Tutorial: Onboarding externer Benutzer zu Microsoft Entra ID über einen Genehmigungsprozess

Sie können die Berechtigungsverwaltung verwenden, um das Onboarding externer Benutzer durchzuführen. Mit diesem Feature können externe Benutzer Zugriff auf eine Gruppe von Ressourcen anfordern und Sie Genehmigungen einrichten, bevor Benutzer Zugriff auf Ihr Verzeichnis erhalten. Für externe Benutzer, für die das Onboarding über Berechtigungen durchgeführt wurde, können Sie den Lebenszyklus über Zugriffspakete verwalten. Wenn das letzte Zugriffspaket abläuft, werden die betreffenden Benutzer aus Ihrem Verzeichnis entfernt.

In diesem Tutorial arbeiten Sie als IT-Administrator für die WoodGrove Bank. Sie wurden aufgefordert, ein Zugriffspaket für das Onboarding von Partnern aus einer externen Organisation zu erstellen, mit der Ihre Geschäftsgruppe zusammenarbeitet. Sie benötigen Zugriff auf eine Teams-Gruppe namens External collaboration (Externe Zusammenarbeit). Eine Genehmigung wird von einem internen Sponsor für zusammenarbeitende Organisationen benötigt. Außerdem wurden Sie darüber informiert, dass der Zugriff des Partners nach 60 Tagen ablaufen muss. Um die Berechtigungsverwaltung verwenden zu können, benötigen Sie eine der folgenden Lizenzen:

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance
  • Enterprise Mobility + Security (EMS) E5-Lizenz

Weitere Informationen finden Sie unter Lizenzanforderungen.

Schritt 1: Konfigurieren der Grundlagen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind „Katalogbesitzer“, „Benutzeradministrator“ und „Zugriffspaket-Manager“.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wenn Sie die Seite „Zugriffspaket auswählen“ und „Zugriff verweigert“ angezeigt wird, vergewissern Sie sich, dass Ihr Verzeichnis eine Microsoft Entra ID Premium P2- oder Microsoft Entra ID Governance-Lizenz enthält.

  4. Wählen Sie Neues Zugriffspaket aus.

  5. Geben Sie auf der Registerkarte Grundlagen den Namen External user package (Externes Benutzerpaket) und die Beschreibung Access for external users pending approval (Zugriff für externe Benutzer mit ausstehender Genehmigung) ein.

  6. Sie können für die Dropdownliste Katalog die Einstellung Allgemein übernehmen.

Schritt 2: Konfigurieren der Ressourcen

  1. Wählen Sie Weiter aus, um die Registerkarte Ressourcenrollen zu öffnen.

    Wählen Sie auf dieser Registerkarte die Ressourcen und die Ressourcenrolle aus, die in das Zugriffspaket aufgenommen werden sollen.

  2. Wählen Sie Gruppen und Teams aus, und suchen Sie nach Ihrer Gruppe External collaboration (Externe Zusammenarbeit).

Schritt 3: Konfigurieren von Anforderungen

  1. Wählen Sie Weiter aus, um die Registerkarte Anforderungen zu öffnen.

    Diese Registerkarte dient zum Erstellen einer Anforderungsrichtlinie. In einer Richtlinie sind die Regeln oder Leitlinien für den Zugriff auf ein Zugriffspaket definiert. Sie erstellen eine Richtlinie, die es einem bestimmten Benutzer im Ressourcenverzeichnis ermöglicht, dieses Zugriffspaket anzufordern.

  2. Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden und dann Alle Benutzer (Alle verbundenen Organisationen und alle neuen externen Benutzer) aus.

  3. Da jeder Benutzer, der sich noch nicht in Ihrem Verzeichnis befindet, eine Anforderung für dieses Zugriffspaket anzeigen und übermitteln kann, ist Ja für die Einstellung Genehmigung erforderlich obligatorisch.

  4. Mit den folgenden Einstellungen können Sie konfigurieren, wie Ihre Genehmigungen für Ihre externen Benutzer funktionieren:

  5. Belassen Sie Begründung des Anforderers erforderlich als Ja.

  6. Übernehmen Sie für Wie viele Phasen den Wert 1.

  7. Wählen Sie für das Szenario einer genehmigenden Person die Option Interner Sponsor aus. Diese Option stammt von einer konfigurierten verbundenen Organisation, in der Sie für bestimmte Organisationen, mit denen Sie zusammenarbeiten, als Sponsor fungieren können. Auf diese Weise können Sie eine in der verbundenen Organisation angegebene Person aus Ihrer Organisation als genehmigende Person festlegen.

  8. Übernehmen Sie für Zulässige Anzahl von Tagen für Entscheidungsfindung den Wert 14.

  9. Belassen Sie Begründung der genehmigenden Person erforderlich als Ja.

  10. Legen Sie Neue Anforderungen und Zuweisungen aktivieren auf Ja fest, damit dieses Zugriffspaket angefordert werden kann, sobald es erstellt wurde.

Schritt 4: Konfigurieren von Anfordererinformationen

  1. Wählen Sie Weiter aus, um die Registerkarte Informationen zum Anforderer zu öffnen.

  2. Auf diesem Bildschirm können Sie zusätzliche Fragen stellen, um weitere Informationen von Ihrem Anforderer zu erfassen. Diese Fragen werden im Anforderungsformular angezeigt und können als erforderlich oder optional festgelegt werden. Vorerst können Sie diese Angaben leer lassen.

Schritt 5: Konfigurieren des Lebenszyklus

  1. Wählen Sie Weiter aus, um die Registerkarte Lebenszyklus zu öffnen.

  2. Legen Sie im Abschnitt Ablauf die Option Zugriffspaketzuweisung läuft ab auf Anzahl Tage fest.

  3. Legen Sie Zuweisung läuft ab nach auf 60 Tage fest. Dieses Feld bestimmt, wann Ihre Gastbenutzer ihren Zugriff erneuern müssen.

  4. Sie können auch Zugriffsüberprüfungen konfigurieren, die regelmäßige Überprüfungen ermöglichen, ob der Gast weiterhin Zugriff auf das Zugriffspaket benötigt. Eine Überprüfung kann eine Selbstüberprüfung sein, oder Sie können bestimmte Überprüfungen für diese Aufgabe festlegen. Weitere Informationen finden Sie unter Zugriffsüberprüfungen.

Schritt 6: Überprüfen und Erstellen Ihres Zugriffspakets

  1. Wählen Sie Weiter aus, um die Registerkarte Überprüfen + erstellen zu öffnen.

  2. Auf diesem Bildschirm können Sie die Konfiguration für Ihr Zugriffspaket überprüfen, bevor Sie es erstellen. Bei Problemen können Sie mithilfe der Registerkarten zu einem bestimmten Punkt im Erstellungsvorgang navigieren, um Änderungen vorzunehmen.

  3. Wenn Sie mit Ihrer Auswahl zufrieden sind, klicken Sie auf Erstellen. Nach einigen Augenblicken sollte eine Benachrichtigung angezeigt werden, dass das Zugriffspaket erfolgreich erstellt wurde.

  4. Nach der Erstellung gelangen Sie auf die Übersichtsseite für Ihr Zugriffspaket. Hier finden Sie den Link zum Portal „Mein Zugriff“ und können ihn kopieren. Geben Sie diesen Link für Ihre externen Benutzer frei, die dieses Paket dann anfordern können, um mit der Zusammenarbeit zu beginnen.

Schritt 7: Bereinigen der Ressourcen

In diesem Schritt können Sie das Zugriffspaket für Externen Benutzerpaketzugriff löschen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

    Tipp

    Zu anderen geringstprivilegierten Rollen, die diese Aufgabe ausführen können, gehört die Rolle „Zugriffspaket-Manager“.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie das Zugriffspaket für Externen Benutzerzugriff.

  4. Wählen Sie Ressourcenrollen aus.

  5. Wählen Sie die Gruppe Externe Zusammenarbeit aus, die Sie diesem Zugriffspaket hinzugefügt haben, und wählen Sie im Bereich Details die Option Ressourcenrolle entfernen aus. Wählen Sie in der angezeigten Meldung Ja aus.

  6. Öffnen Sie die Liste der Zugriffspakete.

  7. Wählen Sie für Externes Benutzerpaket die Auslassungspunkte (...) und anschließend Löschen aus. Wählen Sie in der angezeigten Meldung Ja aus.

Nächste Schritte

Informieren Sie sich über das Erstellen von Zugriffspaketen, um den Zugriff auf andere Arten von Ressourcen wie Anwendungen und Sites zu verwalten. Tutorial: Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung