Freigeben über

Bereitstellungsszenario der Microsoft Entra Suite – Onboarding, Identität und Zugriffslebenszyklus-Governance für Mitarbeiter und Gäste in allen Ihren Apps

Die Microsoft Entra Suite-Bereitstellungsszenarien bieten Ihnen detaillierte Anleitungen zum Kombinieren und Testen dieser Microsoft Entra Suite-Produkte:

In diesen Leitfäden beschreiben wir Szenarios, die zeigen, wie nützlich Microsoft Entra Suite ist und wie die Funktionen zusammenarbeiten.

Übersicht über das Szenario

In diesem Leitfaden wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso neue Remotearbeitskräfte einstellen und ihnen einen sicheren und nahtlosen Zugriff auf die erforderlichen Apps und Ressourcen biete möchte. Sie möchten externe Benutzer und Benutzerinnen (z. B. Partner, Lieferanten oder Kunden) einladen, mit ihnen zusammenarbeiten und ihnen Zugriff auf relevante Apps und Ressourcen gewähren.

Contoso verwendet microsoft Entra Verified ID , um digitale Identitäts- und Statusnachweise für neue Remotemitarbeiter (basierend auf Personaldaten) und externe Benutzer (basierend auf E-Mail-Einladungen) auszugeben und zu überprüfen. Digitale Brieftaschen speichern den Identitätsnachweis und -status, um den Zugriff auf Apps und Ressourcen zu ermöglichen. Als zusätzliche Sicherheitsmaßnahme könnte Contoso die Identität mit Face Check Gesichtserkennung basierend auf dem in den Anmeldeinformationen gespeicherten Bild verifizieren.

Das Unternehmen verwendet Microsoft Entra ID Governance, um Zugriffspakete für Mitarbeiter und Mitarbeiterinnen sowie externe Benutzer und Benutzerinnen basierend auf Nachweisen zu erstellen und zu gewähren.

  • Die Zugriffspakete für Mitarbeiter und Mitarbeiterinnen basieren auf Stellenfunktion und Abteilung. Zugriffspakete umfassen Cloud-Apps und lokale Apps sowie Ressourcen, auf die Mitarbeiter und Mitarbeiterinnen zugreifen können müssen.
  • Die Zugriffspakete für externe Arbeitskräfte basieren auf Einladungen, um externe Benutzerrollen und Berechtigungen zu definieren. Die Zugriffspakete enthalten nur Apps und Ressourcen, auf die externe Benutzer und Benutzerinnen zugreifen müssen.

Mitarbeiter und Mitarbeiterinnen sowie externe Benutzer und Benutzerinnen können Zugriffspakete über ein Self-Service-Portal anfordern, in dem sie digitale Nachweise zur Identitätsüberprüfung bereitstellen. Über Single Sign-On und Multi-Faktor-Authentifizierung bieten Microsoft Entra-Konten von Mitarbeitern und Mitarbeiterinnen sowie externen Benutzern und Benutzerinnen Zugriff auf Apps und Ressourcen, die in ihren Zugriffspaketen enthalten sind. Das Unternehmen Contoso überprüft Anmeldeinformationen und gewährt Zugriffspakete, ohne dass manuelle Genehmigungen oder Bereitstellungen erforderlich sind.

Contoso verwendet Microsoft Entra ID Protection und bedingten Zugriff, um Konten zu überwachen und vor riskanten Anmeldungen und riskantem Benutzerverhalten zu schützen. Das Unternehmen erzwingt geeignete Zugriffssteuerungsmaßnahmen basierend auf Standort, Gerät und Risikostufe.

Konfigurieren der Voraussetzungen

Um die Lösung erfolgreich bereitstellen und testen zu können, konfigurieren Sie die Voraussetzungen, die in diesem Abschnitt beschrieben werden.

Konfigurieren von Microsoft Entra Verified ID

Führen Sie für dieses Szenario die folgenden erforderlichen Schritte aus, um Microsoft Entra Verified ID mit Express-Setup (Vorschau) zu konfigurieren:

  1. Registrieren Sie eine benutzerdefinierte Domäne (erforderlich für die Schnelleinrichtung), indem Sie die Schritte im Artikel "Benutzerdefinierte Domäne hinzufügen " ausführen.

  2. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.

    • Wählen Sie "Überprüfte ID" aus.
    • Wählen Sie "Setup" aus.
    • Wählen Sie "Erste Schritte" aus.

  3. Wenn Sie mehrere Domänen für Ihren Microsoft Entra-Mandanten registriert haben, wählen Sie die Domäne aus, die Sie für Verified ID verwenden möchten.

  4. Nach Abschluss des Setupvorgangs wird auf der Seite "Mein Konto" ein Standardanmeldeinformation für den Arbeitsplatz angezeigt, die zur Bearbeitung und zum Anbieten an Mitarbeiter Ihres Mandanten verfügbar ist.

    Screenshot der verifizierten ID, Übersicht.

  5. Melden Sie sich mit ihren Microsoft Entra-Anmeldeinformationen beim Konto des Testbenutzers an. Wählen Sie "Meine überprüfte ID abrufen" aus, um eine überprüfte Arbeitsplatzberechtigung auszustellen.

    Screenshot von

Hinzufügen einer vertrauenswürdigen externen Organisation (B2B)

Führen Sie diese erforderlichen Schritte aus, um dem Szenario eine vertrauenswürdige externe Organisation (B2B) hinzuzufügen.

  1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Externe Identitäten>zur Mandantenübergreifenden Zugriffseinstellungen. Wählen Sie "Organisationseinstellungen" aus.

  3. Wählen Sie "Organisation hinzufügen" aus.

  4. Geben Sie den vollständigen Domänennamen (oder die Mandanten-ID) der Organisation ein.

  5. Wählen Sie die Organisation in den Suchergebnissen aus. Wählen Sie "Hinzufügen" aus.

  6. Bestätigen Sie die neue Organisation (die ihre Zugriffseinstellungen von den Standardeinstellungen erbt) in den Organisationseinstellungen.

    Screenshot der Organisationseinstellungen mit roten Feldern, die

Erstellen eines Katalogs

Führen Sie die folgenden Schritte aus, um einen Berechtigungsverwaltungskatalog für das Szenario zu erstellen.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Identitätsgovernance-Administrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.

  3. Wählen Sie +Neuer Katalog aus.

    Screenshot der Überprüfung des neuen Zugriffs, Unternehmensanwendungen, Alle Anwendungen, Identity Governance, Neuer Katalog.

  4. Geben Sie einen eindeutigen Namen und eine Beschreibung für den Katalog ein. Anforderer sehen diese Informationen in den Details eines Zugriffspakets.

  5. Um Zugriffspakete in diesem Katalog nur für interne Benutzer zu erstellen, wählen Sie Für externe Benutzer aktiviert>Nein.

    Screenshot des neuen Katalogs mit

  6. Öffnen Sie im Katalog den Katalog, dem Sie Ressourcen hinzufügen möchten. Wählen Sie "Ressourcen>" und "Ressourcen hinzufügen" aus.

  7. Wählen Sie "Typ"und dann "Gruppen" und "Teams", "Anwendungen" oder "SharePoint-Websites" aus.

  8. Wählen Sie eine oder mehrere Ressourcen des Typs aus, die Sie dem Katalog hinzufügen möchten. Wählen Sie "Hinzufügen" aus.

Zugriffspakete erstellen

Konfigurieren Sie die in diesem Abschnitt beschriebenen Zugriffspakete, um die Lösung erfolgreich bereitstellen und teste zu können.

Zugriffspaket für Remotebenutzer und -benutzerinnen (intern)

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung mit Verified ID ein Zugriffspaket für (interne) Remotebenutzer und -benutzerinnen zu erstellen.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Identitätsgovernance-Administrator an.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie "Neues Zugriffspaket" aus.

  4. Geben Sie für "Grundlagen" dem Zugriffspaket einen Namen (z. B. Finanz-Apps für Remotebenutzer). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen einen Ressourcentyp aus (z. B. Gruppen und Teams, Anwendungen, SharePoint-Websites). Wählen Sie eine oder mehrere Ressourcen aus.

  6. Wählen Sie in "Rolle" die Rolle aus, der Benutzer für jede Ressource zugewiesen werden sollen.

    Screenshot der Rollen

  7. Wählen Sie für Anforderungendie Option "Für Benutzer in Ihrem Verzeichnis" aus.

  8. Wählen Sie unter "Benutzer und Gruppen auswählen" die Option "Für Benutzer" in Ihrem Verzeichnis aus. Wählen Sie +Benutzer und Gruppen hinzufügen. Wählen Sie eine vorhandene Gruppe aus, die berechtigt ist, das Zugriffspaket anzufordern.

  9. Scrollen Sie zu den erforderlichen überprüften IDs.

  10. Wählen Sie +Aussteller hinzufügen. Wählen Sie einen Aussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Stellen Sie sicher, dass Sie einen Aussteller aus einer vorhandenen überprüften Identität in der Gastbrieftasche auswählen.

  11. Wahlfrei: Geben Sie in "Genehmigung" an, ob Benutzer eine Genehmigung benötigen, wenn sie das Zugriffspaket anfordern.

  12. Wahlfrei: Wählen Sie unter "Anfordererinformationen" die Option "Fragen" aus. Geben Sie eine Frage (die sogenannte Anzeigezeichenfolge) ein, die Sie den Anfordernden stellen möchten. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie "Lokalisierung hinzufügen" aus.

  13. Geben Sie für den Lebenszyklus an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie für "Ablauf" den Ablauf von "Access-Paketzuweisungen" auf "Am Datum", "Anzahl der Tage", "Anzahl der Stunden" oder "Nie" fest.

  14. Wählen Sie in Access-Rezensionen"Ja" aus.

  15. Wählen Sie in "Start" das aktuelle Datum aus. Legen Sie die Überprüfungshäufigkeit auf vierteljährlich fest. Legen Sie die Dauer (in Tagen) auf 21 fest.

Zugriffspaket für Gäste (B2B)

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung mit Verified ID ein Zugriffspaket für Gäste (B2B) zu erstellen.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Identitätsgovernance-Administrator an.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie "Neues Zugriffspaket" aus.

  4. Geben Sie für "Grundlagen" dem Zugriffspaket einen Namen (z. B. Finanz-Apps für Remotebenutzer). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen einen Ressourcentyp aus (z. B. Gruppen und Teams, Anwendungen, SharePoint-Websites). Wählen Sie eine oder mehrere Ressourcen aus.

  6. Wählen Sie in "Rolle" die Rolle aus, der Benutzer für jede Ressource zugewiesen werden sollen.

    Screenshot der Rollen

  7. Wählen Sie für Anforderungendie Option Für Benutzer aus, die sich nicht in Ihrem Verzeichnis befinden.

  8. Wählen Sie "Bestimmte verbundene Organisationen" aus. Um aus einer Liste der verbundenen Organisationen auszuwählen, die Sie zuvor hinzugefügt haben, wählen Sie "Verzeichnis hinzufügen" aus.

  9. Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.

  10. Scrollen Sie zu den erforderlichen überprüften IDs.

  11. Wählen Sie +Aussteller hinzufügen. Wählen Sie einen Aussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Stellen Sie sicher, dass Sie einen Aussteller aus einer vorhandenen überprüften Identität in der Gastbrieftasche auswählen.

  12. Wahlfrei: Geben Sie in "Genehmigung" an, ob Benutzer eine Genehmigung benötigen, wenn sie das Zugriffspaket anfordern.

  13. Wahlfrei: Wählen Sie unter "Anfordererinformationen" die Option "Fragen" aus. Geben Sie eine Frage (die sogenannte Anzeigezeichenfolge) ein, die Sie den Anfordernden stellen möchten. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie "Lokalisierung hinzufügen" aus.

  14. Geben Sie für den Lebenszyklus an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie für "Ablauf" den Ablauf von Access-Paketzuweisungen auf "Am Datum", "Anzahl der Tage", "Anzahl der Stunden" oder "Nie" fest.

  15. Wählen Sie in Access-Rezensionen"Ja" aus.

  16. Wählen Sie in "Start" das aktuelle Datum aus. Legen Sie die Überprüfungshäufigkeit auf vierteljährlich fest. Legen Sie die Dauer (in Tagen) auf 21 fest.

  17. Wählen Sie Bestimmte Gutachter aus. Wählen Sie "Selbstüberprüfung" aus.

    Screenshot des Neuen Zugriffspakets.

Erstellen einer Richtlinie für bedingten Zugriff auf Basis des Anmelderisikos

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie "Neue Richtlinie" aus.

  4. Geben Sie einen Richtliniennamen ein, z. B. "Anwendungen schützen" für Remotebenutzer mit hohem Risiko.

  5. Wählen Sie für Aufgabendie Option "Benutzer" aus.

    1. Wählen Sie für "Einschließen" eine Remotebenutzergruppe aus, oder wählen Sie alle Benutzer aus.
    2. Wählen Sie für "Ausschließen"die Option "Benutzer und Gruppen" aus. Wählen Sie die Konten für den Notfallzugriff Ihrer Organisation aus.
    3. Wählen Sie "Fertig" aus.

  6. Wählen Sie für Cloud-Apps oder -Aktionen>"Einschließen" die Anwendungen aus, die auf diese Richtlinie abzielen sollen.

  7. Stellen Sie für Bedingungen>Das AnmelderisikoaufJa ein. Für das Anmelderisikoniveau, auf das diese Richtlinie angewendet wird, auswählen, wählen Sie Hoch und Mittel.

    1. Wählen Sie "Fertig" aus.

  8. Für Zugriffssteuerungen>Gewährung.

    1. Wählen Sie "Zugriff gewähren"> und "Multifaktor-Authentifizierung erforderlich" aus.

  9. Wählen Sie für "Sitzung" die Anmeldehäufigkeit aus. Wählen Sie jedes Mal aus.

  10. Bestätigen Sie die Einstellungen. Wählen Sie "Richtlinie aktivieren" aus.

    Screenshot der Richtlinien für bedingten Zugriff,

Anfordern eines Zugriffspakets

Nachdem Sie ein Zugriffspaket mit einer Anforderung "Überprüfte ID" konfiguriert haben, können Endbenutzer, die sich im Bereich der Richtlinie befinden, den Zugriff im My Access-Portal anfordern. Während genehmigende Personen die zu genehmigenden Anforderungen überprüfen, können sie die Ansprüche der Nachweise, die der Anforderer sendet, einsehen.

  1. Melden Sie sich als Remotebenutzer bzw. -benutzerin oder Gast bei myaccess.microsoft.com an.

  2. Suchen Sie nach dem zuvor erstellten Zugriffspaket (z. B. Finanz-Apps für Remotebenutzer). Sie können die aufgelisteten Pakete durchsuchen oder die Suchleiste verwenden. Wählen Sie "Anforderung" aus.

  3. Das System zeigt ein Informationsbanner mit einer Meldung an, wie zum Beispiel „Um Zugriff auf dieses Zugriffspaket zu beantragen, müssen Sie Ihre nachweisbaren Anmeldeinformationen vorlegen“. Wählen Sie "Zugriff anfordern" aus. Um Microsoft Authenticator zu starten, scannen Sie den QR-Code mit Ihrem Smartphone. Geben Sie Ihre Anmeldeinformationen an.

    Screenshot von Meine Zugriffe, Verfügbar, Zugriffspakete, Überprüfter Ausweis, QR-Code.

  4. Nachdem Sie Ihre Anmeldeinformationen freigegeben haben, fahren Sie mit dem Genehmigungsworkflow fort.

  5. Wahlfrei: Folgen Sie den Anweisungen zum Simulieren von Risikoerkennungen in Microsoft Entra ID Protection.Follow the Simulating risk detections in Microsoft Entra ID Protection instructions. Möglicherweise müssen Sie mehrmals versuchen, das Benutzerrisiko auf „Mittel“ oder „Hoch“ zu erhöhen.

  6. Versuchen Sie, auf die Anwendung zuzugreifen, die Sie zuvor für das Szenario erstellt haben, um sich zu vergewissern, dass der Zugriff blockiert wird. Möglicherweise müssen Sie bis zu einer Stunde auf das Erzwingen der Blockierung warten.

  7. Überprüfen Sie anhand der Anmeldeprotokolle, ob die Richtlinie für bedingten Zugriff (die Sie zuvor erstellt haben) den Zugriff blockiert. Öffnen Sie nicht-interaktive Anmeldeprotokolle von der Anwendung ZTNA Network Access Client – Private. Zeigen Sie Protokolle der Private Access-Anwendung an, die Sie zuvor als Ressourcennamen erstellt haben.

Zugehöriger Inhalt