Verwaltung von Benutzer- und Gastbenutzerzugängen mit Zugriffsüberprüfungen

Mit Zugriffsüberprüfungen können Sie ganz einfach sicherstellen, dass Benutzer oder Gäste angemessenen Zugriff haben. Hierzu können Sie die Benutzer selbst oder einen Entscheidungsträger bitten, an einer Zugriffsüberprüfung teilzunehmen und den Zugriff des Benutzers erneut zu zertifizieren (oder zu „attestieren“). Basierend auf Vorschlägen von Microsoft Entra ID können die Prüfer die Notwendigkeit des weiteren Zugriffs der einzelnen Benutzer abwägen. Nach Abschluss einer Zugriffsüberprüfung können Sie dann Änderungen vornehmen und Zugriffsrechte für Benutzer entfernen, die diese nicht mehr benötigen.

Hinweis

Dieser Artikel behandelt die Durchführung von Zugriffsüberprüfungen für Benutzer und Anwendungen. Informationen zur Durchführung einer Zugriffsüberprüfung für mehrere Ressourcen in Zugriffspaketen finden Sie hier Zugriff eines Zugriffspakets in der Microsoft Entra-Berechtigungsverwaltung überprüfen. Wenn Sie den Benutzer- oder Dienstprinzipalzugriff auf Microsoft Entra ID oder Azure-Ressourcenrollen überprüfen möchten, siehe Start einer Zugriffsüberprüfung in Microsoft Entra Privileged Identity Management.

Voraussetzungen

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance

Weitere Informationen finden Sie unter Lizenzanforderungen.

Erstellen und Durchführen einer Zugriffsüberprüfung für Benutzer

Ihnen muss eine der folgenden Rollen zugewiesen sein:

  • Globaler Administrator
  • Benutzeradministrator
  • Identity Governance-Administrator
  • Privilegierter Rollenadministrator (nur für Überprüfungen von rollenzuweisbaren Gruppen)
  • (Vorschau) Microsoft 365- oder Microsoft Entra Security Group-Eigentümer der zu überprüfenden Gruppe

Hinweis

Nach dem geringstprivilegierten Zugriff empfehlen wir die Verwendung der Rolle „Identitätsgovernanceadministrator“ oder „Benutzeradministrator“ für diese Aufgaben.

Navigieren Sie zur Seite „Identity Governance“, und vergewissern Sie sich, dass Ihre Organisation Zugriffsüberprüfungen verwenden kann.

Sie können einen oder mehrere Benutzer als Prüfer einer Zugriffsüberprüfung festlegen.

  1. Wählen Sie eine Gruppe in Microsoft Entra ID mit mindestens einem Mitglied aus. Oder wählen Sie eine mit Microsoft Entra ID verbundene Anwendung aus, der mindestens ein Benutzer zugewiesen ist.

  2. Legen Sie fest, ob jeder Benutzer seinen eigenen Zugriff oder ob ein oder mehrere Benutzer den Zugriff aller Benutzer überprüfen soll/sollen.

  3. Wechseln Sie in einer der zuvor aufgeführten Rollen zur Seite Identitätsgovernance.

  4. Erstellen Sie die Zugriffsüberprüfung. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  5. Bitten Sie die Prüfer zu Beginn der Zugriffsüberprüfung, ihre Einschätzung abzugeben. Standardmäßig erhalten alle Prüfer eine E-Mail von Microsoft Entra mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.

  6. Wenn die Prüfer keine Angaben gemacht haben, kann Microsoft Entra ID ihnen eine Erinnerung senden. Standardmäßig sendet Microsoft Entra ID auf halbem Weg zum Enddatum automatisch eine Erinnerung an alle Prüfer.

  7. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

Verwalten des Gastzugriffs mit Microsoft Entra-Zugriffsüberprüfungen

Mit Microsoft Entra ID und der Funktion Microsoft Entra B2B können Sie problemlos die Zusammenarbeit über Organisationsgrenzen hinweg ermöglichen. Gastbenutzer von anderen Mandanten können von Administratoren oder anderen Benutzern eingeladen werden. Dies gilt auch für soziale Identitäten wie z.B. Microsoft-Konten.

Erstellen und Durchführen einer Zugriffsüberprüfung für Gäste

Die gleichen Rollen, die für die Erstellung einer Zugangsüberprüfung für Benutzer erforderlich sind, sind auch für die Erstellung einer Zugangsüberprüfung für Gäste erforderlich. Weitere Informationen finden Sie unter Anlegen und Durchführen einer Zugriffsüberprüfung für Benutzer.

Microsoft Entra ID ermöglicht mehrere Szenarien für die Überprüfung von Gastbenutzern.

Sie können Folgendes überprüfen:

  • Eine Gruppe in Microsoft Entra ID mit mindestens einem Mitglied.
  • Eine mit Microsoft Entra ID verbundene Anwendung, der mindestens ein Benutzer zugewiesen ist.

Beim Überprüfen des Gastbenutzerzugriffs auf Microsoft 365-Gruppen können Sie entweder eine Überprüfung für jede Gruppe einzeln erstellen oder automatische, wiederkehrende Zugriffsüberprüfungen für Gastbenutzer in allen Microsoft 365-Gruppen aktivieren. Im folgenden Video erhalten Sie weitere Informationen zu wiederkehrenden Zugriffsüberprüfungen für Gastbenutzer:

Sie können dann entscheiden, ob Sie jeden Gast bitten, seinen eigenen Zugriff zu überprüfen, oder ob Sie einen oder mehrere Benutzer bitten, den Zugriff von jedem Gast zu überprüfen.

Diese Szenarien werden in den folgenden Abschnitten behandelt.

Auffordern von Gästen zur Überprüfung ihrer eigenen Mitgliedschaft in einer Gruppe

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die eingeladen und einer Gruppe hinzugefügt wurden, weiterhin Zugriff benötigen. Sie können Gäste ganz einfach darum bitten, ihre eigene Mitgliedschaft in dieser Gruppe zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst und die Mitglieder sich selbst überprüfen. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID mit einem Link zu einer Zugriffsüberprüfung. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Benutzer entfernen, die nicht reagiert haben.

  5. Wenn die Gruppe nicht für die Zugriffsverwaltung verwendet wird, können Sie auch Benutzer entfernen, die nicht ausgewählt wurden, an der Überprüfung teilzunehmen, weil sie ihre Einladung nicht angenommen haben. Ein solches Versäumnis kann darauf hindeuten, dass die E-Mail-Adresse des eingeladenen Benutzers einen Tippfehler enthielt. Wenn eine Gruppe als Verteilerliste verwendet wird, wurden einige Gastbenutzer vermutlich nicht für eine Teilnahme ausgewählt, weil es sich bei ihnen um Kontaktobjekte handelt.

Auffordern eines Sponsors zum Überprüfen der Mitgliedschaft eines Gasts in einer Gruppe

Sie können einen Sponsor (z.B. den Besitzer einer Gruppe) bitten, die Notwendigkeit einer weitergehenden Mitgliedschaft eines Gasts in einer Gruppe zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst. Geben Sie dann mindestens einen Prüfer an. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben. Standardmäßig erhalten alle Prüfer eine E-Mail von Microsoft Entra mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

Hinweis

Sie können externe Identitäten für die Anmeldung bei Ihrem Mandanten sperren und die externen Identitäten nach 30 Tagen aus Ihrem Mandanten löschen. Während dieses Zeitraums können Einstellungen, Ergebnisse, Prüfer oder Überwachungsprotokolle, die Teil der aktuellen Prüfung sind, nicht angezeigt oder konfiguriert werden. Weitere Informationen finden Sie unter Deaktivieren und Löschen externer Identitäten mit Microsoft Entra Access Reviews .

Auffordern von Gästen zum Überprüfen ihres eigenen Zugriffs auf eine Anwendung

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die für eine bestimmte Anwendung eingeladen wurden, weiterhin Zugriff benötigen. Sie können die Gäste ganz einfach bitten, ihren eigenen Zugriffsbedarf selbst zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst und die Benutzer ihren eigenen Zugriff überprüfen. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie Gäste, ihren eigenen Zugriff auf die Anwendung zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID. Diese E-Mail enthält einen Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Gastbenutzer entfernen, die nicht reagiert haben. Sie können auch Gastbenutzer entfernen, die nicht für eine Teilnahme ausgewählt wurden, insbesondere, wenn diese in letzter Zeit nicht eingeladen wurden. Diese Benutzer haben ihre Einladung nicht angenommen und hatten daher keinen Zugriff auf die Anwendung.

Auffordern eines Sponsors zum Überprüfen des Zugriffs eines Gasts auf eine Anwendung

Sie können einen Sponsor – z.B. den Besitzer einer Anwendung – bitten, den Bedarf eines Gasts für den weiteren Zugriff auf die Anwendung zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst. Geben Sie dann mindestens einen Benutzer als Prüfer an. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben. Standardmäßig erhalten alle Prüfer eine E-Mail von Microsoft Entra mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

Auffordern von Gästen zur Überprüfung ihres allgemeinen Zugriffsbedarfs

In einigen Organisationen sind Gästen ihre Gruppenmitgliedschaften möglicherweise nicht bekannt.

  1. Erstellen Sie eine Sicherheitsgruppe mit den Gästen als Mitgliedern in Microsoft Entra ID, wenn noch keine geeignete Gruppe vorhanden ist. Sie können z.B. eine Gruppe mit einer manuell verwalteten Mitgliedschaft von Gästen erstellen. Oder Sie können eine dynamische Gruppe mit einem Namen wie „Gäste von Contoso“ für Benutzer im Contoso-Mandanten erstellen, deren UserType-Attributwert „Guest“ lautet. Beachten Sie, dass ein Gastbenutzer, der Mitglied der Gruppe ist, die anderen Mitglieder der Gruppe sehen kann.

  2. Um eine Zugriffsüberprüfung für diese Gruppe zu erstellen, geben Sie an, dass die Prüfer selbst Mitglieder sind. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  3. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID mit einem Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.

  4. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  5. Entfernen Sie den Gastzugriff für Gäste, die abgelehnt wurden, die Überprüfung nicht abgeschlossen haben oder ihre Einladung zuvor nicht angenommen haben. Wenn einige der Gäste Kontakte sind, die für die Teilnahme an der Überprüfung ausgewählt wurden oder die eine Einladung zuvor nicht angenommen haben, können Sie deren Konten über das Microsoft Entra Admin Center oder mit PowerShell deaktivieren. Wenn ein Gast keinen Zugriff mehr benötigt und kein Kontakt ist, können Sie das zugehörige Benutzerobjekt aus dem Verzeichnis entfernen, indem Sie das Gastbenutzerobjekt über das Microsoft Entra Admin Center oder mit PowerShell löschen.

Nächste Schritte

Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen