Tutorial: Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung
Das Verwalten des Zugriffs auf alle Ressourcen, die von Mitarbeitern benötigt werden, etwa Gruppen, Anwendungen und Websites, ist eine wichtige Aufgabe für Organisationen. Sie sollten Mitarbeitern das richtige Maß an Zugriff gewähren, das sie zur produktiven Arbeit benötigen, und Sie sollten den Zugriff entfernen, wenn er nicht mehr benötigt wird.
In diesem Tutorial arbeiten Sie als IT-Administrator für die Woodgrove Bank. Sie wurden gebeten, ein Paket von Ressourcen für eine Marketingkampagne zu erstellen, das interne Benutzer für Anforderungen per Self-Service verwenden können. Anforderungen bedürfen keiner Genehmigung, und der Zugriff eines Benutzer läuft nach 30 Tagen ab. Für dieses Tutorial gehören die Ressourcen der Marketingkampagne nur zu einer einzelnen Gruppe, sie könnten aber auch einer Sammlung von Gruppen, Anwendungen oder SharePoint Online-Websites angehören.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen eines Zugriffspakets mit einer Gruppe als Ressource
- Zulassen von Zugriffsanforderungen durch Benutzer in Ihrem Verzeichnis
- Vorgehen, wie ein interner Benutzer das Zugriffspaket anfordern kann
Für eine schrittweise Demonstration des Bereitstellungsprozesses der Microsoft Entra-Berechtigungsverwaltung, einschließlich der Erstellung Ihres ersten Zugriffspakets, sehen Sie sich folgendes Video an:
Die verbleibenden Abschnitte dieses Artikels verwenden das Microsoft Entra Admin Center, um die Berechtigungsverwaltung zu konfigurieren und zu veranschaulichen.
Voraussetzungen
Um die Berechtigungsverwaltung verwenden zu können, benötigen Sie eine der folgenden Lizenzen:
- Microsoft Entra ID P2 oder Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5-Lizenz
Weitere Informationen finden Sie unter Lizenzanforderungen.
Schritt 1: Einrichten von Benutzern und Gruppen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Ein Ressourcenverzeichnis hat mindestens eine Ressource, die freigegeben (geteilt) werden soll. In diesem Schritt erstellen Sie eine Gruppe namens Marketing resources im Verzeichnis „Woodgrove Bank“ – der Zielressource für die Berechtigungsverwaltung. Außerdem richten Sie einen internen Anforderer ein.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Erstellen Sie zwei Benutzer. Verwenden Sie die folgenden Namen oder andere Namen.
Name Verzeichnisrolle Admin1 Mindestens ein Identity Governance-Administrator. Dieser Benutzer kann der Benutzer sein, mit dem Sie derzeit angemeldet sind. Anforderer1 Benutzer Erstellen Sie eine Microsoft Entra-Sicherheitsgruppe namens Marketing resources mit dem Mitgliedschaftstyp Zugewiesen. Diese Gruppe ist die Zielressource für die Berechtigungsverwaltung. Die Gruppe darf zu Beginn keine Mitglieder haben.
Schritt 2: Erstellen eines Zugriffspakets
Bei einem Zugriffspaket handelt es sich um eine Gruppe von Ressourcen, die von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind in Containern definiert, die als Kataloge bezeichnet werden. In diesem Schritt erstellen Sie ein Zugriffspaket namens Marketing Campaign im Katalog Allgemein.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Tipp
Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wenn Sie das Zugriffspaket öffnen und Zugriff verweigert angezeigt wird, vergewissern Sie sich, dass Ihr Verzeichnis eine Microsoft Entra ID Premium P2- oder Microsoft Entra ID Governance-Lizenz enthält.
Wählen Sie Neues Zugriffspaket aus.
Geben Sie auf der Registerkarte Grundeinstellungen den Namen Marketing Campaign und die Beschreibung Access to resources for the campaign ein.
Übernehmen Sie für die Dropdownliste Katalog die Einstellung Allgemein.
Wählen Sie Weiter aus, um die Registerkarte Ressourcenrollen zu öffnen. Wählen Sie auf dieser Registerkarte die Ressourcen und die Ressourcenrolle aus, die in das Zugriffspaket einbezogen werden sollen. Sie können den Zugriff auf Gruppen und Teams, Anwendungen und SharePoint Online-Websites verwalten. Wählen Sie in diesem Szenario Gruppen und Teams aus.
Suchen Sie im Bereich Gruppen auswählen nach der zuvor erstellten Gruppe Marketing resources, und wählen Sie sie aus.
Standardmäßig werden Gruppen im Katalog „Allgemein“ angezeigt. Wenn Sie eine Gruppe auswählen, die sich außerhalb des Katalogs „Allgemein“ befindet, wird sie dem Katalog „Allgemein“ hinzugefügt. Gruppen außerhalb des Katalogs können durch Aktivierung des Kontrollkästchens Alle anzeigen angezeigt werden.
Wählen Sie die Option Auswählen aus, um die Gruppe zur Liste hinzuzufügen.
Wählen Sie in der Dropdownliste Rolle den Eintrag Mitglied aus. Wenn Sie die Rolle „Besitzer“ auswählen, können Benutzer andere Mitglieder oder Besitzer hinzufügen oder entfernen. Weitere Informationen zum Auswählen der entsprechenden Rollen für eine Ressource finden Sie unter Hinzufügen von Ressourcenrollen.
Wichtig
Die einem Zugriffspaket hinzugefügten Gruppen, denen Rollen zugewiesen werden können werden mit dem Untertyp Zu Rollen zuweisbar angegeben. Weitere Informationen finden Sie im Artikel Erstellen einer Gruppe, der Rollen zugeordnet werden können. Beachten Sie Folgendes: Wenn eine Gruppe, der Rollen zugeordnet werden können, in einem Zugriffspaketkatalog vorhanden ist, können Administratoren, die Verwaltungsaufgaben in der Berechtigungsverwaltung ausführen können einschließlich Benutzer mit der Rolle „Globaler Administrator, Benutzer mit der Rolle Identity Governance-Administrator und Katalogbesitzer des Katalogs, die Zugriffspakete im Katalog steuern. So können sie auswählen, wer zu diesen Gruppen hinzugefügt werden kann. Wenn eine Gruppe, der Rollen zugewiesen werden können und die Sie hinzufügen möchten, nicht angezeigt wird, oder wenn Sie eine solche Gruppe nicht hinzufügen können, stellen Sie sicher, dass Sie über die erforderliche Microsoft Entra-Rolle und -Berechtigungsverwaltungsrolle zum Ausführen dieses Vorgangs verfügen. Möglicherweise müssen Sie jemanden mit den erforderlichen Rollen beauftragen, die Ressource Ihrem Katalog hinzuzufügen. Weitere Informationen finden Sie unter Erforderliche Rollen, um einem Katalog Ressourcen hinzuzufügen.
Hinweis
Bei der Verwendung von dynamischen Mitgliedergruppen sind außer „Besitzer“ keine anderen Rollen verfügbar. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Wählen Sie Weiter aus, um die Registerkarte Anforderungen zu öffnen. Auf dieser Registerkarte erstellen Sie eine Anforderungsrichtlinie. In einer Richtlinie sind die Regeln oder Leitlinien für den Zugriff auf ein Zugriffspaket definiert. Sie erstellen eine Richtlinie, die es einem bestimmten Benutzer im Ressourcenverzeichnis ermöglicht, dieses Zugriffspaket anzufordern.
Wählen Sie im Abschnitt Benutzende, die Zugriff anfordern können die Option Für Benutzende in Ihrem Verzeichnis und anschließend Bestimmte Benutzende und Gruppen aus.
Wählen Sie Benutzer und Gruppen hinzufügen aus.
Wählen Sie im Bereich „Benutzer und Gruppen auswählen“ den zuvor erstellten Benutzer Anforderer1 aus.
Wählen Sie die Option Auswählen aus, um den Benutzer zur Liste hinzuzufügen.
Scrollen Sie nach unten zu den Abschnitten Genehmigung und Enable requests (Anforderungen aktivieren).
Behalten Sie für Genehmigung erforderlich die Einstellung Nein bei.
Wählen Sie bei Anforderungen aktivieren die Option Ja aus, damit dieses Zugriffspaket angefordert werden kann, sobald es erstellt wurde.
Wenn Ihre Organisation so eingerichtet ist, dass überprüfte IDs empfangen werden, gibt es eine Option zum Konfigurieren eines Zugriffspakets, damit Anforderer eine verifizierte ID angeben müssen. Weitere Informationen finden Sie unter Konfigurieren verifizierter ID-Einstellungen für ein Zugriffspaket in der Berechtigungsverwaltung (Vorschau)
Wählen Sie Weiter aus, um die Registerkarte Informationen zum Anforderer zu öffnen.
Auf der Registerkarte Informationen zum Anforderer können Sie Fragen stellen, um weitere Informationen vom Anforderer zu erhalten. Diese Fragen werden im Anforderungsformular angezeigt und können als erforderlich oder optional festgelegt werden. Sie können auch angeben, ob die Managerin oder der Manager einer Person in deren Namen etwas anfordern kann und ob eine Genehmigung erforderlich ist. Wenn die Richtlinie es Managerinnen und Managern ermöglicht, im Namen einer Person anfragen zu können, beantwortet die Managerin bzw. der Manager Fragen im Namen der Person und nicht sie selbst. Weitere Informationen zu dieser Option finden Sie unter: Anfordern eines Zugriffspakets im Namen anderer Benutzender (Vorschau). Da Sie im Rahmen dieses Szenarios nicht aufgefordert wurden, Informationen zum Anforderer für das Zugriffspaket anzugeben, können Sie diese Felder leer lassen. Wählen Sie Weiter aus, um die Registerkarte Lebenszyklus zu öffnen.
Auf der Registerkarte Lebenszyklus geben Sie an, wann die Zuweisung eines Benutzers für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Gehen Sie im Abschnitt Ablauf folgendermaßen vor:
- Legen Sie Ablauf der Zuweisungen von Zugriffspaketen auf Anzahl von Tagen fest.
- Legen Sie Zuweisungen laufen ab nach auf 30 Tage fest.
- Behalten Sie für Benutzer können bestimmte Zeitachse anfordern den Standardwert Ja bei.
- Legen Sie Zugriffsüberprüfungen anfordern auf Nein fest.
Überspringen Sie den Schritt Benutzerdefinierte Erweiterungen.
Wählen Sie Weiter aus, um die Registerkarte Überprüfen + erstellen zu öffnen.
Wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus. Nach einigen Augenblicken sollte eine Benachrichtigung angezeigt werden, dass das Zugriffspaket erfolgreich erstellt wurde.
Wählen Sie im linken Menü des Zugriffspakets „Marketing Campaign“ die Option Übersicht aus.
Kopieren Sie den Wert von Link zum Portal "Mein Zugriff" .
Sie verwenden diesen Link im nächsten Schritt.
Schritt 3: Zugriff anfordern
In diesem Schritt führen Sie die Schritte als interner Anforderer aus und fordern Zugriff auf das Paket an. Anforderer senden ihre Anforderungen über eine Website, die als Portal „Eigener Zugriff“ (Mein Zugriff) bezeichnet wird. Über das Portal „Mein Zugriff“ können Anforderer Anforderungen für Zugriffspakete senden, die Zugriffspakete sehen, auf die sie bereits Zugriff haben, und ihre Anforderungsverläufe anzeigen. Wenn ein neuer Gast ein Zugangspaket in MyAccess anfordert, wird seine bevorzugte Sprache auf der Grundlage der Sprache des MyAccess-Browsers zum Zeitpunkt der Anforderung gespeichert. Dadurch können neue Gäste E-Mail-Kommunikation in einer Sprache empfangen, die sie verstehen.
Erforderliche Rolle: Interner Anforderer
Melden Sie sich beim Microsoft Entra Admin Center ab.
Navigieren Sie in einem neuen Browserfenster zu dem „Link zum Portal "Mein Zugriff"“, den Sie im vorherigen Schritt kopiert haben.
Melden Sie beim Portal „Mein Zugriff“ als Anforderer1 an.
Das Zugriffspaket Marketing Campaign sollte angezeigt werden.
Geben Sie im Feld Geschäftliche Begründung die Begründung I am working on the new marketing campaign ein.
Klicken Sie auf Submit (Senden).
Wählen Sie im linken Menü Anforderungsverlauf aus, um zu überprüfen, ob Ihre Anforderung übermittelt wurde. Wenn Sie weitere Details erhalten möchten, wählen Sie Anzeigen aus.
Schritt 4: Überprüfen, ob der Zugriff zugewiesen wurde
In diesem Schritt vergewissern Sie sich, dass das Zugriffspaket dem internen Anforderer zugewiesen wurde und dieser nun der Gruppe Marketing resources angehört.
Melden Sie sich vom Portal „Mein Zugriff“ ab.
Melden Sie sich beim Microsoft Entra Admin Center als Admin1 an, der mindestens ein Identity Governance-Administrator ist.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Suchen Sie nach dem Zugriffspaket Marketing Campaign, und wählen Sie es aus.
Wählen Sie im linken Menü den Eintrag Anforderungen aus.
„Anforderer1“, die anfängliche Richtlinie und der Status Übermittelt sollten angezeigt werden.
Wählen Sie die Anforderung aus, um die Anforderungsdetails anzuzeigen.
Wählen Sie im linken Navigationsbereich Identität aus.
Wählen Gruppen aus, und öffnen Sie die Gruppe Marketing resources.
Wählen Sie Mitglieder aus.
Sie sollten sehen, dass Anforderer1 als Mitglied (Member) aufgelistet wird.
Schritt 5: Bereinigen von Ressourcen
In diesem Schritt werden die von Ihnen vorgenommenen Änderungen entfernt, und das Zugriffspaket Marketing Campaign wird gelöscht.
Wählen Sie im Microsoft Entra Admin Center als mindestens Identity Governance-Administrator Identity Governance aus.
Öffnen Sie das Zugriffspaket Marketing Campaign.
Klicken Sie auf Zuweisungen.
Wählen Sie für Anforderer1 die drei Auslassungspunkte (...) und dann Zugriff entfernen aus. Wählen Sie in der angezeigten Meldung Ja aus.
Kurz darauf ändert sich der Status von „Übermittelt“ in „Abgelaufen“.
Wählen Sie Ressourcenrollen aus.
Wählen Sie bei Marketing resources die drei Auslassungspunkte (...) und dann Ressourcenrolle entfernen aus. Wählen Sie in der angezeigten Meldung Ja aus.
Öffnen Sie die Liste der Zugriffspakete.
Wählen Sie bei Marketing Campaign die drei Auslassungspunkte (...) und dann Löschen aus. Wählen Sie in der angezeigten Meldung Ja aus.
Löschen Sie unter Identität alle von Ihnen erstellten Benutzer, beispielsweise Anforderer1 und Admin1.
Löschen Sie die Gruppe Marketing resources.
Nächste Schritte
Wechseln Sie zum nächsten Artikel, um mehr über gängige Szenarioschritte in der Berechtigungsverwaltung zu erfahren.