Erstellen und Verwalten eines Ressourcenkatalogs in der Berechtigungsverwaltung

In diesem Artikel wird beschrieben, wie Sie in der Berechtigungsverwaltung einen Katalog mit Ressourcen und Zugriffspaketen erstellen und verwalten.

Erstellen eines Katalogs

Ein Katalog ist ein Container für Ressourcen und Zugriffspakete. Sie erstellen einen Katalog, wenn Sie zugehörige Ressourcen und Zugriffspakete gruppieren möchten. Ein Administrator kann einen Katalog erstellen. Ein Benutzer, an den die Rolle Katalogersteller delegiert wurde, kann zudem einen Katalog für Ressourcen in seinem Besitz erstellen. Ein Nicht-Administrator, der den Katalog erstellt, ist der erste Katalogbesitzer. Ein Katalogbesitzer kann weitere Benutzer, Benutzergruppen oder Anwendungsdienstprinzipale als Katalogbesitzer hinzufügen.

Erstellen eines Katalogs:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

   Tipp

   Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller. Benutzer*innen mit der zugewiesenen Rolle „Benutzeradministrator*in“ können keine Kataloge mehr erstellen oder Zugriffspakete in einem Katalog verwalten, den sie nicht besitzen. Wenn Benutzer*innen Ihrer Organisation die Rolle „Benutzeradministrator*in“ zugewiesen wurde, um Kataloge, Zugriffspakete oder Richtlinien in der Berechtigungsverwaltung zu konfigurieren, sollten Sie diesen Benutzer*innen stattdessen die Rolle „Identity Governance-Administrator*in“ zuweisen.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

   

3. Klicken Sie auf Neuer Katalog.

4. Geben Sie einen eindeutigen Namen sowie eine Beschreibung für den Katalog ein.

   Benutzern werden diese Informationen in den Details eines Zugriffspakets angezeigt.

5. Wenn Sie möchten, dass die Zugriffspakete in diesem Katalog unmittelbar nach der Erstellung von Benutzer*innen angefordert werden können, legen Sie Aktiviert auf Ja fest.

6. Wenn Sie zulassen möchten, dass Benutzer*innen aus externen Organisationen Zugriffspakete in diesem Katalog anfordern können, legen Sie Für externe Benutzer aktiviert auf Ja fest. Die Zugriffspakete müssen auch über eine Richtlinie verfügen, die Benutzer*innen aus verbundenen Organisationen das Anfordern ermöglicht. Wenn die Zugriffspakete in diesem Katalog nur für Benutzer*innen bestimmt sind, die sich bereits im Verzeichnis befinden, legen Sie Aktiviert für externe Benutzer auf Nein fest.

   

7. Klicken Sie auf Erstellen, um den Katalog zu erstellen.

Programmgesteuertes Erstellen eines Katalogs

Es gibt zwei Möglichkeiten, einen Katalog programmgesteuert zu erstellen.

Erstellen eines Katalogs mit Microsoft Graph

Sie können mithilfe von Microsoft Graph einen Katalog erstellen. Ein Benutzer in einer passenden Rolle mit einer Anwendung mit der delegierten Berechtigung EntitlementManagement.ReadWrite.All oder einer Anwendung mit der EntitlementManagement.ReadWrite.All Anwendungsberechtigung kann die API aufrufen, um einen Katalog zu erstellen.

Erstellen eines Katalogs mit PowerShell

Sie können in PowerShell auch mit dem Cmdlet New-MgEntitlementManagementCatalog, das in den PowerShell-Cmdlets für Identity Governance von Microsoft Graph (ab Modulversion 2.2.0) enthalten ist, einen Katalog erstellen.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Hinzufügen von Ressourcen zu einem Katalog

Um Ressourcen in ein Zugriffspaket einschließen zu können, müssen die Ressourcen in einem Katalog vorhanden sein. Bei den Typen von Ressourcen, die Sie einem Katalog hinzufügen können, handelt es sich um Gruppen, Anwendungen und SharePoint Online-Websites.

• Die Gruppen können in der Cloud erstellte Microsoft 365-Gruppen oder in der Cloud erstellte Microsoft Entra-Sicherheitsgruppen sein.

  • Gruppen, die aus einer lokalen Active Directory-Instanz stammen, können nicht als Ressourcen zugewiesen werden, da ihre Besitzer- oder Mitgliedsattribute in Microsoft Entra ID nicht geändert werden können. Um Benutzer*innen Zugriff auf eine Anwendung zu gewähren, die AD-Sicherheitsgruppenmitgliedschaften verwendet, erstellen Sie eine neue Sicherheitsgruppe in Microsoft Entra ID, konfigurieren Sie Gruppenrückschreiben in AD, und aktivieren Sie das Schreiben dieser Gruppe in AD, damit die von der Cloud erstellte Gruppe von einer AD-basierten Anwendung verwendet werden kann.

  • Gruppen, die ursprünglich als Verteilergruppen in Exchange Online vorlagen, können in Microsoft Entra ID ebenfalls nicht geändert und daher keinen Katalogen hinzugefügt werden.

• Anwendungen können Microsoft Entra-Unternehmens-Apps sein, die sowohl Software-as-a-Service-Apps (SaaS-Apps), lokale Apps als auch Ihre eigenen in Microsoft Entra ID integrierten Apps beinhalten.

  • Wenn Ihre Anwendung noch nicht in Microsoft Entra ID integriert wurde, finden Sie weitere Informationen unter Steuern des Zugriffs für Anwendungen in Ihrer Umgebung und Integrieren einer Anwendung in Microsoft Entra ID. Fügen Sie zudem die Anwendung zu Ihrem Verzeichnis hinzu, bevor Sie sie dem Katalog hinzufügen.

  • Weitere Informationen zum Auswählen geeigneter Ressourcen für Anwendungen mit mehreren Rollen finden Sie unter So bestimmen Sie, welche Ressourcenrollen in ein Zugangspaket aufgenommen werden sollen.

• Websites können SharePoint Online-Websites oder SharePoint Online-Websitesammlungen sein.

Hinweis

Durchsuchen Sie die SharePoint Website anhand des Websitenamens oder einer genauen URL, da im Suchfeld die Groß-/Kleinschreibung beachtet wird.

Erforderliche Rollen: Weitere Informationen finden Sie unter Erforderliche Rollen, um einem Katalog Ressourcen hinzuzufügen.

Ressourcen zu einem Katalog hinzufügen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

3. Öffnen Sie auf der Seite Kataloge den Katalog, dem Sie Ressourcen hinzufügen möchten.

4. Klicken Sie im linken Menü auf die Option Ressourcen.

5. Wählen Sie Ressourcen hinzufügen aus.

6. Klicken Sie auf den Ressourcentyp Gruppen und Teams, Apps oder SharePoint-Websites.

   Wenn eine Ressource, die Sie hinzufügen möchten, nicht angezeigt wird, oder wenn Sie eine Ressource nicht hinzufügen können, stellen Sie sicher, dass Sie die erforderliche Verzeichnisrolle und Berechtigungsverwaltungsrolle und Microsoft Entra haben. Möglicherweise müssen Sie jemanden mit den erforderlichen Rollen beauftragen, die Ressource Ihrem Katalog hinzuzufügen. Weitere Informationen finden Sie unter Erforderliche Rollen, um einem Katalog Ressourcen hinzuzufügen.

7. Wählen Sie eine oder mehrere Ressourcen des Typs aus, die Sie dem Katalog hinzufügen möchten.

   

8. Wenn Sie fertig sind, klicken Sie auf OK.

   Diese Ressourcen können jetzt in Zugriffspakete im Katalog aufgenommen werden.

Hinzufügen von Ressourcenattributen im Katalog

Attribute sind Pflichtfelder, die anfordernde Personen beantworten müssen, bevor sie ihre Zugriffsanforderung übermitteln. Die Antworten zu diesen Attribute werden genehmigenden Personen angezeigt und auch dem Benutzerobjekt in Microsoft Entra ID hinzugefügt.

Hinweis

Alle für eine Ressource eingerichteten Attribute müssen beantwortet werden, bevor eine Anforderung für ein Zugriffspaket mit dieser Ressource übermittelt werden kann. Wenn anfordernde Personen nicht antworten, wird ihre Anforderung nicht verarbeitet.

Attribute für Zugriffsanforderungen anfordern:

1. Klicken Sie im linken Menü auf Ressourcen, und eine Liste der Ressourcen im Katalog wird angezeigt.

2. Klicken Sie auf die Auslassungspunkte neben der Ressource, der Sie Attribute hinzufügen möchten, und klicken Sie dann auf Attribute anfordern.

   

3. Auswählen des Attributtyps:

   1. Integriert umfasst Microsoft Entra-Benutzerprofilattribute.
   2. Verzeichnisschemaerweiterung bietet eine Möglichkeit, weitere Daten in Microsoft Entra-Benutzenden zu speichern. Sie können das Schema erweitern, indem Sie ein Erweiterungsattribut erstellen. Diese Erweiterungsattribute für Benutzerobjekte können verwendet werden, um während der Bereitstellung oder der einmaligen Anmeldung Ansprüche an Anwendungen zu senden.

4. Wenn Sie Integrierte Attribute ausgewählt haben, wählen Sie ein Attribut aus der Dropdownliste aus. Wenn Sie Directory-Schemaerweiterung ausgewählt haben, geben Sie den Attributnamen in das Textfeld ein.

   Hinweis

   Das „User.mobilePhone“-Attribut ist eine vertrauliche Eigenschaft, die nur von einigen Administratoren aktualisiert werden kann. Unter Wer kann vertrauliche Attribute aktualisieren? finden Sie weitere Informationen.

5. Wählen Sie das Antwortformat aus, das anfordernde Personen verwenden sollen. Mögliche Antwortformate: kurzer Text, Mehrfachauswahl und langer Text.

6. Wenn Sie Mehrfachauswahl auswählen, klicken Sie auf die Schaltfläche Bearbeiten und lokalisieren, um die Antwortoptionen zu konfigurieren.

   1. Geben Sie im Bereich Frage anzeigen/bearbeiten die Antwortoptionen ein, die sie den anfordernden Personen geben möchten, wenn sie die Frage in den Feldern Antwortwerte beantworten.
   2. Wählen Sie die Sprache für die Antwortoption aus. Sie können Antwortoptionen lokalisieren, wenn Sie mehrere Sprachen auswählen.
   3. Geben Sie beliebig viele Antworten ein, und klicken Sie dann auf Speichern.

7. Wenn Sie möchten, dass der Attributwert bei direkten Zuweisungen und Self-Service-Anforderungen bearbeitet werden kann, klicken Sie auf Ja.

   Hinweis

   

   • Wenn Sie im Feld Attribute value is editable (Attributwert kann bearbeitet werden) Nein auswählen und der Attributwert leer ist, können Benutzer*innen einen Attributwert eingeben. Der Wert kann nach dem Speichern nicht mehr bearbeitet werden.
   • Wenn Sie im Feld Attribute value is editable (Attributwert kann bearbeitet werden) Nein auswählen und der Attributwert nicht leer ist, können Benutzer*innen den bereits vorhandenen Wert bei direkten Zuweisungen und Self-Service-Anforderungen nicht bearbeiten.

   

8. Wenn Sie Lokalisierungen hinzufügen möchten, klicken Sie auf Add localization (Lokalisierung hinzufügen).

   1. Wählen Sie im Bereich Add localizations for question (Lokalisierungen für Frage hinzufügen) den Sprachcode für die Sprache aus, in die Sie die Frage lokalisieren.

   2. Geben Sie die Frage in der von Ihnen konfigurierten Sprache im Feld Localized Text (Lokalisierter Text) ein.

   3. Wenn Sie alle Lokalisierungen hinzugefügt haben, klicken Sie auf Speichern.

      

9. Wenn alle Attributinformationen auf der Seite Attribute anfordern vollständig sind, klicken Sie auf Speichern.

Hinzufügen einer SharePoint-Website mit mehreren geografischen Regionen

1. Wenn für SharePoint Multi-Geo aktiviert ist, wählen Sie die Umgebung aus, aus der Sie Websites beziehen möchten.

   

2. Wählen Sie dann die Websites aus, die Sie dem Katalog hinzufügen möchten.

Programmgesteuertes Hinzufügen einer Ressource zu einem Katalog

Sie können eine Ressource auch mithilfe von Microsoft Graph einem Katalog hinzufügen. Ein Benutzer in einer passenden Rolle oder ein Katalog- und Ressourcenbesitzer mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All-Berechtigung verfügt, kann die API aufrufen, um eine resourceRequest zu erstellen. Eine Anwendung mit der Anwendungsberechtigung EntitlementManagement.ReadWrite.All und den Berechtigungen zum Ändern von Ressourcen (etwa Group.ReadWrite.All), kann dem Katalog auch Ressourcen hinzufügen.

Hinzufügen einer Ressource zu einem Katalog mit PowerShell

Sie können eine Ressource auch in PowerShell mit dem Cmdlet New-MgEntitlementManagementResourceRequest aus dem Modul Microsoft Graph PowerShell Cmdlets for Identity Governance Version 2.1.x oder einer späteren Modulversion zu einem Katalog hinzufügen. Im folgenden Beispiel wird gezeigt, wie Sie mit dem Microsoft Graph PowerShell-Cmdlets-Modul Version 2.4.0 eine Gruppe als Ressource zu einem Katalog hinzufügen.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Entfernen von Ressourcen aus einem Katalog

Sie können Ressourcen aus einem Katalog entfernen. Eine Ressource kann nur aus einem Katalog entfernt werden, wenn sie nicht in einem der Zugriffspakete des Katalogs verwendet wird.

Erforderliche Rollen: Weitere Informationen finden Sie unter Erforderliche Rollen, um einem Katalog Ressourcen hinzuzufügen.

Ressourcen aus einem Katalog entfernen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

3. Öffnen Sie auf der Seite Kataloge den Katalog, aus dem Sie Ressourcen entfernen möchten.

4. Klicken Sie im linken Menü auf die Option Ressourcen.

5. Wählen Sie die Ressourcen aus, die Sie entfernen möchten.

6. Wählen Sie Entfernen. Klicken Sie optional auf die Auslassungspunkte ( ... ) und dann auf Ressource entfernen.

Katalogbesitzer*innen hinzufügen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Wenn Sie einen Katalog erstellen, werden Sie der oder die erste Katalogbesitzer*in. Wenn Sie die Verwaltung eines Katalogs delegieren möchten, fügen Sie der Rolle „Katalogbesitzer*in“ Benutzer*innen hinzu. Das Hinzufügen weiterer Katalogbesitzer*innen trägt dazu bei, die Zuständigkeiten der Katalogverwaltung zu teilen.

Benutzer*innen der Rolle „Katalogbesitzer*in“ zuweisen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

   Tipp

   Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

3. Öffnen Sie auf der Seite Kataloge den Katalog, dem Sie Administrator*innen hinzufügen möchten.

4. Klicken Sie im linken Menü auf Rollen und Administratoren.

   

5. Klicken Sie auf Besitzer hinzufügen, um die Mitglieder für diese Rollen auszuwählen.

6. Wählen Sie Auswählen, um diese Mitglieder hinzuzufügen.

Bearbeiten eines Katalogs

Sie können den Namen und die Beschreibung eines Katalogs bearbeiten. Benutzern werden diese Informationen in den Details eines Zugriffspakets angezeigt.

Katalog bearbeiten:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

   Tipp

   Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

3. Öffnen Sie auf der Seite Kataloge den Katalog, den Sie bearbeiten möchten.

4. Klicken Sie auf der Seite Übersicht des Katalogs auf Bearbeiten.

5. Bearbeiten Sie den Namen, die Beschreibung oder die aktivierten Einstellungen des Katalogs.

   

6. Wählen Sie Speichern aus.

Löschen eines Katalogs

Sie können einen Katalog nur löschen, wenn er keine Zugriffspakete enthält.

Katalog löschen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

   Tipp

   Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller.

2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

3. Öffnen Sie auf der Seite Kataloge den Katalog, den Sie löschen möchten.

4. Klicken Sie auf der Seite Übersicht des Katalogs auf Löschen.

5. Klicken Sie im angezeigten Meldungsfeld auf Ja.

Programmgesteuertes Löschen eines Katalogs

Sie können einen Katalog auch mithilfe von Microsoft Graph löschen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All-Berechtigung verfügt, kann die API aufrufen, um einen accessPackageCatalog zu löschen.

Nächste Schritte

Delegieren der Zugriffssteuerung an Zugriffspaket-Manager