Überprüfen des Zugriffs für Gruppen und Anwendungen mit Zugriffsüberprüfungen

Microsoft Entra ID erleichtert Unternehmen mit dem Feature „Zugriffsüberprüfungen“ das Verwalten des Zugriffs für Gruppen und Anwendungen in Microsoft Entra ID und anderen Microsoft-Webdiensten. In diesem Artikel wird behandelt, wie ein Reviewer eine Zugriffsüberprüfung für Gruppenmitglieder oder Benutzer mit Zugriffsberechtigungen für eine Anwendung durchführt. Wenn Sie den Zugriff für ein Zugriffspaket überprüfen möchten, finden Sie weitere Informationen unter Zugriffsüberprüfung für ein Zugriffspaket in der Berechtigungsverwaltung.

Durchführen von Zugriffsüberprüfung über „Mein Zugriff“

Sie können den Zugriff auf Gruppen und Anwendungen über „Mein Zugriff“ überprüfen. „Mein Zugriff“ ist ein benutzerfreundliches Portal zum Erteilen und Genehmigen des Zugriffs sowie zum Überprüfen von Zugriffsanforderungen.

Navigieren zu „Mein Zugriff“ per E-Mail

Wichtig

Bei E-Mails können Verzögerungen auftreten. In einigen Fällen kann es bis zu 24 Stunden dauern, bis Prüfer eine E-Mail erhalten. Fügen Sie Ihrer Liste der sicheren Empfänger MSSecurity-noreply@microsoft.com hinzu, um sicherzustellen, dass Sie alle E-Mails empfangen.

  1. Achten Sie auf eine E-Mail von Microsoft, in der Sie zur Überprüfung des Zugriffs aufgefordert werden. Hier sehen Sie ein Beispiel für eine E-Mail:

    Screenshot: Beispiel-E-Mail von Microsoft zum Überprüfen des Zugriffs auf eine Gruppe

  2. Wählen Sie den Link Überprüfung starten aus, um die Zugriffsüberprüfung zu öffnen.

Direktes Navigieren zu „Mein Zugriff“

Sie können Ihre ausstehenden Zugriffsüberprüfungen auch anzeigen, indem Sie Ihren Browser zum Öffnen von „Mein Zugriff“ verwenden.

  1. Melden Sie sich unter https://myaccess.microsoft.com/ bei „Mein Zugriff“ an.

  2. Wählen Sie im Menü auf der linken Seite Zugriffsüberprüfungen aus, um eine Liste der ausstehenden Zugriffsüberprüfungen anzuzeigen, die Ihnen zugewiesen sind.

Überprüfen des Zugriffs für einen oder mehrere Benutzer

Nachdem Sie „Mein Zugriff“ unter Gruppen und Apps geöffnet haben, wird Folgendes angezeigt:

  • Name: Der Name der Zugriffsüberprüfung.
  • Fällig: Das Fälligkeitsdatum der Überprüfung. Nach diesem Datum können abgelehnte Benutzer aus der zu überprüfenden Gruppe oder App entfernt werden.
  • Ressource: Der Name der zu überprüfenden Ressource.
  • Fortschritt: Die Anzahl von überprüften Benutzern in Relation zur Gesamtzahl der Benutzer im Rahmen dieser Zugriffsüberprüfung

Klicken Sie zum Starten des Vorgangs auf den Namen einer Zugriffsüberprüfung.

Screenshot: Liste mit ausstehenden Zugriffsüberprüfungen für Apps und Gruppen

In der geöffneten Zugriffsüberprüfung wird die Liste der Benutzer angezeigt, die von dieser Überprüfung betroffen sind.

Hinweis

Wenn Sie aufgefordert werden, Ihren eigenen Zugriff zu überprüfen, sieht die Seite anders aus. Weitere Informationen finden Sie unter Überprüfen des eigenen Zugriffs auf Gruppen oder Anwendungen mit Azure AD-Zugriffsüberprüfungen.

Es gibt zwei Möglichkeiten, Zugriff zu gewähren oder zu verweigern:

  • Sie können einem oder mehreren Benutzern den Zugriff manuell gewähren oder verweigern.
  • Sie können die Systemempfehlungen übernehmen.

Manuelles Überprüfen des Zugriffs für einen oder mehrere Benutzer

  1. Sehen Sie sich die Liste der Benutzer an, und entscheiden Sie, ob der Zugriff für diese Benutzer weiterhin gewährt oder verweigert werden soll.

  2. Wählen Sie einen oder mehrere Benutzer aus, indem Sie auf den Kreis neben ihrem Namen klicken.

  3. Wählen Sie auf der Leiste Genehmigen oder Verweigern aus.

    Wenn Sie sich nicht sicher sind, ob ein Benutzer weiterhin Zugriff haben sollte, können Sie Ich weiß nicht auswählen. Die Zugriffsberechtigung des Benutzers wird beibehalten, und Ihre Auswahl wird in den Überwachungsprotokollen aufgezeichnet. Beachten Sie, dass alle Informationen, die Sie hier angeben, für andere Prüfer verfügbar sind. Sämtliche Reviewer können Ihre Kommentare lesen und beim Überprüfen der Anforderung berücksichtigen.

    Screenshot: Öffnen der Zugriffsüberprüfung mit einer Liste der Benutzer, die überprüft werden sollen

  4. Der Administrator der Zugriffsüberprüfung fordert Sie unter Umständen dazu auf, einen Grund für Ihre Entscheidung in das Feld Grund einzugeben, auch wenn kein Grund erforderlich ist. Sie können Ihre Entscheidung dennoch begründen. Ihre Eingabe ist anschließend für andere Prüfer verfügbar.

  5. Klicken Sie auf Senden.

    Bis zum Abschluss der Zugriffsüberprüfung können Sie Ihre Entscheidung jederzeit ändern. Wenn Sie Ihre Entscheidung ändern möchten, klicken Sie auf die Zeile, und ändern Sie diese. Sie können z.B. den Zugriff für einen Benutzer gewähren, der erst nicht gewährt wurde, oder den Zugriff für einen Benutzer verweigern, dem dieser zunächst gewährt wurde.

Wichtig

  • Wenn der Zugriff für einen Benutzer verweigert wird, wird dieser nicht sofort entfernt. Der Benutzer wird nach Ende des Überprüfungszeitraums bzw. beim Beenden der Überprüfung durch einen Administrator entfernt.
  • Wenn es mehr als einen Reviewer gibt, wird die letzte abgegebene Antwort übernommen. Stellen Sie sich z. B. vor, dass ein Administrator zwei Reviewer auswählt: Alice und Bob. Alice öffnet die Zugriffsüberprüfung als Erste und bestätigt die Zugriffsanforderung eines Benutzers. Vor Ablauf des Überprüfungszeitraums öffnet Bob die Zugriffsüberprüfung und lehnt die Anforderung ab, die Alice zuvor genehmigt hat. Die letzte Entscheidung, also das Verweigern des Zugriffs, wird aufgezeichnet.

Überprüfen des Zugriffs basierend auf Empfehlungen

Wir geben Ihnen Empfehlungen, die Sie mit einem einzigen Klick annehmen können, um die Zugriffsüberprüfung so einfach und schnell wie möglich zu gestalten. Empfehlungen für den Prüfer werden vom System auf zwei Arten generiert. Bei einer Methode wird die Anmeldeaktivität des Benutzers verwendet. Wenn ein Benutzer mindestens 30 Tage lang inaktiv war, empfiehlt das System dem Prüfer, den Zugriff zu verweigern.

Die andere Methode basiert auf dem Zugriff der gleichrangigen Kollegen des Benutzers (Peers). Wenn der Benutzer nicht denselben Zugriff wie seine Kollegen besitzt, empfiehlt das System dem Prüfer, diesem Benutzer den Zugriff zu verweigern.

Wenn Sie Keine Anmeldung innerhalb von 30 Tagen oder Peer-Ausreißer aktiviert haben, führen Sie die folgenden Schritte aus, um Empfehlungen zu akzeptieren:

  1. Wählen Sie mindestens einen Benutzer und dann Empfehlungen akzeptieren aus.

    Screenshot: Liste mit den offenen Zugriffsüberprüfungen und Schaltfläche „Empfehlungen akzeptieren“

    Wenn Sie die Empfehlungen für alle nicht überprüften Benutzer akzeptieren möchten, stellen Sie sicher, dass keine Benutzer ausgewählt sind. Wählen Sie dann auf der oberen Leiste die Schaltfläche Empfehlungen akzeptieren aus.

  2. Wählen Sie Übermitteln, um die Empfehlungen zu akzeptieren.

Hinweis

Wenn Sie Empfehlungen akzeptieren, werden vorherige Entscheidungen dadurch nicht geändert.

Überprüfung des Zugriffs für einen oder mehrere Benutzer in einer mehrstufigen Zugriffsüberprüfung (Vorschau)

Wenn der Administrator mehrstufige Zugriffsüberprüfungen aktiviert hat, umfasst die Überprüfung insgesamt zwei oder drei Phasen. Jeder Überprüfungsphase ist ein bestimmter Prüfer zugeordnet.

Sie überprüfen den Zugriff entweder manuell oder akzeptieren die Empfehlungen auf Grundlage der Anmeldeaktivität für die Phase, der Sie als Prüfer zugewiesen sind.

Als Prüfer der zweiten oder dritten Phase sehen Sie auch die Entscheidungen der Prüfer der vorherigen Phasen, sofern der Administrator diese Einstellung beim Erstellen der Zugriffsüberprüfung aktiviert hat. Die Entscheidung eines Prüfers der zweiten oder dritten Phase überschreibt die Entscheidung der vorherigen Phase. Die Entscheidung des Prüfers der zweiten Phase überschreibt somit die Entscheidung der ersten Phase. Und die Entscheidung des Prüfers der dritten Phase überschreibt die Entscheidung der zweiten Phase.

Screenshot: Auswählen eines Benutzers zum Anzeigen der Ergebnisse mehrstufiger Zugriffsüberprüfungen

Genehmigen oder verweigern Sie den Zugriff, wie unter Überprüfen des Zugriffs für einen oder mehrere Benutzer beschrieben.

Hinweis

Die nächste Phase der Überprüfung wird erst aktiv, wenn die während der Einrichtung der Zugriffsüberprüfung angegebene Zeitspanne abgelaufen ist. Wenn der Administrator der Meinung ist, dass eine Phase abgeschlossen ist, aber die Überprüfungsdauer für diese Phase noch nicht abgelaufen ist, kann er die Schaltfläche Aktuelle Phase beenden in der Übersicht der Zugriffsüberprüfung im Microsoft Entra Admin Center verwenden. Mit dieser Aktion wird die aktive Phase abgeschlossen und die nächste Phase gestartet.

Überprüfen des Zugriffs für Benutzer mit direkter B2B-Verbindung in freigegebenen Teams-Kanälen und Microsoft 365-Gruppen (Vorschau)

Nutzen Sie die folgenden Anleitungen, um den Zugriff von Benutzern mit direkter B2B-Verbindung zu überprüfen:

  1. Als Prüfer sollten Sie eine E-Mail erhalten, in der Sie um Überprüfung des Zugriffs für das Team oder die Gruppe gebeten werden. Wählen Sie den Link in der E-Mail aus, oder navigieren Sie direkt zu https://myaccess.microsoft.com/.

  2. Folgen Sie den Anleitungen unter Überprüfen des Zugriffs für einen oder mehrere Benutzer, um Entscheidungen zum Genehmigen oder Verweigern des Zugriffs auf die Teams zu treffen.

Hinweis

Im Gegensatz zu internen Benutzern und Benutzern für die B2B-Zusammenarbeit gibt es für Benutzer mit direkter B2B-Verbindung und Teams keine auf der letzten Anmeldeaktivität basierenden Empfehlungen zum Treffen von Entscheidungen, wenn Sie die Überprüfung durchführen.

Wenn ein von Ihnen überprüftes Team über freigegebene Kanäle verfügt, werden alle Benutzer mit direkter B2B-Verbindung und Teams, die auf diese freigegebenen Kanäle zugreifen, in die Überprüfung einbezogen. Dazu zählen auch Benutzer für die B2B-Zusammenarbeit und interne Benutzer. Wenn einem Benutzer mit direkter B2B-Verbindung oder einem Team der Zugriff in einer Zugriffsüberprüfung verweigert wird, verliert der Benutzer den Zugriff auf jeden freigegebenen Kanal im Team. Weitere Informationen zu Benutzern mit direkter B2B-Verbindung finden Sie unter direkte B2B-Verbindung.

Einrichten, was geschieht, wenn keine Maßnahmen zur Zugriffsüberprüfung ergriffen werden

Wenn die Zugriffsüberprüfung eingerichtet ist, kann der Administrator mithilfe der erweiterten Einstellungen festlegen, was geschehen soll, wenn ein Prüfer nicht auf eine Anfrage zur Zugriffsüberprüfung reagiert.

Der Administrator kann die Überprüfung so einrichten, dass eine automatische Entscheidung über den Zugriff aller nicht überprüften Benutzer getroffen wird, wenn die Prüfer bis zum Ablauf des Überprüfungszeitraums nicht reagieren. Dazu kann auch der Verlust des Zugriffs für die überprüfte Gruppe oder Anwendung gehören.

Nächste Schritte