Überprüfen von Empfehlungen für Zugriffsüberprüfungen
Entscheidungsträger, die den Zugriff von Benutzern überprüfen und Zugriffsüberprüfungen durchführen, können mithilfe systembasierter Empfehlungen entscheiden, ob der Zugriff auf Ressourcen weiterhin gewährt oder verweigert werden soll. Weitere Informationen zur Verwendung von Überprüfungsempfehlungen finden Sie unter Aktivieren von Entscheidungshilfen.
Voraussetzungen
Das Erstellen einer Überprüfung für inaktive Benutzer und mit Empfehlungen für die Benutzer-zu-Gruppe-Zugehörigkeit erfordert eine Microsoft Entra ID Governance-Lizenz.
Weitere Informationen finden Sie unter Lizenzanforderungen.
Empfehlungen zu inaktiven Benutzern
Ein Benutzer gilt als „inaktiv“, wenn er sich innerhalb der letzten 30 Tage nicht beim Mandanten angemeldet hat. Dieses Verhalten wird für Überprüfungen von Anwendungszuweisungen angepasst, indem die letzte Aktivität jedes Benutzers in der Anwendung und nicht für den gesamten Mandanten geprüft wird. Wenn Empfehlungen zu inaktiven Benutzern für eine Zugriffsüberprüfung aktiviert sind, wird beim Start der Überprüfung das letzte Anmeldedatum für jeden Benutzer ausgewertet. Anschließend wird für jeden Benutzer, der sich innerhalb von 30 Tagen nicht angemeldet hat, die Aktion „Verweigern“ empfohlen. Wenn diese Entscheidungshilfen aktiviert sind, können die Prüfer außerdem das Datum der letzten Anmeldung für alle zu prüfenden Benutzer sehen. Dieses Anmeldedatum (und die sich daraus ergebende Empfehlung) wird zu Beginn der Überprüfung festgelegt und wird während der laufenden Überprüfung nicht aktualisiert.
Benutzer-zu-Gruppe-Zugehörigkeit
Durch die einfachere und genauere Überprüfung können IT-Administratoren und Prüfer fundiertere Entscheidungen treffen. Diese Empfehlung auf Machine Learning-Basis dient als Türöffner für die Automatisierung von Zugriffsüberprüfungen, ermöglicht auf diese Weise eine intelligente Automatisierung und sorgt für weniger Ermüdungserscheinungen beim Nachweis der Zugriffsrechte.
Die Benutzer-zu-Gruppe-Zugehörigkeit im Organigramm eines Unternehmens wird definiert in Form von mindestens zwei Benutzern, die ähnliche Merkmale in der Organisationsstruktur aufweisen.
Diese Empfehlung erkennt anhand der Ähnlichkeit der Organisationsstruktur die Benutzerzugehörigkeit zu anderen Benutzern innerhalb der Gruppe. Die Empfehlung beruht auf einem Bewertungsmechanismus anhand der Berechnung der durchschnittlichen Entfernung des Benutzers zu den anderen Benutzern in der Gruppe. Benutzer, die im Organigramm weit von allen anderen Gruppenmitgliedern entfernt sind, werden innerhalb der Gruppe als Benutzer mit „niedriger Zugehörigkeit“ betrachtet.
Wenn vom Ersteller der Zugriffsüberprüfung diese Entscheidungshilfe aktiviert wird, können Prüfer bei Gruppenzugriffsüberprüfungen Empfehlungen zur Benutzer-zu-Gruppe-Zugehörigkeit erhalten.
Hinweis
Derzeit ist dieses Feature nur für Benutzer in Ihrem Verzeichnis verfügbar. Ein Benutzer sollte über ein Manager-Attribut verfügen und zu einer Organisationshierarchie gehören, damit die Benutzer-zu-Gruppe-Zugehörigkeit funktioniert.
Gruppen mit mehr als 600 Benutzern werden nicht unterstützt.
Die folgende Abbildung zeigt ein Beispiel der Organisationsstruktur eines Kosmetikunternehmens:
Anhand der Organisationsstruktur im Beispielbild würde das System für Benutzer, die statistisch erheblich von anderen Benutzern innerhalb der Gruppe entfernt sind, die Empfehlung „Ablehnen“ ausgeben, wenn der Prüfer die Empfehlung „Benutzer-zu-Gruppe-Zugehörigkeit“ für Gruppenzugriffsüberprüfungen aktiviert hat.
Phil, der in der Abteilung Körperpflege arbeitet, gehört beispielsweise zu einer Gruppe mit Debby, Irwin und Emily, die alle in der Abteilung Kosmetik tätig sind. Die Gruppe heißt Fresh Skin. Wenn eine Zugriffsüberprüfung für die Gruppe „Fresh Skin“ erfolgt, wird Phil aufgrund der Organisationsstruktur und der Entfernung zu den anderen Gruppenmitgliedern als „Benutzer mit niedriger Zugehörigkeit“ betrachtet. Das System erstellt daraufhin bei Überprüfung des Gruppenzugriffs die Empfehlung Verweigern.