Durchführen einer Zugriffsüberprüfung für Gruppen und Anwendungen in Zugriffsüberprüfungen
Als Administrator erstellen Sie eine Zugriffsüberprüfung für Gruppen oder Anwendungen, und Prüfer führen dann die Zugriffsüberprüfung durch. In diesem Artikel wird beschrieben, wie Sie die Ergebnisse der Zugriffsüberprüfung anzeigen und anwenden.
Hinweis
Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.
- Microsoft Entra ID P2 oder Microsoft Entra ID Governance
- Die Rolle des globalen Administrators, Benutzeradministrators oder Identity Governance-Administrators wird benötigt, um den Zugriff auf Überprüfungen für Gruppen und Anwendungen zu verwalten. Benutzer, die über die Rolle „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ verfügen, können Rezensionen von rollenzuweisungsfähigen Gruppen verwalten. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen.
- Sicherheitsleseberechtigte haben Lesezugriff.
Weitere Informationen finden Sie unter Lizenzanforderungen.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Führen Sie die folgenden Schritte aus, um den Fortschritt von Zugriffsüberprüfungen nachzuverfolgen, sobald sie abgeschlossen sind.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Zugriffsüberprüfungen.
Wählen Sie in der Liste eine Zugriffsüberprüfung aus.
Auf der Seite Übersicht können Sie den Status der aktuellen Instanz der Überprüfung verfolgen. Wenn zu diesem Zeitpunkt keine aktive Instanz geöffnet ist, werden Informationen zur vorherigen Instanz angezeigt. Zugriffsrechte werden im Verzeichnis erst geändert, wenn die Überprüfung abgeschlossen ist.
Alle Blätter unter Aktuell sind nur während der Dauer der jeweiligen Überprüfungsinstanz einsehbar.
Hinweis
Während die aktuelle Zugriffsüberprüfung nur Informationen zur aktiven Überprüfungsinstanz enthält, können Sie im Abschnitt Geplante Überprüfung Informationen zu Überprüfungen erhalten, die noch in der Reihe stattfinden werden.
Die Seite „Ergebnisse“ bietet weitere Informationen zu allen Benutzer*innen, die in der Instanz überprüft werden, einschließlich der Möglichkeit, Ergebnisse zu beenden, zurückzusetzen und herunterzuladen.
Wenn Sie eine Zugriffsüberprüfung für den Gastzugriff für Microsoft 365-Gruppen anzeigen, werden im Bereich „Übersicht“ alle Gruppen in der Überprüfung aufgelistet.
Wähle Sie eine Gruppe aus, um den Fortschritt der Überprüfung für diese Gruppe anzuzeigen. Es gibt auch die Möglichkeit zum Beenden, Zurücksetzen, Anwenden und Löschen.
Klicken Sie auf die Schaltfläche Beenden, wenn Sie eine Zugriffsüberprüfung beenden möchten, bevor dafür das geplante Enddatum erreicht wird.
Nachdem Sie eine Überprüfung beendet haben, können Prüfer dafür keine Antworten mehr abgeben. Eine Überprüfung kann nicht neu gestartet werden, nachdem sie beendet wurde.
Wenn Sie die Zugriffsüberprüfung nicht mehr benötigen, können Sie sie löschen, indem Sie auf die Schaltfläche Löschen klicken.
So zeigen Sie den Status und die aktuelle Phase einer mehrstufigen Zugriffsüberprüfung an
Wählen Sie die mehrstufige Überprüfung aus, deren Status Sie überprüfen bzw. für die Sie die aktuelle Phase anzeigen möchten.
Wählen Sie im linken Navigationsmenü unter Aktuell die Option Ergebnisse aus.
Sobald Sie sich auf der Ergebnisseite befinden, wird Ihnen unter Status angezeigt, in welcher Phase sich die mehrstufige Überprüfung befindet. Die nächste Phase der Überprüfung wird erst aktiv, wenn die während der Einrichtung der Zugriffsüberprüfung angegebene Zeitspanne abläuft.
Wenn eine Entscheidung getroffen wird, die Überprüfungsdauer für diese Phase aber noch nicht abgelaufen ist, können Sie auf der Ergebnisseite die Schaltfläche Aktuelle Phase beenden auswählen. Dadurch wird die nächste Überprüfungsphase ausgelöst.
Wählen Sie die Seite Ergebnisse aus, um die Ergebnisse für eine Überprüfung anzuzeigen. Geben Sie im Suchfeld den Anzeigenamen oder Benutzerprinzipalnamen eines Benutzers ein, dessen Zugriff überprüft wurde, um nur den Zugriff dieses Benutzers anzuzeigen.
Klicken Sie zum Anzeigen der Ergebnisse einer abgeschlossenen Instanz einer Serienzugriffsüberprüfung auf Ausführungsverlauf. Wählen Sie anschließend basierend auf dem Start- und Enddatum der Instanz die spezifische Instanz in der Liste der abgeschlossenen Zugriffsüberprüfungsinstanzen aus. Die Ergebnisse dieser Instanz können auf der Seite Ergebnisse abgerufen werden. Durch wiederholte Zugriffsüberprüfungen erhalten Sie einen konstanten Überblick über den Zugriff auf Ressourcen, die möglicherweise häufiger als einmalige Zugriffsüberprüfungen aktualisiert werden müssen.
Klicken Sie auf die Schaltfläche Herunterladen, um die Ergebnisse einer Zugriffsüberprüfung abrufen möchten, egal ob diese abgeschlossen ist oder gerade ausgeführt wird. Die CSV-Datei mit den Ergebnissen kann in Excel oder in anderen Programmen angezeigt werden, die mit UTF-8 codierte CSV-Dateien öffnen können.
Die Ergebnisse einer Zugriffsüberprüfung können Sie auch mit Microsoft Graph oder PowerShell abrufen.
Zuerst müssen Sie die Instanz der Zugriffsüberprüfung suchen. Handelt es sich bei accessReviewScheduleDefinition um eine wiederkehrende Zugriffsüberprüfung, stellen die Instanzen jeweils eine erneute Überprüfung dar. Eine Überprüfung, die nicht wiederholt wird, hat genau eine Instanz. Zudem stellen Instanzen jeweils eine eindeutige Gruppe dar, die im Rahmen der Zeitplandefinition überprüft wird. Wenn eine Zeitplandefinition mehrere Gruppen überprüft, verfügt jede Gruppe über eine eindeutige Instanz für jede Serie. Jede Instanz enthält eine Liste von Entscheidungen, auf deren Grundlage die Prüfer*innen Maßnahmen ergreifen können, wobei eine Entscheidung pro Identität überprüft wird.
Nachdem Sie die Instanz identifiziert haben, rufen Sie zum Abrufen der Entscheidungen mithilfe von Graph die Graph-API auf, um Entscheidungen aus einer Instanz aufzulisten. Wenn es sich bei der Instanz um eine mehrstufige Überprüfung handelt, rufen Sie die Graph-API auf, um Entscheidungen aus einer mehrstufigen Zugriffsüberprüfung aufzulisten. Der Aufrufende muss entweder ein Benutzer oder eine Benutzerin in einer geeigneten Rolle mit einer Anwendung sein, die über die delegierte Berechtigung AccessReview.Read.All
oder AccessReview.ReadWrite.All
verfügt, oder eine Anwendung mit der Anwendungsberechtigung AccessReview.Read.All
oder AccessReview.ReadWrite.All
. Weitere Informationen finden Sie im Tutorial zum Überprüfen einer Sicherheitsgruppe.
Außerdem können Sie die Entscheidungen mit dem Cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
aus dem Modul PowerShell-Cmdlets für Identity Governance von Microsoft Graph in PowerShell abrufen. Die Standardseitengröße dieser API beträgt 100 Entscheidungselemente.
Wenn Ergebnisse automatisch auf Ressource anwenden basierend auf Ihrer Auswahl unter Einstellungen nach Abschluss aktiviert wird, wird die automatische Anwendung durchgeführt, nachdem eine Überprüfungsinstanz abgeschlossen ist oder wenn Sie die Überprüfung manuell beenden.
Wenn Ergebnisse automatisch auf Ressource anwenden für die Überprüfung nicht aktiviert wurde, navigieren Sie unter Serien zu Überprüfungsverlauf, nachdem die Überprüfungsdauer endet oder die Überprüfung vorzeitig beendet wurde. Wählen Sie die Instanz der Überprüfung aus, die Sie anwenden möchten.
Klicken Sie auf Übernehmen, um die Änderungen manuell zu übernehmen. Wenn der Zugriff eines Benutzers in der Überprüfung verweigert wurde, entfernt Microsoft Entra ID dessen Mitgliedschaft oder Anwendungszuweisung, nachdem Sie auf Anwenden geklickt haben.
Der Status der Überprüfung ändert sich von Abgeschlossen über Zwischenzustände wie Wird angewandt schließlich in den Status Ergebnis angewendet. Erwartungsgemäß sollten abgelehnte Benutzer (sofern vorhanden) innerhalb weniger Minuten aus der Gruppenmitgliedschaft oder Anwendungszuweisung entfernt werden.
Das manuelle oder automatische Übernehmen von Ergebnissen hat keine Auswirkung auf eine Gruppe, die aus einem lokalen Verzeichnis stammt. Wenn Sie eine Gruppe ändern möchten, die aus einem lokalen Verzeichnis stammt, laden Sie die Ergebnisse herunter, und wenden Sie diese Änderungen auf die Darstellung der Gruppe im Verzeichnis an.
Hinweis
Auf einige abgelehnte Benutzer*innen können keine Ergebnisse angewendet werden. Zu den Szenarios, in denen dies passieren kann, gehören:
- Überprüfen von Mitgliedern einer synchronisierten lokalen Windows Server AD-Gruppe: Wenn die Gruppe von einem lokalen Windows Server AD synchronisiert wird, kann die Gruppe nicht in Microsoft Entra ID verwaltet werden. Daher kann die Mitgliedschaft nicht geändert werden.
- Überprüfen einer Ressource (Rolle, Gruppe, Anwendung) mit zugewiesenen geschachtelten Gruppen: Für Benutzer*innen, die über eine Mitgliedschaft durch eine geschachtelte Gruppe verfügen, wird die Mitgliedschaft in der geschachtelten Gruppe nicht entfernt, und daher behalten sie den Zugriff auf die Ressource, die überprüft wird.
- „Benutzer nicht gefunden“ oder andere Fehler können auch dazu führen, dass ein Anwenden des Ergebnisses nicht unterstützt wird.
- Überprüfen der Mitglieder der E-Mail-aktivierten Gruppe: Die Gruppe kann nicht in der Microsoft Entra-ID verwaltet werden, sodass die Mitgliedschaft nicht geändert werden kann.
- Wenn Sie eine Anwendung überprüfen, die eine Gruppenzuweisung verwendet, werden die Mitglieder dieser Gruppen nicht entfernt, so dass sie den bestehenden Zugriff aus der Gruppenbeziehung für die Anwendungszuweisung beibehalten.
Bei der Erstellung der Überprüfung kann der Ersteller zwischen zwei Optionen für abgelehnte Gastbenutzer*innen in einer Zugriffsüberprüfung auswählen.
- Der Zugriff abgelehnter Gastbenutzer*innen auf die Ressource kann entfernt werden. Dies ist die Standardeinstellung.
- Abgelehnte Gastbenutzer*innen können für 30 Tage an der Anmeldung gehindert und dann von dem Mandanten gelöscht werden. Während des Zeitraums von 30 Tagen kann den Gastbenutzer*innen der Zugriff auf den Mandanten durch Administrator*innen wieder gewährt werden. Wenn den Gastbenutzer nach Abschluss der 30 Tage nicht wieder Zugriff auf die Ressource gewährt wurde, werden sie dauerhaft von dem Mandanten entfernt. Darüber hinaus kann ein globaler Administrator über das Microsoft Entra Admin Center explizit einen kürzlich gelöschten Benutzer endgültig löschen, bevor dieser Zeitraum abgelaufen ist. Wenn ein Benutzer endgültig gelöscht wird, werden dessen Daten aus aktiven Zugriffsüberprüfungen entfernt. Überwachungsinformationen zu gelöschten Benutzern verbleiben im Überwachungsprotokoll.
Abgelehnte Benutzer und Teams mit direkter B2B-Verbindung verlieren den Zugriff auf alle freigegebenen Kanäle im Team.