Worum handelt es sich bei Zugriffsüberprüfungen?

Mithilfe der Zugriffsüberprüfungen in Microsoft Entra ID, Bestandteil von Microsoft Entra, können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.

Das folgende Video bietet einen kurzen Überblick über Zugriffsüberprüfungen:

Warum sind Zugriffsüberprüfungen wichtig?

Microsoft Entra ID ermöglicht es Ihnen, mit internen Benutzer*innen Ihrer Organisation und mit externen Benutzer*innen zusammenzuarbeiten. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und entweder mit ihren Firmen- oder persönlichen Geräten remote arbeiten. Die Möglichkeit zur komfortablen Nutzung von Self-Service hat dazu geführt, dass bessere Zugriffsverwaltungsfunktionen benötigt werden.

  • Wie stellen Sie sicher, dass neue Mitarbeiter die erforderlichen Zugriffsrechte erhalten, damit sie produktiv arbeiten können?
  • Wie stellen Sie sicher, dass alte Zugriffsrechte entzogen werden, wenn Personen das Team wechseln oder das Unternehmen verlassen?
  • Zu weit reichende Zugriffsrechte können zu Kompromittierungen führen.
  • Darüber hinaus können zu umfangreiche Zugriffsrechte auch zu negativen Ergebnissen bei Überprüfungen führen, da dies auf eine fehlende Kontrolle des Zugriffs hinweist.
  • Sie müssen sich proaktiv mit Ressourcenbesitzern austauschen, um sicherzustellen, dass sie regelmäßig überprüfen, wer Zugriff auf ihre Ressourcen hat.

Wann sollten Sie Zugriffsüberprüfungen verwenden?

  • Zu viele Benutzer in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer über Administratorzugriff verfügen, wie viele dieser Benutzer globale Administratoren sind und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde. Sie können die Rollenzuweisung von Benutzer*innen in Microsoft Entra-Rollen wie z. B. „Globale Administratoren“ oder in Azure-Ressourcenrollen wie etwa „Benutzerzugriffsadministratoren“ in Microsoft Entra Privileged Identity Management (PIM) erneut bestätigen.
  • Wenn eine Automatisierung nicht möglich ist: Sie können Regeln für dynamische Mitgliedergruppen, Sicherheitsgruppen oder Microsoft 365-Gruppen erstellen. Was aber, wenn die Personaldaten nicht in Microsoft Entra ID enthalten sind oder wenn Benutzende nach dem Verlassen der Gruppe weiterhin Zugriff benötigen, um ihre Nachfolgenden einzuarbeiten? Dann können Sie eine Überprüfung für diese Gruppe erstellen, um sicherzustellen, dass die Benutzer, die weiterhin Zugriff benötigen, auch weiterhin Zugriff haben.
  • Wenn eine Gruppe für einen neuen Zweck verwendet wird: Wenn Sie eine Gruppe haben, die mit der Microsoft Entra ID synchronisiert werden soll, oder wenn Sie planen, die Anwendung „Salesforce“ für alle Mitglieder der Gruppe „Vertriebsteam“ zu aktivieren, wäre es sinnvoll, den Gruppenbesitzenden zu bitten, die dynamische Mitgliedergruppe zu überprüfen, bevor sie in einem anderen Risikobereich verwendet wird.
  • Geschäftskritischer Datenzugriff: Für bestimmte Ressourcen, z. B. geschäftskritische Anwendungen, kann es als Teil der Complianceprozesse erforderlich sein, Personen regelmäßig zu bestätigen und eine Begründung dafür zu geben, warum sie weiterhin Zugriff benötigen.
  • Zum Verwalten einer Richtlinienausnahmeliste: Im Idealfall halten sich alle Benutzer an die Zugriffsrichtlinien, um den Zugriff auf die Ressourcen Ihrer Organisation zu schützen. Es kann aber auch Geschäftsszenarien geben, in denen Ausnahmen erforderlich sind. Als IT-Administrator können Sie diese Aufgabe verwalten, das Übersehen von Richtlinienausnahmen vermeiden und Prüfern den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.
  • Auffordern von Gruppenbesitzer*innen zum Bestätigen, dass sie weiterhin Gäste in ihren Gruppen benötigen: Der Mitarbeiterzugriff kann mit anderen IAM-Features (Identity & Access Management) automatisiert werden, z. B. mit Lebenszyklus-Workflows basierend auf Daten aus einer Personalverwaltungsquelle. Dies trifft jedoch nicht auf die Zugriffsrechte eingeladener Gäste zu. Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, muss der Besitzer der Gruppe bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.
  • Regelmäßige Durchführung von Überprüfungen: Sie können die Häufigkeit der regelmäßigen Durchführung von Zugriffsüberprüfungen für Benutzer (z. B. wöchentlich, monatlich, vierteljährlich oder jährlich) einrichten. Die Prüfer werden zu Beginn jeder Überprüfung benachrichtigt. Prüfer können den Zugriff über eine benutzerfreundliche Oberfläche und mithilfe intelligenter Empfehlungen genehmigen oder verweigern.

Hinweis

Wenn Sie die Verwendung von Zugriffsüberprüfungen ausprobieren möchten, helfen Ihnen die Informationen unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen weiter.

Wo erstellen Sie Überprüfungen?

Je nachdem, was Sie überprüfen möchten, erstellen Sie Ihre Zugriffsüberprüfung über die Funktion „Zugriffsüberprüfungen“, in Microsoft Entra-Unternehmens-Apps, in PIM oder in der Berechtigungsverwaltung.

Zugriffsrechte von Benutzern Prüfer Überprüfung erstellt in Prüferoberfläche
Mitglieder von Sicherheitsgruppen
Mitglieder von Office-Gruppen
Angegebene Prüfer
Gruppenbesitzer
Selbstüberprüfung
Zugriffsüberprüfungen
Microsoft Entra-Gruppen
Zugriffsbereich
Einer verbundenen App zugewiesen Angegebene Prüfer
Selbstüberprüfung
Zugriffsüberprüfungen
Microsoft Entra-Unternehmens-Apps
Zugriffsbereich
Microsoft Entra-Rolle Angegebene Prüfer
Selbstüberprüfung
PIM Microsoft Entra Admin Center
Azure-Ressourcenrolle Angegebene Prüfer
Selbstüberprüfung
PIM Microsoft Entra Admin Center
Zugriffspaketzuweisungen Festgelegte Prüfer
Gruppenmitglieder
Selbstüberprüfung
Berechtigungsverwaltung Zugriffsbereich

Lizenzanforderungen

Dieses Feature erfordert Microsoft Entra ID Governance- oder Microsoft Entra Suite-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen innerhalb dieses Features können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden. Weitere Informationen und Details finden Sie in den Artikeln zu den einzelnen Funktionen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Hinweis

Das Erstellen einer Überprüfung auf inaktive Benutzer und mit Empfehlungen für die Benutzer-zu-Gruppe-Zugehörigkeit erfordert eine Microsoft Entra ID-Governance-Lizenz.

Nächste Schritte