Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

Verwenden Sie das Berechtigungsverwaltungsfeature, um den Identitäts- und Zugriffslebenszyklus zu verwalten. Sie können Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und das Ablaufdatum automatisieren. Delegierte Nicht-Administratoren verwenden die Berechtigungsverwaltung zum Erstellen von Zugriffspaketen, auf die externe Benutzer anderer Organisationen Zugriff anfordern können. Ein- und mehrstufige Genehmigungsworkflows sind so konfigurierbar, dass Anforderungen ausgewertet und wiederkehrende Bewertungen mit zeitlich begrenztem Zugriff für Benutzer bereitgestellt werden. Nutzen Sie die Berechtigungsverwaltung zur richtlinienbasierten Bereitstellung und zum Aufheben der Bereitstellung externer Konten.

Weitere Informationen:

• Was ist Berechtigungsverwaltung?
• Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
• Was ist die Identitätsbereitstellung?

Voraussetzungen

Dieser Artikel ist der sechste in einer Serie von zehn Artikeln. Sie sollten die Artikel der Reihe nach lesen. Im Abschnitt Nächste Schritte finden Sie die gesamte Serie.

Berechtigungsverwaltung aktivieren

Die folgenden Begriffe sind wichtig, um die Berechtigungsverwaltung zu verstehen.

Zugriffspakete

Ein Zugriffspaket ist die Grundlage der Berechtigungsverwaltung: Es handelt sich dabei um Gruppierungen richtliniengesteuerter Ressourcen, mit deren Hilfe Benutzer an einem Projekt zusammenarbeiten oder andere Aufgaben ausführen können. Ein Zugriffspaket kann z. B. Folgendes umfassen:

• Zugriff auf SharePoint-Websites
• Unternehmensanwendungen, einschließlich Ihrer benutzerdefinierten internen und Software as a Service (SaaS)-Apps wie Salesforce
• Microsoft Teams
• Microsoft 365-Gruppen

Kataloge

Zugriffspakete befinden sich in Katalogen. Wenn Sie gruppenbezogene Ressourcen und Zugriffspakete erstellen und deren Verwaltung delegieren möchten, erstellen Sie hierfür einen Katalog. Zuerst fügen Sie Ressourcen zu einem Katalog hinzu. Dann können Sie Ressourcen zu Zugriffspaketen hinzufügen. Beispielsweise können Sie einen Katalog „Finanzen“ erstellen und dessen Verwaltung an ein Mitglied der Finanzabteilung delegieren. Diese Person kann dann Ressourcen hinzufügen, Zugriffspakete erstellen und die Zugriffsgenehmigung verwalten.

Weitere Informationen:

• Erstellen und Verwalten eines Ressourcenkatalogs in der Berechtigungsverwaltung
• Delegierung und Rollen in der Berechtigungsverwaltung
• Hinzufügen von Ressourcen zu einem Katalog

Das folgende Diagramm zeigt einen typischen Governancelebenszyklus für einen externen Benutzer, der Zugriff auf ein Zugriffspaket erhält, das ein Ablaufdatum hat.

Externer Self-Service-Zugriff

Sie können Zugriffspakete über „Mein Zugriff“ im Microsoft Entra-Portal bereitstellen, um externen Benutzern die Anforderung des Zugriffs zu ermöglichen. Über Richtlinien ist festgelegt, wer ein Zugriffspaket anfordern kann. Weitere Informationen finden Sie unter Anfordern des Zugriffs auf ein Zugriffspaket in der Berechtigungsverwaltung.

Sie legen die Berechtigungen für das Zugriffspaket fest:

• Verbundene Organisationen
  • Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation in der Berechtigungsverwaltung.
• Konfigurierte verbundene Organisationen
• Benutzer aus Organisationen
• Mitglieder oder Gastbenutzer in Ihrem Mandanten

Genehmigungen

Zugriffspakete können eine obligatorische Genehmigung für den Zugriff umfassen. Genehmigungen können ein- oder mehrstufig sein und werden durch Richtlinien festgelegt. Wenn sowohl interne als auch externe Benutzer auf dasselbe Paket zugreifen müssen, können Sie Zugriffsrichtlinien für Kategorien verbundener Organisationen und für interne Benutzer einrichten.

Wichtig

Implementieren Sie für externe Benutzer immer Genehmigungsprozesse.

Ablauf

Zugriffspakete können ein Ablaufdatum oder eine Anzahl von Tagen haben, die Sie für den Zugriff festgelegt haben. Wenn das Zugriffspaket abläuft und damit der Zugriff endet, kann das B2B-Gastbenutzerobjekt, das den Benutzer darstellt, gelöscht oder bei der Anmeldung blockiert werden. Es wird empfohlen, den Ablauf von Zugriffspaketen für externe Benutzer zu erzwingen. Nicht alle Zugriffspakete verfügen über Ablauffristen.

Wichtig

Führen Sie für Pakete ohne Ablaufdatum regelmäßig Zugriffsüberprüfungen durch.

Zugriffsüberprüfungen

Zugriffspakete können regelmäßige Zugriffsüberprüfungen erfordern, bei denen der Besitzer des Pakets oder ein Beauftragter die fortgesetzte Notwendigkeit für den Zugriff der Benutzer bestätigen muss. Weitere Informationen finden Sie unter Verwalten des Gastzugriffs mithilfe von Zugriffsüberprüfungen.

Ermitteln Sie vor dem Einrichten der Überprüfung folgende Kriterien:

• Wer
  • Kriterien für den fortgesetzten Zugriff
  • Reviewer
• Wie häufig?
  • Zu den integrierten Optionen gehören monatlich, vierteljährlich, zweimal jährlich oder jährlich
  • Für Pakete, die externen Zugriff unterstützen, werden vierteljährliche oder häufigere Überprüfungen empfohlen.

Wichtig

Zugriffspaketüberprüfungen untersuchen den über die Berechtigungsverwaltung gewährten Zugriff. Richten Sie zusätzlich Prozesse ein, um den Zugriff für externe Benutzer außerhalb der Berechtigungsverwaltung zu überprüfen.

Weitere Informationen finden Sie unter Planen der Bereitstellung von Microsoft Entra-Zugriffsüberprüfungen.

Verwenden der Automatisierung der Berechtigungsverwaltung

• Arbeiten mit der Berechtigungsverwaltungs-API von Microsoft Entra
• accessPackageRessourcentyp
• Microsoft Entra-Zugriffsüberprüfungen
• connectedOrganizationRessourcentyp
• entitlementManagementSettingsRessourcentyp

Empfehlungen für externe Zugriffsgovernance

Bewährte Methoden

Es wird empfohlen, den externen Zugriff über die Berechtigungsverwaltung mit folgenden Maßnahmen zu steuern.

• Für Projekte mit einem oder mehreren Geschäftspartner*innen erstellen und verwenden Sie Zugriffspakete, um das Onboarding durchzuführen und Zugriff auf Ressourcen bereitzustellen.
  • Erstellen eines neuen Zugriffspakets in der Berechtigungsverwaltung
• Wenn Sie in Ihrem Verzeichnis B2B-Benutzer haben, können Sie Ihnen Zugriffspakete zuweisen.
• Sie können den Zugriff im Azure-Portal oder mithilfe von Microsoft Graph zuweisen.
  • Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket in der Berechtigungsverwaltung
  • Erstellen eines neuen Zugriffspakets in der Berechtigungsverwaltung

Identitätsgovernance – Einstellungen

Verwenden Sie Identity Governance-Einstellungen, um Benutzer aus Ihrem Verzeichnis zu entfernen, wenn deren Zugriffspakete ablaufen. Die folgenden Einstellungen gelten für Benutzer, deren Onboarding mithilfe der Berechtigungsverwaltung durchgeführt wurde.

Delegieren der Katalog- und Paketverwaltung

Sie können die Verwaltung von Katalogen und Zugriffspaketen an Geschäftsinhaber delegieren, die mehr Informationen darüber haben, wer zugriffsberechtigt sein soll. Weitere Informationen finden Sie unter Delegierung und Rollen in der Berechtigungsverwaltung.

Erzwingen des Ablaufs von Zugriffspaketen

Sie können Ablauf des Zugriffs für externe Benutzer erzwingen. Weitere Informationen finden Sie unter Ändern der Lebenszykluseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung.

• Verwenden Sie für das Enddatum eines projektbasierten Zugriffspakets das An-Datum, um das Datum festzulegen.
  • Andernfalls wird empfohlen, dass die Ablauffrist nicht mehr 365 Tage beträgt, es sei denn, es handelt sich um ein mehrjähriges Projekt
• Zulassen, dass Benutzer die Zugriffsberechtigung verlängern
  • Genehmigung zum Erteilen der Verlängerung erforderlich machen

Erzwingen der Überprüfung von Gastzugriffspaketen

Sie können die Überprüfung von Gastzugriffspaketen erzwingen, um einen nicht zulässigen Zugriff durch Gäste zu vermeiden. Weitere Informationen finden Sie unter Verwalten des Gastzugriffs mithilfe von Zugriffsüberprüfungen.

• Erzwingen vierteljährlicher Überprüfungen
• Geben Sie für compliancerelevante Projekte die Prüfer als Prüfer an, damit sich externe Benutzer nicht selbst überprüfen können.
  • Sie können Zugriffspaket-Manager als Prüfer verwenden.
• Für weniger vertrauliche Projekte reduziert eine Selbstüberprüfung durch die Benutzer den Aufwand, solche Benutzer zu entfernen, die nicht länger Mitglied der Organisation sind.

Weitere Informationen finden Sie unter Steuern des Zugriffs für externe Benutzer in der Berechtigungsverwaltung.

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

4. Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

5. Umstellung auf geregelte Zusammenarbeit mit Microsoft Entra B2B Collaboration

6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung (Sie sind hier)

7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

9. Schützen des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID

10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten