Was ist Microsoft Entra ID Governance?
Microsoft Entra ID Governance ermöglicht es Ihnen, den Sicherheitsbedarf Ihrer Organisation und die Produktivität von Mitarbeitern mit den richtigen Prozessen und Transparenz in Einklang zu bringen. Bereitgestellt werden Funktionen, die den richtigen Zugriff der richtigen Personen auf die richtigen Ressourcen gewährleisten. Mit diesen und den zugehörigen Features von Azure AD und Enterprise Mobility + Security können Sie das Zugriffsrisiko minimieren, indem Sie den Zugriff auf kritische Assets schützen und überwachen und gleichzeitig Mitarbeitern und Geschäftspartnern ein produktives Arbeiten ermöglichen.
Mithilfe von ID Governance können Organisationen die folgenden Aufgaben für Mitarbeiter, Geschäftspartner und Anbieter sowie für Dienste und Anwendungen (lokal und in Clouds) ausführen:
- Steuern des Identitätslebenszyklus
- Steuern des Zugriffslebenszyklus
- Sichern des privilegierten Zugriffs für die Verwaltung
Insbesondere soll Identity Governance Organisationen bei der Beantwortung der folgenden vier Schlüsselfragen unterstützen:
- Welche Benutzer sollen Zugriff auf welche Ressourcen haben?
- Wozu nutzen diese Benutzer den Zugriff?
- Gibt es effektive organisatorische Kontrollen zum Verwalten des Zugriffs?
- Können Prüfer feststellen, ob die Kontrollen funktionieren?
Identitätslebenszyklus
Identity Governance hilft Organisationen, ein Gleichgewicht herzustellen zwischen der Produktivität – wie schnell eine Person auf die benötigten Ressourcen zugreifen kann (beispielsweise, wenn sie der Organisation beitritt) – und der Sicherheit – wie sich der Zugriff im Laufe der Zeit ändern sollte (beispielsweise aufgrund von Änderungen des Beschäftigungsstatus einer Person). Identity Lifecycle Management ist die Grundlage für Identity Governance, und eine effektive Governance in großem Maßstab erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen.
Bei vielen Organisationen ist der Identitätslebenszyklus für Mitarbeiter mit der Darstellung des Benutzers in einem Personalverwaltungssystem (Human Capital Management, HCM) verknüpft. Bei Azure AD Premium werden Benutzeridentitäten für Personen, die in Workday und SuccessFactors enthalten sind, sowohl in Active Directory als auch in Azure Active Directory über die eingehende Bereitstellung automatisch verwaltet. Dies wird im Artikel Planen der HR-Cloudanwendung für die Azure Active Directory-Benutzerbereitstellung beschrieben. In Azure AD Premium ist zudem Microsoft Identity Manager enthalten. Dies ist eine Lösung, mit der Datensätze aus lokalen Personalverwaltungssystemen wie SAP HCM, Oracle eBusiness und Oracle PeopleSoft importiert werden können.
Immer mehr Szenarien erfordern heute die Kollaboration mit Personen außerhalb Ihrer Organisation. Mithilfe der Azure AD B2B-Kollaboration (Business-to-Business) können Sie die Anwendungen und Dienste Ihrer Organisation für Gastbenutzer und externe Partner von beliebigen Organisationen sicher freigeben und dabei die Kontrolle über Ihre eigenen Unternehmensdaten behalten. Mit der Microsoft Entra-Berechtigungsverwaltung können Sie auswählen, welche Benutzer der Organisation Zugriff anfordern dürfen und als B2B-Gäste dem Verzeichnis Ihrer Organisation hinzugefügt werden sollen. Außerdem können Sie sicherstellen, dass diese Gäste entfernt werden, wenn Sie keinen Zugriff mehr benötigen.
Unternehmen können den Identity Lifecycle Management-Prozess durch die Verwendung von Lebenszyklus-Workflows automatisieren. Workflows können erstellt werden, um Aufgaben für einen Benutzer automatisch auszuführen, bevor er der Organisation beitritt, wenn er seinen Status während seiner Zeit in der Organisation ändert und wenn er die Organisation verlässt. Beispielsweise kann ein Workflow so konfiguriert werden, dass am ersten Tag gesendet eine E-Mail mit einem temporären Kennwort an den Manager eines neuen Benutzers oder eine Willkommens-E-Mail an den Benutzer wird.
Zugriffslebenszyklus
Organisationen benötigen einen Prozess, um den Zugriff über die anfänglich beim Erstellen der Identität eines Benutzers zugewiesenen Rechte hinaus zu verwalten. Zudem müssen Unternehmensorganisationen in der Lage sein, ihre Systeme effizient zu skalieren, damit sie Zugriffsrichtlinien und -kontrollen kontinuierlich entwickeln und erzwingen können.
In der Regel delegiert die IT-Abteilung Entscheidungen bezüglich der Zugriffsgenehmigung an Entscheidungsträger im Unternehmen. Darüber hinaus kann die IT die Benutzer selbst in den Prozess einbeziehen. Beispielsweise müssen Benutzer, die in Europa auf vertrauliche Kundendaten in der Marketinganwendung eines Unternehmens zugreifen, die Richtlinien des Unternehmens kennen. Gastbenutzer kennen die Anforderungen für die Behandlung von Daten in einer Organisation, zu der sie eingeladen wurden, möglicherweise nicht.
Organisationen können den Zugriffslebenszyklus mit Technologien wie dynamischen Gruppen in Verbindung mit der Benutzerbereitstellung in SaaS-Apps oder in SCIM integrierten Apps automatisieren. Microsoft Entra kann auch Zugriff für Apps bereitstellen, die AD-Gruppen, andere lokale Verzeichnisse oder Datenbanken verwenden, oder über eine SOAP- oder REST-API einschließlich SAP verfügen. Außerdem können Organisationen steuern, welche Gastbenutzer Zugriff auf lokale Anwendungen haben. Diese Zugriffsrechte können dann regelmäßig mithilfe von wiederkehrenden Microsoft Entra-Zugriffsüberprüfungen überprüft werden. Mit der Microsoft Entra-Berechtigungsverwaltung können Sie außerdem definieren, wie Benutzer übergreifend über Pakete von Gruppen- und Teammitgliedschaften, Anwendungsrollen und SharePoint Online-Rollen Zugriff anfordern. Weitere Informationen finden Sie im nachfolgenden Abschnitt zur Vereinfachung von Identitätsgovernanceaufgaben durch Automatisierung, um die entsprechenden Microsoft Entra-Features für die Szenarien zur Automatisierung des Zugriffs auf Ihren Lebenszyklus auszuwählen.
Der Zugriff auf den Lebenszyklus kann durch Workflows automatisiert werden. Workflows können erstellt werden, um Benutzer automatisch zu Gruppen hinzuzufügen, mit denen der Zugriff auf Anwendungen und Ressourcen gewährt wird. Benutzer können, wenn sich ihr Status innerhalb der Organisation ändert, auch in verschiedenen Gruppen verschoben und sogar vollständig aus allen Gruppen entfernt werden.
Wenn ein Benutzer auf Anwendungen zuzugreifen versucht, erzwingt Microsoft Entra Richtlinien für bedingten Zugriff. Richtlinien für bedingten Zugriff können beispielsweise beinhalten, dass Nutzungsbedingungen angezeigt werden und der Benutzer diesen Bedingungen zustimmen muss, bevor er auf eine Anwendung zugreifen kann. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Anwendungen in Ihrer Umgebung.
Privilegierter Zugriffslebenszyklus
In der Vergangenheit wurde der privilegierte Zugriff von anderen Anbietern als eine von Identity Governance getrennte Funktion dargestellt. Wir bei Microsoft sind jedoch der Meinung, dass die Steuerung des privilegierten Zugriffs ein wichtiger Bestandteil der Identitätsgovernance ist – insbesondere angesichts des Schadens, den ein mit diesen Administratorrechten einhergehender möglicher Missbrauch in einer Organisation anrichten kann. Die Mitarbeiter, Anbieter und Auftragnehmer, denen Administratorrechte gewährt werden, müssen gesteuert werden.
Microsoft Entra Privileged Identity Management (PIM) bietet zusätzliche Steuerungen für den Schutz der Zugriffsrechte für Ressourcen in Microsoft Entra, Azure und anderen Microsoft Online Services. Zusätzlich zur Multi-Faktor-Authentifizierung und zum bedingten Zugriff stehen Ihnen mit den Funktionen für Just-In-Time-Zugriff und Warnungen für Rollenänderungen von Microsoft Entra PIM umfassende Governancekontrollen zum Schützen der Ressourcen Ihres Unternehmens (Verzeichnis, Microsoft 365 und Azure-Ressourcenrollen) zur Verfügung. Wie bei anderen Formen des Zugriffs können Organisationen mithilfe von Zugriffsüberprüfungen eine periodische erneute Zertifizierung für alle Benutzer mit Administratorrollen konfigurieren.
Governancefunktionen in anderen Microsoft Entra-Features
Zusätzlich zu den obigen Features werden die folgenden weiteren Microsoft Entra-Features häufig für Identity Governance-Szenarien genutzt:
| Funktion | Szenario | Feature |
|---|---|---|
| Identitätslebenszyklus (Mitarbeiter) | Administratoren können die Bereitstellung von Benutzerkonten aus Workday oder SuccessFactors über die HR-Cloudumgebung oder die lokale HR-Umgebung ermöglichen. | Benutzerbereitstellung aus der HR-Cloudumgebung in Azure AD: |
| Identitätslebenszyklus (Gäste) | Administratoren können das Self-Service-Onboarding für Gastbenutzer über einen anderen Azure AD-Mandanten, direkten Verbund, per Einmalkennung (One-Time Passcode, OTP) oder über Google-Konten ermöglichen. Die Bereitstellung von Gastbenutzern wird gemäß den Lebenszyklusrichtlinien automatisch durchgeführt und aufgehoben. | Berechtigungsverwaltung per B2B |
| Berechtigungsverwaltung | Ressourcenbesitzer können Zugriffspakete erstellen, die Apps, Teams, Azure AD- und Microsoft 365-Gruppen sowie SharePoint Online-Websites enthalten. | Berechtigungsverwaltung |
| Lebenszyklus-Workflows | Administratoren können die Automatisierung des Lebenszyklusprozess basierend auf Benutzerbedingungen aktivieren. | Lebenszyklus-Workflows |
| Zugriffsanforderungen | Endbenutzer können die Gruppenmitgliedschaft oder den Anwendungszugriff anfordern. Endbenutzer, einschließlich der Gäste aus anderen Organisationen, können Zugriff auf Zugriffspakete anfordern. | Berechtigungsverwaltung |
| Workflow | Ressourcenbesitzer können die genehmigenden Personen und Eskalationsgenehmiger für Zugriffsanforderungen sowie die genehmigenden Personen für Rollenaktivierungsanforderungen definieren. | Berechtigungsverwaltung und PIM |
| Richtlinien- und Rollenverwaltung | Der Administrator kann Richtlinien für bedingten Zugriff definieren, die für den Zugriff auf Anwendungen zur Laufzeit gelten. Ressourcenbesitzer können Richtlinien für den Benutzerzugriff über Zugriffspakete definieren. | Richtlinien für bedingten Zugriff und Berechtigungsverwaltung |
| Zugriffszertifizierung | Administratoren können die erneute Zertifizierung für wiederkehrende Zugriffe für folgende Komponenten ermöglichen: SaaS-Apps, lokale Apps oder Cloudgruppenmitgliedschaften, Zuweisungen von Azure AD- oder Azure-Ressourcenrollen. Automatisches Entfernen des Ressourcenzugriffs, Blockieren des Gastzugriffs und Löschen von Gastkonten. | Zugriffsüberprüfungen, die auch unter PIM beschrieben wurden |
| Erfüllung und Bereitstellung | Automatische Bereitstellung und Aufhebung der Bereitstellung in mit Azure AD verbundenen Apps, z. B. per SCIM, LDAP, SQL und auf SharePoint Online-Websites. | Benutzerbereitstellung |
| Berichterstellung und Analyse | Administratoren können Überwachungsprotokolle der aktuellen Benutzerbereitstellung und Anmeldeaktivitäten abrufen. Integration mit Azure Monitor und Zugriffserteilung über Zugriffspakete. | Azure AD-Berichte und Überwachung |
| Privilegierter Zugriff | Just-In-Time- und geplanter Zugriff, Warnungen, Genehmigungsworkflows für Azure AD-Rollen (einschließlich benutzerdefinierte Rollen) und Azure-Ressourcenrollen. | Azure AD PIM |
| Überwachung | Administratoren können über die Erstellung von Administratorkonten benachrichtigt werden. | Microsoft Entra PIM-Warnungen |
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Lizenzen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Erste Schritte
Informieren Sie sich im Microsoft Entra Admin Center auf der Registerkarte „Erste Schritte“ von Identity Governance über die Verwendung der Berechtigungsverwaltung, über Zugriffsüberprüfungen, Privileged Identity Management sowie die Nutzungsbedingungen, und sehen Sie sich einige gängige Anwendungsfälle an.
Es gibt auch Tutorials zum Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung, Onboarding externer Benutzer auf Azure AD mittels eines Genehmigungsprozesses und zum Kontrollieren des Zugriffs auf Ihre Anwendungen und die bestehenden Benutzer der Anwendung.
Wenn Sie uns Feedback zu den Features von Identity Governance geben möchten, klicken Sie im Microsoft Entra Admin Center auf Haben Sie Feedback für uns?, um Ihr Feedback zu übermitteln. Das Team überprüft regelmäßig Ihr Feedback.
Es gibt keine perfekte Lösung oder Empfehlung, die für alle Kunden geeignet ist. Die folgenden Konfigurationsleitfäden können jedoch als Anhaltspunkt für die Basisrichtlinien dienen, die Microsoft zum Verbessern der Sicherheit und Produktivität von Mitarbeitern empfiehlt.
- Voraussetzungen zum Konfigurieren von Azure AD für die Identitätsgovernance
- Planen einer Bereitstellung von Zugriffsüberprüfungen zum Verwalten des Ressourcenzugriffslebenszyklus
- Konfigurationen für den Identitäts- und Gerätezugriff
- Sichern des privilegierten Zugriffs
Möglicherweise möchten Sie auch mit einem der Dienste und Integrationspartner von Microsoft zusammenarbeiten , um deren Bereitstellung zu planen oder sie in die Anwendungen und anderen Systeme in Ihrer Umgebung zu integrieren.
Vereinfachen von Identitätsgovernanceaufgaben durch Automatisierung
Nachdem Sie mit der Verwendung dieser Identitätsgovernancefeatures begonnen haben, können Sie allgemeine Identitätsgovernanceszenarien problemlos automatisieren. In der folgenden Tabelle wird gezeigt, wie Sie in jedem Szenario beginnen:
| Szenario zum Automatisieren | Automatisierungshandbuch |
|---|---|
| Automatisches Erstellen, Aktualisieren und Löschen von AD- und Azure AD-Benutzerkonten für Mitarbeiter | Planen der Benutzerbereitstellung aus der HR-Cloud in Azure AD |
| Aktualisieren der Mitgliedschaft einer Gruppe basierend auf Änderungen an den Attributen des Mitgliedsbenutzers | Erstellen einer dynamischen Gruppe |
| Zuweisen von Lizenzen | Gruppenbasierte Lizenzierung |
| Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Websiterollen eines Benutzers basierend auf Änderungen an den Attributen des Benutzers | Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung (Vorschau) |
| Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Websiterollen eines Benutzers an einem bestimmten Datum | Konfigurieren der Lebenszykluseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung |
| Ausführen von benutzerdefinierten Workflows, wenn ein Benutzer Zugriff anfordert oder erhält oder der Zugriff entfernt wird | Trigger Logic Apps in der Berechtigungsverwaltung (Vorschau) |
| Regelmäßiges Überprüfen der Mitgliedschaften von Gästen in Microsoft-Gruppen und -Teams und Entfernen von verweigerten Gastmitgliedschaften | Erstellen einer Zugriffsüberprüfung |
| Entfernen von Gastkonten, die von einem Prüfer verweigert wurden | Überprüfen und Entfernen externer Benutzer, wenn sie keinen Ressourcenzugriff mehr haben |
| Entfernen von Gastkonten, die keine Zugriffspaketzuweisungen haben | Verwalten des Lebenszyklus von externen Benutzern |
| Bereitstellen von Benutzern in lokalen und Cloudanwendungen mit eigenen Verzeichnissen oder Datenbanken | Konfigurieren der automatischen Benutzerbereitstellung mit Benutzerzuweisungen oder Bereichsfiltern |
| Sonstige geplante Aufgaben | Automatisieren von Identitätsgovernanceaufgaben mit Azure Automation und Microsoft Graph über das Microsoft.Graph.Identity.Governance-PowerShell-Modul |
Anhang: Die am wenigsten privilegierten Rollen für die Verwaltung von Identity Governance-Funktionen
Für die Ausführung administrativer Aufgaben in Identity Governance gilt die Verwendung der Rolle mit den geringsten Rechten als bewährte Methode. Es wird empfohlen, Microsoft Entra PIM zu verwenden, um nach Bedarf eine Rolle zum Ausführen dieser Aufgaben zu aktivieren. Nachfolgend werden die Verzeichnisrollen mit den geringsten Rechten zum Konfigurieren von Identitätsgovernancefeatures aufgeführt:
| Funktion | Am wenigsten privilegierte Rolle |
|---|---|
| Berechtigungsverwaltung | Identity Governance-Administrator |
| Zugriffsüberprüfungen | Benutzeradministrator (mit Ausnahme von Zugriffsüberprüfungen für Azure- oder Azure AD-Rollen, wofür ein Administrator für privilegierte Rollen erforderlich ist) |
| Privileged Identity Management | Administrator für privilegierte Rollen |
| Nutzungsbedingungen | Sicherheitsadministrator oder Administrator für bedingten Zugriff |
Hinweis
Die Rolle mit den geringsten Berechtigungen für die Berechtigungsverwaltung wird von der Rolle „Benutzeradministrator“ in die Rolle „Identity Governance-Administrator“ geändert.