen, werden Benutzer Anmeldeinformationen aller ausgewählten Typen vorlegen müssen. Ebenso müssen Benutzer, wenn Sie mehrere Zertifikataussteller einschließen, Anmeldeinformationen für jeden der Zertifikataussteller vorlegen, die Sie in die Richtlinie einschließen. Um Benutzern die Möglichkeit zu geben, unterschiedliche Anmeldeinformationen von verschiedenen Zertifikatausstellern vorzulegen, konfigurieren Sie separate Richtlinien für jeden Zertifikataussteller oder Anmeldeinformationstyp, den Sie akzeptieren.

  3. Klicken Sie auf Hinzufügen, um die Anforderung für eine überprüfte ID zur Zugriffspaketrichtlinie hinzuzufügen.

Hinzufügen von Anfordererinformationen zu einem Zugriffspaket

  1. Wechseln Sie zur Registerkarte Anfordererinformationen, und wählen Sie dann die Registerkarte Fragen aus.

  2. Geben Sie im Feld Frage eine Frage ein, die Sie dem Anforderer stellen möchten. Diese Frage wird auch als Anzeigezeichenfolge bezeichnet.

  3. Wenn Sie Ihre eigenen Lokalisierungsoptionen hinzufügen möchten, wählen Sie Lokalisierung hinzufügen aus.

    Screenshot that shows the box for entering a question for a requestor.

    Im Bereich Lokalisierungen für Frage hinzufügen:

    1. Wählen Sie den Sprachcode für die Sprache aus, in der Sie die Frage lokalisieren.
    2. Geben Sie die Frage in der von Ihnen konfigurierten Sprache im Feld Lokalisierter Text ein.
    3. Wenn Sie alle erforderlichen Lokalisierungen hinzugefügt haben, wählen Sie Speichern aus.

    Screenshot that shows localization selections for a question.

  4. Wählen Sie unter Antwortformat das Format aus, in dem Anforderer antworten sollen. Mögliche Antwortformate: kurzer Text, Mehrfachauswahl und langer Text.

  5. Wenn Sie „Mehrfachauswahl“ ausgewählt haben, wählen Sie die Schaltfläche Bearbeiten und lokalisieren aus, um die Antwortoptionen zu konfigurieren.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    Im Bereich Frage anzeigen/bearbeiten:

    1. Geben Sie in den Feldern Antwortwerte die Antwortoptionen ein, die Sie angeben möchten, wenn der Anforderer die Frage beantwortet.
    2. Wählen Sie in den Feldern Sprache die Sprache für die Antwortoptionen aus. Sie können Antwortoptionen lokalisieren, wenn Sie zusätzliche Sprachen auswählen.
    3. Wählen Sie Speichern aus.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Damit Anforderer diese Frage beantworten müssen, wenn sie Zugriff auf ein Zugriffspaket anfordern, aktivieren Sie das Kontrollkästchen Erforderlich.

  7. Wählen Sie die Registerkarte Attribute aus, um Attribute anzuzeigen, die Ressourcen zugeordnet sind, die Sie dem Zugriffspaket hinzugefügt haben.

    Hinweis

    Um Attribute für die Ressourcen eines Zugriffspakets hinzuzufügen oder zu aktualisieren, wechseln Sie zu Kataloge, und suchen Sie den Katalog, der dem Zugriffspaket zugeordnet ist. Weitere Informationen zum Bearbeiten der Attributliste für eine bestimmte Katalogressource und die erforderlichen Rollen finden Sie unter Hinzufügen von Ressourcenattributen im Katalog.

  8. Wählen Sie Weiter aus.

Angeben eines Lebenszyklus

Auf der Registerkarte Lebenszyklus geben Sie an, wann die Zuweisung eines Benutzers für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können.

  1. Legen Sie im Abschnitt Ablauf die Option Zugriffspaket läuft ab auf An Datum, Anzahl Tage, Anzahl der Stunden oder Nie fest.

    • Wählen Sie für An Datum ein Ablaufdatum in der Zukunft aus.
    • Geben Sie für Anzahl Tage eine Zahl zwischen 0 und 3660 Tagen an.
    • Geben Sie für Anzahl von Stunden die Stundenanzahl an.

    Basierend auf Ihrer Auswahl läuft die Zuweisung eines Benutzers zum Zugriffspaket an einem bestimmten Datum, nach einigen Tagen nach der Genehmigung oder nie ab.

  2. Wenn der Benutzer ein bestimmtes Start- und Enddatum für den Zugriff anfordern soll, legen Sie de Umschalter Benutzer können eine bestimmte Zeitachse anfordern auf Ja fest.

  3. Wählen Sie Erweiterte Ablaufeinstellungen anzeigen aus, um weitere Einstellungen anzuzeigen.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Um Benutzern zu erlauben, ihre Zuweisungen zu erweitern, setzen Sie Benutzern die Verlängerung des Zugriffs erlauben auf Ja.

    Wenn Verlängerungen in der Richtlinie zulässig sind, erhält der Benutzer 14 Tage und auch einen Tag vor Ablauf seiner Zugriffspaketzuweisung eine E-Mail-Nachricht. In der E-Mail wird der Benutzer aufgefordert, die Zuweisung zu verlängern. Der Benutzer muss sich noch immer im Gültigkeitsbereich der Richtlinie befinden, wenn er eine Verlängerung anfordert.

    Wenn die Richtlinie ein explizites Enddatum für Zuweisungen umfasst und der Benutzer eine Anforderung zum Verlängern des Zugriffs sendet, muss das Verlängerungsdatum in der Anforderung vor dem Ablauf der Zuweisungen liegen. Die Richtlinie, die Sie verwendet haben, um dem Benutzer Zugriff auf das Zugriffspaket zu gewähren, definiert, ob das Erweiterungsdatum bei oder vor dem Ablauf der Zuweisung liegt. Wenn die Richtlinie beispielsweise angibt, dass Zuweisungen am 30. Juni ablaufen sollen, ist die maximale Verlängerung, die ein Benutzer anfordern kann, der 30. Juni.

    Wenn der Zugriff eines Benutzers verlängert wird, kann er das Zugriffspaket nach dem angegebenen Verlängerungsdatum (das Datum, das in der Zeitzone des Benutzers festgelegt ist, der die Richtlinie erstellt hat) nicht mehr anfordern.

  5. Wenn eine Genehmigung zum Gewähren einer Verlängerung erforderlich sein soll, legen Sie Genehmigung erforderlich, um Verlängerung zu gewähren auf Ja fest.

    Diese Genehmigung verwendet dieselben Genehmigungseinstellungen, die Sie auf der Registerkarte Anforderungen angegeben haben.

  6. Wählen Sie Weiter oder Aktualisieren aus.

Überprüfen und Erstellen des Zugriffspakets

Auf der Registerkarte Bewerten + erstellen können Sie Ihre Einstellungen überprüfen und nach Validierungsfehlern suchen.

  1. Überprüfen Sie die Einstellungen für das Zugriffspaket.

    Screenshot that shows a summary of access package configuration.

  2. Wählen Sie Erstellen aus, um das Zugriffspaket zu erstellen.

    Das neue Zugriffspaket wird in der Liste der Zugriffspakete aufgeführt.

  3. Wenn das Zugriffspaket für alle Personen im Bereich der Richtlinien sichtbar sein soll, lassen Sie die Einstellung Ausgeblendet des Zugriffspakets auf Nein festgelegt. Wenn Sie optional nur Benutzer*innen mit dem direkten Link erlauben möchten, das Zugriffspaket anzufordern, bearbeiten Sie das Zugriffspaket, um die Einstellung Ausgeblendet in Ja zu ändern. Kopieren Sie dann den Link, um das Zugriffspaket anzufordern, und geben Sie es für Benutzer*innen frei, die Zugriff benötigen.

Programmgesteuertes Erstellen eines Zugriffspakets

Es gibt zwei Möglichkeiten, programmgesteuert ein Zugriffspaket zu erstellen: über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph.

Erstellen eines Zugriffspakets mithilfe von Microsoft Graph

Sie können ein Zugriffspaket mit Microsoft Graph erstellen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All-Berechtigung verfügt, kann die API aufrufen, um

  1. Listen Sie die Ressourcen im Katalog auf und erstellen Sie eine accessPackageResourceRequest, die sich auf alle Ressourcen bezieht, die noch nicht im Katalog enthalten sind.
  2. Rufen Sie die Rollen und Bereiche jeder Ressource im Katalog ab. Diese Rollenliste wird dann zum Auswählen einer Rolle verwendet, wenn anschließend ein resourceRoleScope erstellt wird.
  3. Erstellen eines accessPackage.
  4. Erstellen eines resourceRoleScope für jede Ressourcenrolle, die im Zugriffspaket benötigt wird.
  5. Erstellen einer assignmentPolicy für jede Richtlinie, die im Zugriffspaket benötigt wird.

Erstellen eines Zugriffspakets mithilfe von Microsoft PowerShell

Sie können ein Zugriffspaket auch in PowerShell mit den Cmdlets aus dem Modul Microsoft Graph PowerShell-Cmdlets für Identity Governance-Modul erstellen.

Zunächst rufen Sie die ID des Katalogs sowie der Ressourcen in diesem Katalog und seiner Bereiche und Rollen ab, den Sie in das Zugriffspaket aufnehmen möchten. Verwenden Sie ein Skript ähnlich dem folgenden Beispiel:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Erstellen Sie dann das Zugriffspaket:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Nachdem Sie das Zugriffspaket erstellt haben, weisen Sie ihm die Ressourcenrollen zu. Wenn Sie beispielsweise die ersten Ressourcenrolle der zuvor zurückgegebenen Ressource als Ressourcenrolle des neuen Zugriffspakets aufnehmen möchten, können Sie ein Skript ähnlich diesem verwenden:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Erstellen Sie schließlich die Richtlinien. In dieser Richtlinie kann nur der Administrator oder Zugriffspaket-Zuweisungsmanger einen Zugriff zuweisen, und es gibt keine Zugriffsüberprüfungen. Weitere Beispiele finden Sie unter Erstellen einer Zuweisungsrichtlinie über PowerShell und Erstellen eines assignmentPolicy-Objekts.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Nächste Schritte