Steuern des Zugriffs für Anwendungen in Ihrer Umgebung

Azure Active Directory (Azure AD) Identity Governance ermöglicht Ihnen, den Sicherheitsbedarf Ihrer Organisation und die Produktivität von Mitarbeitern mit den richtigen Prozessen sowie Transparenz in Einklang zu bringen. Diese Features stellen sicher, dass die richtigen Personen zur richtigen Zeit den richtigen Zugriff auf die richtigen Ressourcen in Ihrer Organisation haben.

Organisationen mit Compliance-Anforderungen oder Risikomanagementplänen haben sensible oder geschäftskritische Anwendungen. Die Sensibilität der Anwendung kann auf ihrem Zweck oder den darin enthaltenen Daten basieren, wie z.B. Finanzinformationen oder persönliche Daten der Kunden der Organisation. Für diese Anwendungen wird in der Regel nur eine Teilmenge aller Benutzer in der Organisation zugriffsberechtigt sein, und der Zugriff sollte nur auf der Grundlage dokumentierter Geschäftsanforderungen gestattet werden. Als Teil der Zugriffssteuerung in Ihrer Organisation können Sie die Features von Azure AD nutzen, um

  • einen angemessenen Zugriff einzurichten
  • Zugriffsüberprüfungen zu erzwingen
  • zu zeigen, wie diese Steuerelemente genutzt werden, um Ihre Compliance- und Risikomanagementziele zu erreichen.

Zusätzlich zum Szenario der Anwendungszugriffsgovernance können Sie auch Identitätsgovernance und die anderen Azure AD-Features für andere Szenarien verwenden, z.B. Überprüfen und Entfernen von Benutzern aus anderen Organisationen oder Verwalten von Benutzern, die von Richtlinien für bedingten Zugriff ausgeschlossen sind. Wenn Ihre Organisation mehrere Administratoren in Azure AD oder Azure hat, B2B- oder Self-Service-Gruppenverwaltung verwendet, dann sollten Sie eine Zugriffsüberprüfungsbereitstellung für diese Szenarien planen.

Erste Schritte zur Zugriffsverwaltung auf Anwendungen

Azure AD Identitätsgovernance kann mit vielen Anwendungen integriert werden, indem Standards wie OpenID Connect, SAML, SCIM, SQL und LDAP verwendet werden. Durch diese Standards können Sie Azure AD mit vielen beliebten SaaS-Anwendungen sowie mit lokalen Anwendungen und Anwendungen, die Ihre Organisation entwickelt hat, verwenden. Sobald Sie Ihre Azure AD-Umgebung vorbereitet haben, wie im folgenden Abschnitt beschrieben, umfasst der dreistufige Plan die Verbindung einer Anwendung mit Azure AD und die Aktivierung von Identitätsgovernancefeatures, die für diese Anwendung verwendet werden sollen.

  1. Definieren Sie die Richtlinien Ihrer Organisation für die Steuerung des Zugriffs auf die Anwendung
  2. Integrieren Sie die Anwendung in Azure AD, um sicherzustellen, dass nur autorisierte Benutzer auf die Anwendung zugreifen können, und überprüfen Sie den bestehenden Benutzerzugriff auf die Anwendung, um eine Grundlage für alle überprüften Benutzer zu schaffen.
  3. Stellen Sie diese Richtlinien zur Steuerung von Single Sign-On (SSO) und zur Automatisierung von Zugriffszuweisungen für diese Anwendung bereit.

Voraussetzungen vor dem Konfigurieren von Azure AD für die Identitätsgovernance

Bevor Sie den Prozess des Verwaltens des Anwendungszugriffs von Azure AD beginnen, sollten Sie überprüfen, ob Ihre Azure AD-Umgebung entsprechend konfiguriert ist.

  • Stellen Sie sicher, dass Ihre Azure AD- und Microsoft Online Services-Umgebung die Complianceanforderungen für die zu integrierenden Anwendungen erfüllt und ordnungsgemäß lizenziert ist. Compliance ist eine gemeinsame Verantwortung von Microsoft, Clouddienstanbietern (Cloud Service Providers, CSPs) und Organisationen. Um Azure AD zur Verwaltung des Zugriffs auf Anwendungen zu verwenden, müssen Sie eine der folgenden Lizenzen in Ihrem Mandanten haben:

    • Azure AD Premium P2
    • Enterprise Mobility + Security (EMS) E5-Lizenz

    Ihr Mandant benötigt mindestens so viele Lizenzen wie die Anzahl der Mitglieder (Nicht-Gäste), die Zugang zu den Anwendungen haben oder beantragen können, die den Zugang zu den Anwendungen genehmigen oder überprüfen. Mit einer geeigneten Lizenz für diese Benutzer können Sie dann den Zugriff auf bis zu 1500 Anwendungen pro Benutzer steuern.

  • Wenn Sie den Zugriff von Gästen auf die Anwendung verwalten möchten, verknüpfen Sie Ihren Azure AD-Mandanten mit einem Abonnement für die MAU-Abrechnung . Dieser Schritt ist erforderlich, bevor ein Gast seinen Zugang beantragen oder überprüfen kann. Weitere Informationen finden Sie unter Abrechnungsmodell für Azure AD External Identities.

  • Überprüfen Sie, ob Azure AD bereits das Überwachungsprotokoll und optional andere Protokolle an Azure Monitor sendet. Azure Monitor ist optional, aber nützlich für die Zugriffssteuerung auf Anwendungen, da Azure AD Audit-Ereignisse nur bis zu 30 Tage lang im Überwachungsprotokoll speichert. Sie können die Überwachungsdaten länger als die standardmäßige Aufbewahrungsfrist aufbewahren, wie in Wie lange speichert Azure AD Berichtsdaten? beschrieben, aufbewahren und Azure Monitor-Arbeitsmappen sowie benutzerdefinierte Abfragen und Berichte zu historischen Überwachungsdaten verwenden. Sie können die Azure AD-Konfiguration überprüfen, um zu sehen, ob sie Azure Monitor verwendet, in Azure Active Directory im Azure-Portal, indem Sie auf Arbeitsmappen klicken. Wenn diese Integration nicht konfiguriert ist und Sie ein Azure-Abonnement haben und sich in der Global Administrator oder Security Administrator Rolle befinden, können Sie Azure AD so konfigurieren, dass Azure Monitor verwendet wird.

  • Stellen Sie sicher, dass nur autorisierte Benutzer in den hoch privilegierten administrativen Rollen in Ihrem Azure AD-Mandanten sind. Administratoren im globalen Administrator, Identitätsverwaltungsadministrator, Benutzeradministrator, Anwendungsadministrator, Cloudanwendungsadministrator und Privilegierte Rollenadministrator können Änderungen an Benutzern und ihren Anwendungsrollenzuweisungen vornehmen. Wenn die Mitgliedschaften dieser Rollen noch nicht kürzlich überprüft wurden, benötigen Sie einen Benutzer, der sich im globalen Administrator oder privilegierten Rollenadministrator befindet, um sicherzustellen, dass die Zugriffsüberprüfung dieser Verzeichnisrollen gestartet wird. Sie sollten auch sicherstellen, dass Benutzer in Azure-Rollen in Abonnements, die den Azure Monitor, Logic Apps und andere Ressourcen enthalten, die für den Betrieb Ihrer Azure AD-Konfiguration erforderlich sind, überprüft wurden.

  • Überprüfen Sie, ob Ihr Mandanten über eine entsprechende Isolation verfügt. Wenn Ihre Organisation ein lokales Active Directory verwendet und diese AD-Domänen mit Azure AD verbunden sind, müssen Sie sicherstellen, dass hochprivilegierte Verwaltungsvorgänge für in der Cloud gehostete Dienste von lokalen Konten isoliert werden. Stellen Sie sicher, dass Sie Ihre Systeme so konfiguriert haben, dass Ihre Microsoft 365-Cloudumgebung vor lokalen Gefährdungen geschützt ist.

Nachdem Sie Ihre Azure AD-Umgebung überprüft haben, können Sie die Governancerichtlinien für Ihre Anwendungen definieren.

Nächste Schritte