Definieren von Organisationsrichtlinien für die Steuerung des Zugriffs auf Anwendungen in Ihrer Umgebung
Nachdem Sie mindestens eine Anwendung identifiziert haben, die Microsoft Entra ID zum Steuern des Zugriffs verwenden soll, notieren Sie die Richtlinien der Organisation, mit denen bestimmt wird, welche Benutzer Zugriff haben sollen, und alle anderen Einschränkungen, die das System bereitstellen sollte.
Identifiziert Anwendungen und ihre Rollen im Projektumfang
Organisationen mit Konformitätsanforderungen oder Risikomanagementplänen verfügen über sensible oder geschäftskritische Anwendungen. Wenn diese Anwendung eine vorhandene Anwendung in Ihrer Umgebung ist, haben Sie möglicherweise bereits in den Zugriffsrichtlinien dokumentiert, wer Zugriff auf diese Anwendung hat. Anderenfalls müssen Sie sich möglicherweise mit verschiedenen Beteiligten wie etwa Compliance- und Risikomanagementteams beraten, um sicherzustellen, dass die Richtlinien zum Automatisieren von Zugriffsentscheidungen für Ihr Szenario geeignet sind.
Sammeln Sie die Rollen und Berechtigungen, die jede Anwendung bereitstellt. Einige Anwendungen verfügen möglicherweise nur über eine einzelne Rolle, z. B. eine Anwendung, die nur über die Rolle „Benutzer“ verfügt. Komplexere Anwendungen können mehrere Rollen über Microsoft Entra ID verwalten. Diese Anwendungsrollen legen in der Regel allgemeine Einschränkungen für den Zugriff auf einen Benutzer mit dieser Rolle innerhalb der App fest. Beispielsweise kann eine Anwendung, die über eine Administratorpersona verfügt, zwei Rollen haben, „Benutzer“ und „Administrator“. Andere Anwendungen führen über Gruppenmitgliedschaften oder Ansprüche auch differenziertere Rollenüberprüfungen aus – Microsoft Entra ID kann dies einer Anwendung in Bereitstellungen oder Ansprüchen ermöglichen, die mithilfe von SSO-Verbundprotokollen ausgestellt oder als Sicherheitsgruppenmitgliedschaft in AD geschrieben wurden. Schließlich kann es anwendungsspezifische Rollen geben, die in Microsoft Entra ID nicht angezeigt werden. Möglicherweise erlaubt die Anwendung nicht, die Administratoren in Microsoft Entra ID zu definieren, sondern besteht darauf, sich beim Identifizieren der Administratoren auf die eigenen Autorisierungsregeln zu verlassen. SAP Cloud Identity Services verfügen nur über eine Rolle, Benutzer, die für die Zuweisung verfügbar ist.
Hinweis
Wenn Sie eine Anwendung aus dem Microsoft Entra-Anwendungskatalog verwenden, die die Bereitstellung unterstützt, kann Microsoft Entra ID definierte Rollen in die Anwendung importieren und das Anwendungsmanifest automatisch mit den Rollen der Anwendung aktualisieren, sobald die Bereitstellung konfiguriert ist.
Wählen Sie aus, welche Rollen und Gruppen über Mitgliedschaften verfügen, die in Microsoft Entra ID geregelt werden sollen. Basierend auf Compliance- und Risikomanagementanforderungen priorisieren Organisationen häufig diese Anwendungsrollen oder Gruppen, die privilegierten Zugriff oder Zugriff auf vertrauliche Informationen gewähren.
Definieren der Richtlinie der Organisation mit Voraussetzungen und anderen Einschränkungen für den Zugriff auf die Anwendung
In diesem Abschnitt notieren Sie die Organisationsrichtlinien, die Sie verwenden möchten, um den Zugriff auf die Anwendung zu bestimmen. Sie können diese beispielsweise als Tabelle in einem Arbeitsblatt erfassen.
| App-Rolle | Voraussetzung für den Zugriff | Genehmigende Personen | Standarddauer des Zugriffs | Einschränkungen für die Aufgabentrennung | Richtlinien für bedingten Zugriff |
|---|---|---|---|---|---|
| Western Sales | Mitglied des Vertriebsteams | Vorgesetzter eines Benutzers | Jährliche Bewertung | Darf keinen Eastern Sales-Zugriff besitzen | Mehrstufige Authentifizierung (MFA) und registriertes Gerät für Zugriff erforderlich |
| Western Sales | Alle Mitarbeiter außerhalb des Vertriebs | Leiter der Vertriebsabteilung | 90 Tage | – | MFA und registriertes Gerät für Zugriff erforderlich |
| Western Sales | Externer Vertriebsmitarbeiter | Leiter der Vertriebsabteilung | 30 Tage | – | MFA für Zugriff erforderlich |
| Eastern Sales | Mitglied des Vertriebsteams | Vorgesetzter eines Benutzers | Jährliche Bewertung | Darf keinen Western Sales-Zugriff besitzen | MFA und registriertes Gerät für Zugriff erforderlich |
| Eastern Sales | Alle Mitarbeiter außerhalb des Vertriebs | Leiter der Vertriebsabteilung | 90 Tage | – | MFA und registriertes Gerät für Zugriff erforderlich |
| Eastern Sales | Externer Vertriebsmitarbeiter | Leiter der Vertriebsabteilung | 30 Tage | – | MFA für Zugriff erforderlich |
Wenn Sie bereits über eine Organisationsrollendefinition verfügen, finden Sie weitere Informationen unter Migrieren einer Organisationsrolle.
Finden Sie heraus, ob Voraussetzungen erforderlich sind, Standards, die ein Benutzer erfüllen muss, bevor er Zugriff auf eine Anwendung erhält. Unter normalen Umständen sollten beispielsweise nur Vollzeitmitarbeiter oder Personen in einer bestimmten Abteilung oder Kostenstelle Zugriff auf die Anwendung einer bestimmten Abteilung haben. Außerdem können Sie die Berechtigungsverwaltungsrichtlinie für einen Benutzer aus einer anderen Abteilung anfordern, in der für den Zugriff mindestens eine zusätzliche genehmigende Person angefordert wird. Auch wenn mehrere Genehmigungsphasen den gesamten Prozess, bis ein Benutzer Zugriff erhält, möglicherweise verlangsamen, stellen diese zusätzlichen Phasen sicher, dass Zugriffsanforderungen angemessen sind und Entscheidungen verantwortlich getroffen werden. Beispielsweise könnten Anforderungen für den Zugriff durch einen Mitarbeiter zwei Phasen der Genehmigung aufweisen, zuerst durch den Vorgesetzten des anfordernden Benutzers und zweitens durch einen der Ressourcenbesitzer, die für Daten verantwortlich sind, die in der Anwendung gespeichert sind.
Bestimmen Sie, wie lange ein Benutzer, für den der Zugriff genehmigt wurde, Zugriff haben soll, und wann dieser Zugriff gesperrt werden soll. Für viele Anwendungen kann ein Benutzer Zugriff auf unbestimmte Zeit erhalten, bis er nicht mehr mit der Organisation verbunden ist. In einigen Situationen kann der Zugriff an bestimmte Projekte oder Meilensteine gebunden sein, sodass der Zugriff am Ende des Projekts automatisch entzogen wird. Oder wenn nur einige Benutzer eine Anwendung über eine Richtlinie verwenden, können Sie vierteljährliche oder jährliche Überprüfungen des Zugriffs aller Personen über diese Richtlinie konfigurieren, sodass eine regelmäßige Überwachung besteht.
Wenn Ihre Organisation den Zugriff bereits mit einem Organisationsrollenmodell steuert, sollten Sie dieses Organisationsrollenmodell in Microsoft Entra ID integrieren. Möglicherweise haben Sie eine Organisationsrolle definiert, die den Zugriff basierend auf der Eigenschaft eines Benutzers zuweist, z. B. seiner Position oder Abteilung. Diese Prozesse können sicherstellen, dass Benutzer den Zugriff schließlich verlieren, wenn der Zugriff nicht mehr benötigt wird, auch wenn kein vorab festgelegtes Projektenddatum vorhanden ist.
Fragen Sie nach, ob die Trennung von Pflichteneinschränkungen besteht. Beispielsweise verfügen Sie über eine Anwendung mit den zwei App-Rollen Vertrieb West und Vertrieb Ost und möchten sicherstellen, dass ein Benutzer jeweils nur eine Vertriebsregion haben kann. Schließen Sie eine Liste aller App-Rollenpaare ein, die für Ihre Anwendung nicht kompatibel sind. Wenn ein Benutzer daher eine Rolle hat, darf er die zweite Rolle nicht anfordern.
Wählen Sie die entsprechende Richtlinie für bedingten Zugriff für den Zugriff auf die Anwendung aus. Es wird empfohlen, dass Sie Ihre Anwendungen analysieren und in Anwendungen gruppieren, die dieselben Ressourcenanforderungen für dieselben Benutzer aufweisen. Wenn dies die erste Verbund-SSO-Anwendung ist, die Sie in Microsoft Entra ID Governance für Identitätsgovernance integrieren, müssen Sie möglicherweise eine neue Richtlinie für bedingten Zugriff erstellen, um Einschränkungen auszudrücken, wie etwa Anforderungen für die Multi-Faktor-Authentifizierung (MFA) oder den standortbasierten Zugriff. Sie können für Benutzer konfigurieren, dass sie den Nutzungsbedingungen zustimmen müssen. Weitere Überlegungen zum Definieren einer Richtlinie für bedingten Zugriff finden Sie unter Planen einer Bereitstellung mit bedingtem Zugriff.
Bestimmen Sie, wie Ausnahmen für Ihre Kriterien behandelt werden sollen. Beispielsweise kann eine Anwendung in der Regel nur für bestimmte Mitarbeiter verfügbar sein, aber ein Prüfer oder Anbieter benötigt möglicherweise temporären Zugriff auf ein bestimmtes Projekt. Oder ein Mitarbeiter, der unterwegs ist, benötigt möglicherweise Zugriff von einem Standort, der normalerweise blockiert ist, da Ihre Organisation an diesem Ort nicht präsent ist. In diesen Situationen können Sie auch eine Berechtigungsverwaltungsrichtlinie für die Genehmigung wählen, die verschiedene Phasen oder ein anderes Zeitlimit oder eine andere genehmigende Person aufweist. Ein Anbieter, der sich als Gastbenutzer in Ihrem Microsoft Entra-Mandanten angemeldet hat, verfügt möglicherweise über keinen Verwalter, sondern seine Zugriffsanforderungen könnten von einem Sponsor für seine Organisation oder von einem Ressourcenbesitzer oder einem Sicherheitsbeauftragten genehmigt werden.
Da die Organisationsrichtlinie für den Zugriff durch die Beteiligten überprüft werden soll, können Sie mit der Integration der Anwendung in Microsoft Entra ID beginnen. Auf diese Weise können Sie in einem späteren Schritt die von der Organisation genehmigten Richtlinien für den Zugriff in Microsoft Entra ID-Governance bereitstellen.