Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

Verwenden Sie das Berechtigungsverwaltungsfeature, um den Identitäts- und Zugriffslebenszyklus zu verwalten. Sie können Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und das Ablaufdatum automatisieren. Delegierte Nicht-Administratoren verwenden die Berechtigungsverwaltung zum Erstellen von Zugriffspaketen, auf die externe Benutzer anderer Organisationen Zugriff anfordern können. Ein- und mehrstufige Genehmigungs-Workflows sind konfigurierbar, um Anforderungen auszuwerten und Benutzern zeitlich begrenzten Zugriff mit wiederkehrenden Überprüfungen bereitzustellen. Nutzen Sie die Berechtigungsverwaltung zur richtlinienbasierten Bereitstellung und zum Aufheben der Bereitstellung externer Konten.

Weitere Informationen:

• Was ist Berechtigungsverwaltung?
• Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
• Was ist Provisionierung?

Bevor Sie anfangen

Dieser Artikel ist der sechste in einer Serie von zehn Artikeln. Sie sollten die Artikel der Reihe nach lesen. Wechseln Sie zum Abschnitt "Nächste Schritte ", um die gesamte Datenreihe anzuzeigen.

Berechtigungsverwaltung aktivieren

Die folgenden Begriffe sind wichtig, um die Berechtigungsverwaltung zu verstehen.

Zugriffspakete

Ein Zugriffspaket ist die Grundlage der Berechtigungsverwaltung: Es handelt sich dabei um Gruppierungen richtliniengesteuerter Ressourcen, mit deren Hilfe Benutzer an einem Projekt zusammenarbeiten oder andere Aufgaben ausführen können. Ein Zugriffspaket kann z. B. Folgendes umfassen:

• Zugriff auf SharePoint-Websites
• Unternehmensanwendungen, einschließlich Ihrer benutzerdefinierten internen und Software as a Service (SaaS)-Apps wie Salesforce
• Microsoft Teams
• Microsoft 365-Gruppen

Kataloge

Zugriffspakete befinden sich in Katalogen. Wenn Sie gruppenbezogene Ressourcen und Zugriffspakete erstellen und deren Verwaltung delegieren möchten, erstellen Sie hierfür einen Katalog. Zuerst fügen Sie Ressourcen zu einem Katalog hinzu. Dann können Sie Ressourcen zu Zugriffspaketen hinzufügen. Beispielsweise können Sie einen Katalog „Finanzen“ erstellen und dessen Verwaltung an ein Mitglied der Finanzabteilung delegieren. Diese Person kann dann Ressourcen hinzufügen, Zugriffspakete erstellen und die Zugriffsgenehmigung verwalten.

Weitere Informationen:

• Erstellen und Verwalten eines Ressourcenkatalogs in der Berechtigungsverwaltung
• Delegierung und Rollen in der Berechtigungsverwaltung
• Hinzufügen von Ressourcen zu einem Katalog

Das folgende Diagramm zeigt einen typischen Governancelebenszyklus für einen externen Benutzer, der Zugriff auf ein Zugriffspaket erhält, das ein Ablaufdatum hat.

Externer Self-Service-Zugriff

Sie können Zugriffspakete über „Mein Zugriff“ im Microsoft Entra-Portal bereitstellen, um externen Benutzern die Anforderung des Zugriffs zu ermöglichen. Über Richtlinien ist festgelegt, wer ein Zugriffspaket anfordern kann. Weitere Informationen finden Sie unter Anfordern des Zugriffs auf ein Zugriffspaket in der Berechtigungsverwaltung.

Sie legen die Berechtigungen für das Zugriffspaket fest:

• Verbundene Organisationen
  • Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation in der Berechtigungsverwaltung.
• Konfigurierte verbundene Organisationen
• Benutzer aus Organisationen
• Mitglieder oder Gastbenutzer in Ihrem Mandanten

Genehmigungen

Zugriffspakete können eine obligatorische Genehmigung für den Zugriff umfassen. Genehmigungen können einzeln oder mehrstufig sein und werden durch Richtlinien bestimmt. Wenn sowohl interne als auch externe Benutzer auf dasselbe Paket zugreifen müssen, können Sie Zugriffsrichtlinien für Kategorien verbundener Organisationen und für interne Benutzer einrichten.

Von Bedeutung

Implementieren Sie für externe Benutzer immer Genehmigungsprozesse.

Ablaufdatum

Zugriffspakete können ein Ablaufdatum oder eine Anzahl von Tagen haben, die Sie für den Zugriff festgelegt haben. Wenn das Zugriffspaket abläuft und der Zugriff endet, kann das B2B-Gastbenutzerobjekt, das den Benutzer darstellt, gelöscht oder daran gehindert werden, sich anzumelden. Es wird empfohlen, den Ablauf von Zugriffspaketen für externe Benutzer zu erzwingen. Nicht alle Zugriffspakete verfügen über Ablauffristen.

Von Bedeutung

Führen Sie für Pakete ohne Ablaufdatum regelmäßig Zugriffsüberprüfungen durch.

Zugriffsüberprüfungen

Access-Pakete können regelmäßige Zugriffsüberprüfungen erfordern, bei denen der Paketbesitzer oder ein Beauftragter den fortgesetzten Bedarf für den Zugriff der Benutzer bestätigen muss. Weitere Informationen finden Sie unter Verwalten des Gastzugriffs mithilfe von Zugriffsüberprüfungen.

Ermitteln Sie vor dem Einrichten der Überprüfung folgende Kriterien:

• Wer
  • Kriterien für den fortgesetzten Zugriff
  • Prüfer
• Wie häufig?
  • Zu den integrierten Optionen gehören monatlich, vierteljährlich, zweimal jährlich oder jährlich
  • Für Pakete, die externen Zugriff unterstützen, werden vierteljährliche oder häufigere Überprüfungen empfohlen.

Von Bedeutung

Zugriffspaketüberprüfungen untersuchen den über die Berechtigungsverwaltung gewährten Zugriff. Richten Sie zusätzlich Prozesse ein, um den Zugriff für externe Benutzer außerhalb der Berechtigungsverwaltung zu überprüfen.

Weitere Informationen finden Sie unter Planen der Bereitstellung von Microsoft Entra-Zugriffsüberprüfungen.

Verwenden der Automatisierung der Berechtigungsverwaltung

• Arbeiten mit der Berechtigungsverwaltungs-API von Microsoft Entra
• accessPackage Ressourcentyp
• Microsoft Entra-Zugriffsüberprüfungen
• connectedOrganization Ressourcentyp
• entitlementManagementSettings Ressourcentyp

Empfehlungen für externe Zugriffsgovernance

Bewährte Methoden

Es wird empfohlen, den externen Zugriff über die Berechtigungsverwaltung mit folgenden Maßnahmen zu steuern.

• Für Projekte mit einem oder mehreren Geschäftspartner*innen erstellen und verwenden Sie Zugriffspakete, um das Onboarding durchzuführen und Zugriff auf Ressourcen bereitzustellen.
  • Erstellen eines neuen Zugriffspakets in der Berechtigungsverwaltung
• Wenn Sie in Ihrem Verzeichnis B2B-Benutzer haben, können Sie Ihnen Zugriffspakete zuweisen.
• Sie können den Zugriff im Azure-Portal oder mithilfe von Microsoft Graph zuweisen.
  • Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket in der Berechtigungsverwaltung
  • Erstellen eines neuen Zugriffspakets in der Berechtigungsverwaltung

Identitäts-Governance - Konfigurationen steuern

Wählen Sie den Lebenszyklus externer Benutzer in den Steuerelementkonfigurationen aus, um Benutzer aus Ihrem Verzeichnis zu entfernen, wenn ihre Zugriffspakete ablaufen. Die folgenden Einstellungen gelten für Benutzer, deren Onboarding mithilfe der Berechtigungsverwaltung durchgeführt wurde.

Delegieren der Katalog- und Paketverwaltung

Sie können die Verwaltung von Katalogen und Zugriffspaketen an Geschäftsinhaber delegieren, die mehr Informationen darüber haben, wer zugriffsberechtigt sein soll. Weitere Informationen finden Sie unter Delegierung und Rollen in der Berechtigungsverwaltung.

Erzwingen des Ablaufs von Zugriffspaketen

Sie können Ablauf des Zugriffs für externe Benutzer erzwingen. Weitere Informationen finden Sie unter Ändern der Lebenszykluseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung.

• Verwenden Sie für das Enddatum eines projektbasierten Zugriffspakets das An-Datum, um das Datum festzulegen.
  • Andernfalls wird empfohlen, dass der Ablauf nicht mehr 365 Tage beträgt, es sei denn, es handelt sich um ein mehrjähriges Projekt.
• Zulassen, dass Benutzer die Zugriffsberechtigung verlängern
  • Genehmigung zum Erteilen der Verlängerung erforderlich machen

Erzwingen der Überprüfung von Gastzugriffspaketen

Sie können die Überprüfung von Gastzugriffspaketen erzwingen, um einen nicht zulässigen Zugriff durch Gäste zu vermeiden. Weitere Informationen finden Sie unter Verwalten des Gastzugriffs mithilfe von Zugriffsüberprüfungen.

• Erzwingen vierteljährlicher Überprüfungen
• Geben Sie für compliancerelevante Projekte die Prüfer als Prüfer an, damit sich externe Benutzer nicht selbst überprüfen können.
  • Sie können Zugriffspaket-Manager als Prüfer verwenden.
• Für weniger vertrauliche Projekte reduziert eine Selbstüberprüfung durch die Benutzer den Aufwand, solche Benutzer zu entfernen, die nicht länger Mitglied der Organisation sind.

Weitere Informationen finden Sie unter Steuern des Zugriffs für externe Benutzer in der Berechtigungsverwaltung.

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

1. Ermitteln Des Sicherheitsstatus für den externen Zugriff mit der Microsoft Entra-ID

2. Ermitteln des aktuellen Status der externen Zusammenarbeit in Ihrer Organisation

3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

4. Sichern Sie den externen Zugriff mit Gruppen in Microsoft Entra ID und Microsoft 365

5. Übergang zur gesteuerten Zusammenarbeit mit Microsoft Entra B2B-Zusammenarbeit

6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung (Sie sind hier)

7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

8. Steuern des externen Zugriffs auf Ressourcen in der Microsoft Entra-ID mit Vertraulichkeitsbezeichnungen

9. Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra-ID

10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten