Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID Governance ist eine Identitätsgovernancelösung, mit deren Hilfe Organisationen die Produktivität verbessern, die Sicherheit stärken und Compliance-Anforderungen und und regulatorische Anforderungen leichter erfüllen können. Sie können Microsoft Entra ID Governance verwenden, um automatisch sicherzustellen, dass die richtigen Personen über den richtigen Zugriff auf die richtigen Ressourcen verfügen. Dies wird durch die Automatisierung von Identitäts- und Zugriffsprozessen, die Delegierung an Geschäftsgruppen und eine erhöhte Sichtbarkeit erreicht. Mit den Funktionen in Microsoft Entra ID Governance und verwandten Microsoft-Produkten können Sie Identitäts- und Zugriffsrisiken minimieren, indem Sie den Zugriff auf wichtige Ressourcen schützen, überwachen und prüfen.
Insbesondere hilft Microsoft Entra ID Governance Organisationen bei der Bewältigung dieser vier Schlüsselfragen zum Zugriff auf Dienste und Anwendungen sowohl lokal als auch in Clouds:
- Welche Identitäten sollten Zugriff auf welche Ressourcen haben?
- Was tun diese Identitäten mit diesem Zugriff?
- Sind organisatorische Kontrollen zum Verwalten des Zugriffs vorhanden?
- Können Prüfer feststellen, ob die Kontrollen effektiv funktionieren?
Mit Microsoft Entra ID Governance können Sie die folgenden Szenarien für Mitarbeiter, Geschäftspartner und Anbieter implementieren:
- Steuern des Identitätslebenszyklus
- Steuern des Zugriffslebenszyklus
- Sichern des privilegierten Zugriffs für die Verwaltung
Identitätslebenszyklus
Identity Governance hilft Organisationen, ein Gleichgewicht herzustellen zwischen der Produktivität – wie schnell eine Person auf die benötigten Ressourcen zugreifen kann (beispielsweise, wenn sie der Organisation beitritt) – Und Sicherheit – Wie sollte sich ihr Zugang im Laufe der Zeit ändern, z. B. aufgrund von Änderungen des Beschäftigungsstatus der betreffenden Person? Identity Lifecycle Management ist die Grundlage für Identity Governance, und eine effektive Governance in großem Maßstab erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen.
Für viele Organisationen ist der Identitätslebenszyklus von Angestellten und anderen Arbeitnehmern an die Darstellung dieser Person in einem HCM- (Human Capital Management) oder HR-System gebunden. Organisationen müssen den Prozess der Erstellung einer Identität für einen neuen Mitarbeiter automatisieren, die auf einem Signal aus diesem System basiert, damit der Mitarbeiter vom ersten Tag an produktiv sein kann. Und Organisationen müssen sicherstellen, dass diese Identitäten und Zugriffe entfernt werden, wenn der Mitarbeiter die Organisation verlässt.
In Microsoft Entra ID Governance können Sie den Identitätslebenszyklus für diese Personen automatisieren, indem Sie Folgendes verwenden:
- Eingehende Bereitstellung aus den HR-Quellen Ihrer Organisation, einschließlich des Abrufens von Workday und SuccessFactors, um Benutzeridentitäten sowohl in Active Directory als auch in Microsoft Entra ID automatisch zu verwalten.
- Lebenszyklus-Workflows, um Workflow-Aufgaben zu automatisieren, die bei bestimmten Schlüsselereignissen ausgeführt werden, z. B. bevor ein neuer Mitarbeiter seine Arbeit in der Organisation aufnimmt, wenn er seinen Status während seiner Zeit in der Organisation ändert und wenn er die Organisation verlässt. Beispielsweise kann ein Workflow so konfiguriert werden, dass am ersten Tag gesendet eine E-Mail mit einem befristeten Zugriffspass an den Manager eines neuen Benutzers oder eine Willkommens-E-Mail an den Benutzer wird.
- Automatische Zuweisungsrichtlinien in der Berechtigungsverwaltung zum Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Website-Rollen eines Benutzers auf der Grundlage von Änderungen an den Benutzerattributen.
- Benutzerbereitstellung zum Erstellen, Aktualisieren und Entfernen von Benutzerkonten in anderen Anwendungen mit Connectors zu Hunderten von Cloud- und lokalen Anwendungen über SCIM, LDAP und SQL.
Organisationen benötigen auch zusätzliche Identitäten für Partner, Lieferanten und andere Gäste, damit diese zusammenarbeiten oder Zugang zu Ressourcen haben können.
In Microsoft Entra ID Governance können Sie Unternehmensgruppen die Möglichkeit geben, zu bestimmen, welche dieser Gäste Zugang haben sollen und wie lange. Dies erfolgt über:
- Berechtigungsverwaltung , in der Sie die anderen Organisationen angeben können, deren Identitäten den Zugriff auf die Ressourcen Ihrer Organisation anfordern dürfen. Wenn eine der Identitätsanforderungen genehmigt wird, werden sie automatisch von der Berechtigungsverwaltung als B2B-Gast zum Verzeichnis Ihrer Organisation hinzugefügt. Anschließend wird ihnen der entsprechende Zugriff zugewiesen. Die Berechtigungsverwaltung entfernt den B2B-Gastbenutzer automatisch aus dem Verzeichnis Ihrer Organisation, wenn seine Zugriffsrechte ablaufen oder widerrufen werden.
- Zugriffsüberprüfungen , die wiederkehrende Überprüfungen vorhandener Gäste automatisieren, die sich bereits im Verzeichnis Ihrer Organisation befinden, und entfernt diese Identitäten aus dem Verzeichnis Ihrer Organisation, wenn sie keinen Zugriff mehr benötigen.
Weitere Informationen finden Sie unter Steuern des Mitarbeiter- und Gastlebenszyklus.
Zugriffslebenszyklus
Organisationen benötigen einen Prozess, um den Zugriff über die anfänglich beim Erstellen der Identität eines Benutzers zugewiesenen Rechte hinaus zu verwalten. Zudem müssen Unternehmensorganisationen in der Lage sein, ihre Systeme effizient zu skalieren, damit sie Zugriffsrichtlinien und -kontrollen kontinuierlich entwickeln und erzwingen können.
Mit Microsoft Entra ID Governance können IT-Abteilungen festlegen, welche Zugriffsberechtigungen den Identitäten für verschiedene Ressourcen zugeordnet werden sollen. Sie können auch notwendige Erzwingungskontrollen ermitteln, wie etwa die Trennung von Aufgaben oder die Entfernung des Zugangs bei Aufgabenwechsel, wenn diese erforderlich sind. Microsoft Entra ID verfügt über Connectors zu Hunderten von Cloudanwendungen und lokalen Anwendungen. Sie können die anderen Apps Ihrer Organisation integrieren, die auf AD-Gruppen, anderen lokalen Verzeichnisdiensten oder Datenbanken beruhen, die über eine SOAP- oder REST-API verfügen und zu denen SAPgehört, oder die Standards wie SCIM, SAML oder OpenID Connect implementieren. Wenn ein Benutzer versucht, sich bei einer dieser Anwendungen anzumelden, erzwingt Microsoft Entra ID Richtlinien für bedingten Zugriff. Richtlinien für bedingten Zugriff können beispielsweise beinhalten, dass Nutzungsbedingungen angezeigt werden und der Benutzer diesen Bedingungen zustimmen muss, bevor er auf eine Anwendung zugreifen kann. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Anwendungen in Ihrer Umgebung, einschließlich Definieren von Organisationsrichtlinien für den Zugriff auf Anwendungen, Integration von Anwendungenund Bereitstellen von Richtlinien.
Zugriffsänderungen in Apps und Gruppen können basierend auf Attributänderungen automatisiert werden. Microsoft Entra-Lebenszyklusworkflows und Die Verwaltung von Microsoft Entra-Berechtigungen fügt Identitäten automatisch zu Gruppen oder Zugriffspaketen hinzu, sodass der Zugriff auf Anwendungen und Ressourcen aktualisiert wird. Identitäten können auch verschoben werden, wenn sich ihr Status innerhalb der Organisation ändert, sodass sie in andere Gruppen verschoben oder sogar ganz aus allen Gruppen oder Zugriffspaketen entfernt werden können.
Organisationen, die zuvor ein lokales Identitäts-Governance-Produkt verwendet haben, können ihr Organisationsrollenmodell zu Microsoft Entra ID Governance migrieren.
Darüber hinaus kann die IT Zugriffsverwaltungsentscheidungen an Entscheidungsträger des Unternehmens delegieren. Beispielsweise benötigen Mitarbeiter, die auf vertrauliche Kundendaten in der Marketinganwendung eines Unternehmens in Europa zugreifen möchten, möglicherweise eine Genehmigung von ihrem Vorgesetzten, einem Abteilungsleiter oder Ressourcenbesitzer und einem Sicherheitsrisikobeauftragten. Mit der Berechtigungsverwaltung können Sie definieren, wie Identitäten den Zugriff auf Pakete von Gruppen- und Teammitgliedschaften, App-Rollen und SharePoint Online-Rollen anfordern und Die Trennung von Aufgabenüberprüfungen für Zugriffsanforderungen erzwingen. Access-Pakete können regelmäßige Zugriffsüberprüfungen erfordern, und andere Zugriffsrechte, z. B. Gruppenmitgliedschaften, können auch regelmäßig mit wiederkehrenden Microsoft Entra-Zugriffsüberprüfungen für die Zugriffsrezertifizierung überprüft werden. Der Access Review Agent unterstützt Gutachter, indem er automatisch Einblicke sammelt und Empfehlungen generiert und die Prüfer mit natürlicher Sprache durch den Überprüfungsprozess in Microsoft Teams führt, mit einfachen Zusammenfassungen und vorgeschlagenen Entscheidungen, sodass sie eine fundierte Entscheidung mit Vertrauen und Klarheit treffen können.
Organisationen können auch steuern, welche Gastidentitäten Zugriff haben, einschließlich lokaler Anwendungen.
Privilegierter Zugriffslebenszyklus
Die Regelung des privilegierten Zugriffs ist ein wichtiger Bestandteil moderner Identity Governance, insbesondere angesichts des Missbrauchspotenzials, das mit Administratorrechten für eine Organisation verbunden ist. Die Mitarbeiter, Anbieter und Auftragnehmer, die administrative Rechte übernehmen, müssen ihre Konten und privilegierten Zugriffsrechte regeln.
Microsoft Entra Privileged Identity Management (PIM) bietet zusätzliche, speziell angepasste Steuerungen zum Schutz der Zugriffsrechte für Ressourcen in Microsoft Entra, Azure, anderen Microsoft Online Services und anderen Anwendungen. Zusätzlich zur Multi-Faktor-Authentifizierung und zum bedingten Zugriff stehen Ihnen mit den Funktionen für Just-In-Time-Zugriff und Warnungen für Rollenänderungen von Microsoft Entra PIM umfassende Governancekontrollen zum Schützen der Ressourcen Ihrer Organisation (Verzeichnisrollen, Microsoft 365-Rollen, Azure-Ressourcenrollen und Gruppenmitgliedschaften) zur Verfügung. Wie bei anderen Zugriffsformen können Organisationen Zugriffsüberprüfungen verwenden, um die wiederkehrende Zugriffswiederzertifizierung für alle Identitäten in privilegierten Administratorrollen zu konfigurieren.
Lizenzanforderungen
Für die Verwendung dieses Features sind Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen erforderlich. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Erste Schritte
Sehen Sie sich die Voraussetzungen an, bevor Sie Microsoft Entra ID für die Identitätsgovernance konfigurieren. Besuchen Sie dann das Governance-Dashboard im Microsoft Entra Admin Center, um mit der Verwendung der Berechtigungsverwaltung, Zugriffsüberprüfungen, Lebenszyklus-Workflows und Privileged Identity Management zu beginnen.
Es gibt auch Tutorials zum Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung, Onboarding externer Benutzer auf Microsoft Entra ID mittels eines Genehmigungsprozesses und zum Kontrollieren des Zugriffs auf Ihre Anwendungen und die bestehenden Benutzer der Anwendung.
Auch wenn jedes Unternehmen seine eigenen Anforderungen hat, bieten die folgenden Konfigurationsleitfäden die grundlegenden Richtlinien, die Microsoft Ihnen zur Verbesserung der Sicherheit und Produktivität von Mitarbeitern empfiehlt.
- Planen einer Bereitstellung von Zugriffsüberprüfungen zum Verwalten des Ressourcenzugriffslebenszyklus
- Konfigurationen für Zero Trust-Identitäts- und Gerätezugriffe
- Sichern des privilegierten Zugriffs
Möglicherweise möchten Sie auch mit einem der Dienste und Integrationspartner von Microsoft zusammenarbeiten , um deren Bereitstellung zu planen oder sie in die Anwendungen und anderen Systeme in Ihrer Umgebung zu integrieren.
Wenn Sie uns Feedback zu den Features von Identity Governance geben möchten, wählen Sie im Microsoft Entra Admin Center Haben Sie Feedback für uns? aus, um es zu übermitteln. Das Team überprüft regelmäßig Ihr Feedback.
Vereinfachen von Identitätsgovernanceaufgaben durch Automatisierung
Sobald Sie angefangen haben, diese Funktionen der Identitätsverwaltung zu nutzen, können Sie gängige Verwaltungsszenarien problemlos automatisieren. In der folgenden Tabelle wird gezeigt, wie Sie mit der Automatisierung für jedes Szenario beginnen:
| Szenario zum Automatisieren | Automatisierungshandbuch |
|---|---|
| Automatisches Erstellen, Aktualisieren und Löschen von AD- und Microsoft Entra-Benutzerkonten für Mitarbeiter | Planen von Cloud HR zu Microsoft Entra-Benutzerbereitstellung |
| Aktualisieren der Mitgliedschaft einer Gruppe basierend auf Änderungen an den Attributen des Mitgliedsbenutzers | Erstellen einer dynamischen Gruppe |
| Zuweisen von Lizenzen | Gruppenbasierte Lizenzierung |
| Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Websiterollen eines Benutzers basierend auf Änderungen an den Attributen des Benutzers | Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung |
| Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Websiterollen eines Benutzers an einem bestimmten Datum | Konfigurieren der Lebenszykluseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung |
| Ausführen von benutzerdefinierten Workflows, wenn ein Benutzer Zugriff anfordert oder erhält oder der Zugriff entfernt wird | Auslösen von Logic Apps in der Berechtigungsverwaltung |
| Regelmäßiges Überprüfen der Mitgliedschaften von Gästen in Microsoft-Gruppen und -Teams und Entfernen von verweigerten Gastmitgliedschaften | Erstellen einer Zugriffsüberprüfung |
| Entfernen von Gastkonten, die von einem Prüfer abgelehnt wurden | Überprüfen und Entfernen externer Benutzer, wenn sie keinen Ressourcenzugriff mehr haben |
| Entfernen von Gastkonten, die keine Zugriffspaketzuweisungen haben | Verwalten des Lebenszyklus von externen Benutzern |
| Bereitstellen von Benutzern in lokalen und Cloudanwendungen mit eigenen Verzeichnissen oder Datenbanken | Konfigurieren der automatischen Benutzerbereitstellung mit Benutzerzuweisungen oder Bereichsfiltern |
| Sonstige geplante Aufgaben | Automatisieren von Identitätsgovernanceaufgaben mit Azure Automation und Microsoft Graph über das Microsoft.Graph.Identity.Governance-PowerShell-Modul |
Identitätsgovernance für Agenten (Vorschau)
Mit der Hinzufügung der Microsoft-Agenten-Identitätsplattform ist es genauso wichtig, die Identität und den Zugriff von Agenten wie die von Personen im Governance-Lebenszyklus Ihrer Organisation zu verwalten. Weitere Informationen finden Sie unter Verwalten von Agentidentitäten (Vorschau).