Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Berechtigungsverwaltung ist ein Identity Governance-Feature, mit dem Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren.
Personen in Organisationen benötigen für ihre Aufgaben Zugriff auf verschiedene Gruppen, Anwendungen und SharePoint Online-Websites. Die Verwaltung dieses Zugangs stellt eine Herausforderung dar, da die Anforderungen Änderungen unterliegen. Neue Anwendungen werden hinzugefügt oder Identitäten benötigen mehr Zugriffsrechte. Dieses Szenario wird noch komplizierter, wenn Sie mit externen Organisationen zusammenarbeiten. Sie wissen möglicherweise nicht, welche Personen in der anderen Organisation Zugriff auf die Ressourcen Ihrer Organisation benötigen, und die Personen in der anderen Organisation wissen nicht, welche Anwendungen, Gruppen oder Websites Ihre Organisation verwendet.
Entitlement Management kann Ihnen helfen, den Zugriff auf Gruppen, Anwendungen und SharePoint-Online-Seiten für interne Identitäten sowie für Identitäten außerhalb Ihrer Organisation effizienter zu verwalten, die Zugang zu diesen Ressourcen benötigen. Du kannst auch Entitlement Management in der Vorschau nutzen, um Gruppen, API-Berechtigungen und Rollen Agent-IDs zuzuweisen.
Argumente für die Berechtigungsverwaltung
Die Verwaltung des Zugriffs von Mitarbeiter*innen auf Ressourcen stellt Unternehmen häufig vor Herausforderungen, z. B.:
- Identitäten wissen möglicherweise nicht, welchen Zugang sie haben, ihre direkten Untergebenen oder die von ihnen gesponserten Agenten haben sollten, und selbst wenn sie es wissen, könnten sie Schwierigkeiten haben, die richtigen Personen zu finden, um ihren Zugang zu genehmigen
- Sobald der Zugriff auf Ressourcen entdeckt und zugewiesen ist, könnten die Identitäten länger Zugriff behalten, als für ihre geschäftlichen Bedürfnisse erforderlich ist.
Diese Probleme verschärfen sich bei Identitäten, die Zugang von einer anderen Organisation benötigen, wie etwa externe Identitäten von Lieferkettenorganisationen oder anderen Geschäftspartnern. Zum Beispiel:
- Keine einzelne Person kann alle Personen in den Verzeichnissen anderer Organisationen kennen und einladen.
- Selbst wenn sie diese Identitäten einladen könnten, würde niemand in dieser Organisation daran denken, den Zugriff auf alle Identitäten konsequent zu verwalten
Die Berechtigungsverwaltung unterstützt Sie dabei, diese Herausforderungen zu bewältigen. Um mehr darüber zu erfahren, wie Kunden das Entitlement Management nutzen, können Sie die Fallstudien der Mississippi Division of Medicaid, Storebrand und des Digital Security and Resilience Teams bei Microsoft lesen. Dieses Video bietet einen Überblick über die Berechtigungsverwaltung und ihren Nutzen:
Welche Möglichkeiten bietet mir die Berechtigungsverwaltung?
Einige Funktionen der Berechtigungsverwaltung:
- Steuern Sie, wer Zugriff auf Anwendungen, Gruppen, Teams, SharePoint-Websites, SAP IAG-Zugriffsrechte und andere Ressourcen mit mehrstufiger Genehmigung erhält, und stellen Sie sicher, dass Identitäten den Zugriff nicht unbegrenzt über zeitlich begrenzte Zuordnungen und wiederkehrende Zugriffsüberprüfungen beibehalten.
- Geben Sie Identitäten automatisch Zugriff auf diese Ressourcen, basierend auf den Eigenschaften der Identität wie Abteilung oder Kostenstelle, und entziehen Sie den Zugriff einer Identität, wenn diese Eigenschaften sich ändern.
- Geben Sie Agenten-IDs Zugang zu den benötigten Ressourcen und ermöglichen Sie den Sponsoren der Agenten-IDs, sicherzustellen, dass der Zugriff nur dann aufrechterhalten wird, wenn sie benötigt werden.
- Delegieren der Möglichkeit, Zugriffspakete zu erstellen, an Nicht-Administratoren. Diese Zugriffspakete enthalten Ressourcen, die Identitäten anfordern können, und die Delegierten-Zugriffspaketmanager können Richtlinien mit Regeln definieren, für die Identitäten angefordert werden können, wer ihren Zugriff genehmigen muss und wann der Zugriff abläuft.
- Wählen Sie verbundene Organisationen aus, deren Identitäten Zugriff anfordern können. Wenn eine Identität, die noch nicht in Ihrem Verzeichnis ist, Zugang anfordert und genehmigt wird, wird sie automatisch in Ihr Verzeichnis eingeladen und erhält den Zugriff. Wenn der Zugriff abläuft und keine anderen Zugriffspaketzuweisungen vorhanden sind, kann das betreffende B2B-Konto in Ihrem Verzeichnis automatisch entfernt werden.
Hinweis
Wenn Sie die Berechtigungsverwaltung ausprobieren möchten, können Sie mit dem Tutorial zum Erstellen des ersten Zugriffspakets beginnen.
Sie können auch die gängigen Szenarios durchlesen oder Videos ansehen, z. B.:
- Bereitstellen der Berechtigungsverwaltung in Ihrer Organisation
- Überwachen und Skalieren der Verwendung der Berechtigungsverwaltung
- Delegieren in der Berechtigungsverwaltung
Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
Die Berechtigungsverwaltung beinhaltet das Konzept von Zugriffspaketen. Ein Zugriffspaket ist ein Bündel aller Ressourcen mit dem Zugang, den eine Identität benötigt, um an einem Projekt zu arbeiten oder ihre Aufgabe zu erfüllen. Zugriffspakete können verwendet werden, um den Zugriff auf interne Identitäten sowie auf Identitäten außerhalb Ihrer Organisation zu steuern.
Hier sind die Arten von Ressourcen, auf die Sie den Zugriff von Identitäten verwalten können, mit Anspruchsverwaltung:
- Mitgliedschaft in Microsoft Entra-Sicherheitsgruppen
- Mitgliedschaft in Microsoft 365-Gruppen und -Teams
- Zuweisung zu Microsoft Entra-Unternehmensanwendungen wie SaaS-Anwendungen und kundenspezifisch integrierten Anwendungen, die Verbund-/Einzelanmeldung und/oder Bereitstellung unterstützen
- Mitgliedschaft in SharePoint Online-Websites
- API-Berechtigungen, für Agenten mit Agent-IDs oder Service Principals, in der Vorschau als Teil der Microsoft Entra Agent ID
- SAP IAG-Geschäftsrollen und andere Zugriffsrechte in der Vorschau
Sie können auch den Zugriff auf andere Ressourcen steuern, die auf Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen basieren. Zum Beispiel:
- Man kann Identitäten Lizenzen für Microsoft 365 geben, indem man eine Microsoft Entra-Sicherheitsgruppe in einem Zugriffspaket verwendet und gruppenbasierte Lizenzen für diese Gruppe konfiguriert.
- Du kannst Identitäten Zugriff geben, um Azure-Ressourcen zu verwalten, indem du eine Microsoft Entra-Sicherheitsgruppe in einem Zugriffspaket nutzt und für diese Gruppe eine Azure-Rollenzuweisung anlegst.
- Du kannst Identitäten Zugriff geben, um Microsoft Entra-Rollen zu verwalten, indem du Gruppen verwendest, die Microsoft Entra-Rollen in einem Zugriffspaket zuweisen und dieser Gruppe eine Microsoft Entra-Rolle zuweisen.
Wie kann gesteuert werden, wer Zugriff erhält?
Bei einem Zugriffspaket listet ein Administrator oder delegierter Zugriffspaketmanager die Ressourcen (Gruppen, Apps und Seiten, Microsoft Entra-Rollen und API-Berechtigungen) sowie die Rollen auf, die die Identitäten für diese Ressourcen benötigen.
Zugriffspakete enthalten außerdem eine oder mehrere Richtlinien. Eine Richtlinie definiert die Regeln oder Leitlinien für die Zuweisung zum Zugriffspaket. Jede Richtlinie kann verwendet werden, um sicherzustellen, dass nur die entsprechenden Identitäten Zugriffszuweisungen erhalten, und der Zugriff ist zeitlich begrenzt auf Ablauf, wenn er nicht verlängert wird.
Du kannst Richtlinien haben, mit denen Identitäten Zugriff anfordern. Bei diesen Richtlinientypen definieren Administrator*innen oder Zugriffspaket-Manager*innen Folgendes:
- Entweder die bereits bestehenden Identitäten (typischerweise Mitarbeiter oder bereits eingeladene Gäste) oder die Partnerorganisationen externer Identitäten, die berechtigt sind, Zugriff zu beantragen
- Der Genehmigungsprozess und die Identitäten, die den Zugang genehmigen oder verweigern können
- Die Dauer der Zugangszuweisung einer Identität, sobald genehmigt, bevor die Zuweisung abläuft
Sie können auch Richtlinien haben, mit denen Identitäten Zugriff erhalten, entweder von einem Administrator, automatisch basierend auf Regeln oder über Lebenszyklus-Workflows.
Im folgenden Diagramm wird ein Beispiel für die verschiedenen Elemente der Berechtigungsverwaltung gezeigt. Es zeigt einen Katalog mit zwei exemplarischen Zugriffspaketen.
- Zugriffspaket 1 enthält als Ressource eine einzelne Gruppe. Der Zugriff wird durch eine Richtlinie definiert, die es einer Reihe von Identitäten im Verzeichnis ermöglicht, Zugriff anzufordern.
- Zugriffspaket 2 enthält als Ressourcen eine Gruppe, eine Anwendung und eine SharePoint Online-Website. Der Zugriff wird mit zwei verschiedenen Richtlinien definiert. Die erste Richtlinie ermöglicht es einer Menge von Identitäten im Verzeichnis, Zugriff anzufordern. Die zweite Richtlinie ermöglicht es Identitäten in einem externen Verzeichnis, Zugriff anzufordern.
Wann sollten Zugriffspakete verwendet werden?
Zugriffspakete sind kein Ersatz für andere Mechanismen der Zugriffszuweisung. Sie eignen sich am besten für folgende Situationen:
- Migrieren von Zugriffsrichtliniendefinitionen von einer Unternehmensrollenverwaltung eines Drittanbieters zu Microsoft Entra ID.
- Identitäten benötigen zeitlich begrenzten Zugriff für eine bestimmte Aufgabe. Sie können beispielsweise die gruppenbasierte Lizenzierung und eine dynamische Gruppe verwenden, um sicherzustellen, dass alle Mitarbeiter über ein Exchange Online-Postfach verfügen. Anschließend nutzen Sie Zugriffspakete in Situationen, in denen Mitarbeiter zusätzliche Zugriffsrechte benötigen. Dies könnten z. B. Leseberechtigungen für abteilungsspezifische Ressourcen einer anderen Abteilung ein.
- Zugriff, der von Vorgesetzten der Mitarbeiter*innen oder von anderen festgelegten Personen genehmigt werden muss
- Zugriff, der Personen in einem bestimmten Teil einer Organisation während ihrer Zeit in dieser Rolle automatisch zugewiesen werden soll. Kann aber auch von Personen an anderer Stelle in der Organisation oder in der Organisation eines Geschäftspartners angefordert werden.
- Abteilungen möchten eigene Zugriffsrichtlinien für ihre Ressourcen ohne Beteiligung der IT verwalten.
- Zwei oder mehr Organisationen arbeiten an einem Projekt zusammen, weshalb mehrere Identitäten einer Organisation über Microsoft Entra B2B eingeladen werden müssen, um auf die Ressourcen einer anderen Organisation zuzugreifen.
Wie kann der Zugriff delegiert werden?
Zugriffspakete sind in Containern definiert, die als Kataloge bezeichnet werden. Sie können einen einzelnen Katalog für alle Zugriffspakete verwenden oder einzelne Personen festlegen, die eigene Kataloge erstellen und dafür verantwortlich sind. Ein Administrator kann jedem Katalog Ressourcen hinzufügen. Ein Nicht-Administrator kann jedoch nur Ressourcen, deren Besitzer er ist, hinzufügen. Ein Kataloginhaber kann andere Identitäten als Katalogmiteigentümer oder als Zugriffspaketmanager hinzufügen. Diese Szenarien werden im Artikel Delegierung und Rollen in der Azure AD-Berechtigungsverwaltung ausführlicher beschrieben.
Übersicht über die verwendete Terminologie
Zum besseren Verständnis der Berechtigungsverwaltung und der dazugehörigen Dokumentation sollten Sie mit den folgenden Begriffen vertraut sein.
| Begriff | BESCHREIBUNG |
|---|---|
| Zugriffspaket | Ein Ressourcenpaket, das von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind immer in einem Katalog enthalten. Du würdest ein neues Zugriffspaket für ein Szenario erstellen, in dem Identitäten selbst Zugriff anfordern müssen. |
| Zugriffsanforderung | Die Anforderung des Zugriffs auf die Ressourcen in einem Zugriffspaket. Eine Anforderung durchläuft in der Regel einen Genehmigungsworkflow. Wenn genehmigt, erhält die anfordernde Identität eine Zugriffspaketzuweisung. |
| Zuweisung | Eine Zuweisung eines Zugriffspakets an eine Identität stellt sicher, dass die Identität alle Ressourcenrollen dieses Zugriffspakets besitzt. Zugriffspaketzuweisungen sind normalerweise zeitlich begrenzt, bevor sie ablaufen. |
| Katalog | Ein Container verwandter Ressourcen und Zugriffspakete. Kataloge werden für die Delegierung verwendet, damit Nicht-Administratoren eigene Zugriffspakete erstellen können. Katalogbesitzer können Ressourcen, deren Besitzer sie sind, zu einem Katalog hinzufügen. |
| Katalogersteller | Eine Sammlung von Identitäten, die berechtigt sind, neue Kataloge zu erstellen. Wenn eine Nicht-Administrator-Identität, die als Katalogersteller autorisiert ist, einen neuen Katalog erstellt, wird sie automatisch Eigentümer dieses Katalogs. |
| Verbundene Organisation | Ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, zu der eine Beziehung besteht. Die Identitäten einer verbundenen Organisation können in einer Richtlinie so festgelegt werden, dass sie Zugriff anfordern dürfen. |
| Politik | Ein Regelwerk, das den Zugriffslebenszyklus definiert, wie zum Beispiel wie Identitäten Zugang erhalten, wer genehmigen kann und wie lange sie durch eine Zuweisung Zugriff haben. Eine Richtlinie ist mit einem Zugriffspaket verknüpft. Zum Beispiel könnte ein Zugriffspaket zwei Richtlinien haben – eine, in der Mitarbeiter Zugriff anfordern, und eine zweite, damit externe Identitäten Zugriff anfordern. |
| Ressource | Ein Asset, wie eine Office-Gruppe, eine Sicherheitsgruppe, eine Anwendung oder eine SharePoint-Online-Website, mit einer Rolle, für die einer Identität Berechtigungen gewährt werden kann. |
| Ressourcenverzeichnis | Ein Verzeichnis, das mindestens eine Ressource enthält, die freigegeben (geteilt) werden soll. |
| Ressourcenrolle | Mehrere Berechtigungen, die einer Ressource zugeordnet sind und von einer Ressource definiert werden. Eine Gruppe umfasst zwei Rollen: Mitglied und Besitzer. SharePoint-Websites umfassen in der Regel drei Rollen, können aber weitere benutzerdefinierte Rollen aufweisen. Anwendungen können über benutzerdefinierte Rollen verfügen. |
Lizenzanforderungen
Dieses Feature erfordert Microsoft Entra ID Governance- oder Microsoft Entra Suite-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen innerhalb dieses Features können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden. Weitere Informationen und Details finden Sie in den Artikeln zu den einzelnen Funktionen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Lizenzanforderungen für die Zuweisung von Agenten zum Zugriff auf Pakete (Vorschau)
Von Bedeutung
Microsoft Entra Agent ID ist Teil von Microsoft Agent 365, der jetzt in Frontier, dem Microsoft Early Access-Programm für die neuesten KI-Innovationen verfügbar ist. Weitere Informationen finden Sie unter Microsoft Entra Agent ID.
Nächste Schritte
- Wenn Sie das Microsoft Entra Admin Center für die Verwaltung des Zugriffs auf Ressourcen verwenden möchten, finden Sie weitere Informationen unter Tutorial: Verwalten des Zugriffs auf Ressourcen: Microsoft Entra.
- Wenn Sie den Zugriff auf Ressourcen über Microsoft Graph verwalten möchten, finden Sie weitere Informationen unter Tutorial: Verwalten des Zugriffs auf Ressourcen: Microsoft Graph.
- Gängige Szenarios