Definieren von Zugriffspaketen
Argumente für die Berechtigungsverwaltung
Die Verwaltung des Zugriffs von Mitarbeitern auf Ressourcen stellt Unternehmen häufig vor Herausforderungen, z. B.:
- Die Benutzer wissen nicht, welche Zugriffsrechte erforderlich sind. Aber, selbst wenn Sie es wissen, ist es schwierig, die richtigen Personen zu finden, die den Zugriff genehmigen können
- Wenn Benutzer den richtigen Zugriff auf eine Ressource erhalten haben, verfügen sie länger über diesen Zugriff, als für die Geschäftszwecke erforderlich ist
Diese Probleme werden noch größer bei Benutzern, die Zugriff aus einer anderen Organisation benötigen, z. B. externe Benutzer in Lieferkettenorganisationen oder andere Geschäftspartner. Organisationen können mithilfe der Microsoft Entra-Berechtigungsverwaltung z. B. sicherstellen, dass alle Benutzer Zugriff auf die richtigen Verzeichnisse haben und der gesamte Benutzerzugriff konsistent verwaltet wird.
Dieses Video bietet einen Überblick über die Berechtigungsverwaltung und ihren Nutzen:
Schauen Sie sich dieses Video an, um mehr über die Microsoft Entra-Berechtigungsverwaltung zu erfahren.
Welche Möglichkeiten bietet mir die Berechtigungsverwaltung?
Die Berechtigungsverwaltung umfasst folgende Funktionen:
| Berechtigungsverwaltungsfunktion | Beschreibung und Wert |
|---|---|
| Delegieren der Möglichkeit, Zugriffspakete zu erstellen, an Nicht-Administratoren. | Diese Zugriffspakete enthalten Ressourcen, die von Benutzern angefordert werden können, und die delegierten Zugriffspaket-Manager können Richtlinien mit Regeln definieren, dein festlegen, welche Benutzer Zugriff anfordern können, wer den Zugriff genehmigen muss und wann der Zugriff abläuft. |
| Auswählen verbundener Organisationen, deren Benutzer Zugriff anfordern können. | Wenn ein Benutzer, der noch nicht in Ihrem Verzeichnis vorhanden ist, Zugriff anfordert und der Zugriff genehmigt wird, wird der Benutzer automatisch in Ihr Verzeichnis eingeladen, und der Zugriff wird zugewiesen. Wenn der Zugriff abläuft und keine anderen Zugriffspaketzuweisungen vorhanden sind, kann das betreffende B2B-Konto in Ihrem Verzeichnis automatisch entfernt werden. |
Übersicht über die verwendete Terminologie
Bevor Sie sich mit der Berechtigungsverwaltung und der zugehörigen Dokumentation im Detail befassen, sollten Sie die folgenden Begriffe kennen. Sie können während des Kurses jederzeit auf diese Liste zurückgreifen.
| Begriff | Beschreibung |
|---|---|
| Zugriffspaket | Ein Ressourcenpaket, das von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind immer in einem Katalog enthalten. Sie erstellen ein neues Zugriffspaket für ein Szenario, in dem Benutzer Zugriff anfordern müssen. |
| Zugriffsanforderung | Die Anforderung des Zugriffs auf die Ressourcen in einem Zugriffspaket. Eine Anforderung durchläuft in der Regel einen Genehmigungsworkflow. Bei einer Genehmigung erhält der anfordernde Benutzer eine Zugriffspaketzuweisung. |
| Zuweisung | Die Zuweisung eines Zugriffspakets für einen Benutzer stellt sicher, dass der Benutzer über alle Ressourcenrollen des betreffenden Zugriffspakets verfügt. Zugriffspaketzuweisungen sind normalerweise zeitlich begrenzt, bevor sie ablaufen. |
| catalog | Ein Container verwandter Ressourcen und Zugriffspakete. Kataloge werden für die Delegierung verwendet, damit Nicht-Administratoren eigene Zugriffspakete erstellen können. Katalogbesitzer können Ressourcen, deren Besitzer sie sind, zu einem Katalog hinzufügen. |
| Katalogersteller | Eine Auflistung der Benutzer, die berechtigt sind, neue Kataloge zu erstellen. Wenn ein Nicht-Administratorbenutzer, der als Katalogersteller autorisiert wurde, einen neuen Katalog erstellt, wird er automatisch Besitzer des betreffenden Katalogs. |
| Verbundene Organisation | Ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, zu der eine Beziehung besteht. Die Benutzer einer verbundenen Organisation können in einer Richtlinie als Benutzer angegeben werden, die Zugriff anfordern dürfen. |
| policy | Mehrere Regeln, die den Zugriffslebenszyklus definieren. Sie legen beispielsweise fest, wie Benutzer Zugriff erhalten, wer den Zugriff genehmigen darf und wie lange Benutzer durch eine Zuweisung Zugriff haben. Eine Richtlinie ist mit einem Zugriffspaket verknüpft. Ein Zugriffspaket kann beispielsweise zwei Richtlinien enthalten: eine für Mitarbeiter zum Anfordern von Zugriff und eine zweite für externe Benutzer zum Anfordern von Zugriff. |
| resource | Ein Asset, z. B. eine Office-Gruppe, eine Sicherheitsgruppe, eine Anwendung oder eine SharePoint Online-Website, mit einer Rolle, für die einem Benutzer Berechtigungen erteilt werden können. |
| Ressourcenverzeichnis | Ein Verzeichnis, das mindestens eine Ressource enthält, die freigegeben (geteilt) werden soll. |
| Ressourcenrolle | Mehrere Berechtigungen, die einer Ressource zugeordnet sind und von einer Ressource definiert werden. Eine Gruppe umfasst zwei Rollen: Mitglied und Besitzer. SharePoint-Websites verfügen in der Regel über drei Rollen, können aber zusätzliche benutzerdefinierte Rollen aufweisen. Anwendungen können über benutzerdefinierte Rollen verfügen. |
Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
Die Berechtigungsverwaltung führt in Microsoft Entra ID das Konzept von Zugriffspaketen ein. Ein Zugriffspaket ist ein Bündel aller Ressourcen mit den Zugriffsrechten, die ein Benutzer benötigt, um an einem Projekt zu arbeiten oder seine Aufgaben zu erledigen. Mit Zugriffspaketen wird der Zugriff für interne Mitarbeiter und Benutzer außerhalb Ihrer Organisation gesteuert. Mit der Berechtigungsverwaltung können Sie den Benutzerzugriff auf die folgenden Ressourcen verwalten:
- Mitgliedschaft in Microsoft Entra-Sicherheitsgruppen.
- Mitgliedschaft in Microsoft 365-Gruppen und -Teams
- Zuweisung zu Microsoft Entra-Unternehmensanwendungen wie SaaS-Anwendungen und benutzerdefinierten integrierten Anwendungen, die Verbund-/einmaliges Anmelden und/oder Bereitstellung unterstützen.
- Mitgliedschaft in SharePoint Online-Websites
Sie können auch den Zugriff auf andere Ressourcen steuern, die auf Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen basieren. Sie können beispielsweise Folgendes bereitstellen:
- Lizenzen für Microsoft 365 mithilfe einer Sicherheitsgruppe in einem Zugriffspaket und durch Konfigurieren der gruppenbasierten Lizenzierung für diese Gruppe.
- Zugriff zum Verwalten von Azure-Ressourcen mithilfe einer Sicherheitsgruppe in einem Zugriffspaket und Erstellen einer Azure-Rollenzuweisung für diese Gruppe.
- Zugriff zum Verwalten von Microsoft Entra-Rollen mithilfe von Gruppen, die Rollen in einem Zugriffspaket zugewiesen werden können, und durch Zuweisen einer Rolle zu dieser Gruppe.
Wie kann gesteuert werden, wer Zugriff erhält?
Bei einem Zugriffspaket listet ein Administrator oder delegierter Zugriffspaket-Manager die Ressourcen (Gruppen, Apps und Websites) sowie die Rollen auf, die die Benutzer für diese Ressourcen benötigen.
Zugriffspakete enthalten außerdem eine oder mehrere Richtlinien. Eine Richtlinie definiert die Regeln oder Leitlinien für die Zuweisung zu einem Zugriffspaket. Die einzelnen Richtlinien können verwendet werden, um sicherzustellen, dass nur die entsprechenden Benutzer Zugriff anfordern können, dass es genehmigende Personen für die Anforderung gibt und dass der Zugriff auf die betreffenden Ressourcen zeitlich begrenzt ist und abläuft, sofern er nicht erneuert wird.
In jeder Richtlinie definiert ein Administrator oder Zugriffspaket-Manager die bereits vorhandenen Benutzer, die zum Anfordern von Zugriff berechtigt sind, den Prozess zum Genehmigen oder Verweigern des Zugriffs sowie die Zugriffsdauer eines Benutzers.
Wann sollten Zugriffspakete verwendet werden?
Zugriffspakete sind kein Ersatz für andere Mechanismen der Zugriffszuweisung. Sie eignen sich am besten für folgende Situationen:
- Mitarbeiter benötigen zeitlich begrenzten Zugriff für eine bestimmte Aufgabe. Sie können beispielsweise die gruppenbasierte Lizenzierung und eine dynamische Gruppe verwenden, um sicherzustellen, dass alle Mitarbeiter über ein Exchange Online-Postfach verfügen, und dann Zugriffspakete in Situationen verwenden, in denen Mitarbeiter zusätzliche Zugriffsrechte benötigen, z. B. zum Lesen von abteilungsspezifischen Ressourcen einer anderen Abteilung.
- Der Zugriff muss vom Vorgesetzten eines Mitarbeiters oder von anderen festgelegten Personen genehmigt werden.
- Abteilungen möchten eigene Zugriffsrichtlinien für ihre Ressourcen ohne Beteiligung der IT verwalten.
- Zwei oder mehr Organisationen arbeiten in einem Projekt zusammen, sodass mehrere Benutzer aus einer Organisation über Microsoft Entra B2B integriert werden müssen, um auf die Ressourcen einer anderen Organisation zugreifen zu können.
Im folgenden Diagramm wird ein Beispiel der Elemente in der Berechtigungsverwaltung gezeigt:
Zugriffspaket 1 enthält nur eine einzelne Gruppe als Ressource. Der Zugriff wird mit einer Richtlinie definiert, die einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs ermöglicht. Zugriffspaket 2 enthält als Ressourcen eine Gruppe, eine Anwendung und eine SharePoint Online-Website. Der Zugriff wird mit zwei verschiedenen Richtlinien definiert. Die erste Richtlinie ermöglicht einer Gruppe von Benutzern im Verzeichnis das Anfordern des Zugriffs. Die zweite Richtlinie ermöglicht Benutzern in einem externen Verzeichnis das Anfordern des Zugriffs.