Verwalten des Mitarbeiter- und Gastlebenszyklus mit Microsoft Entra ID Governance

Identity Governance hilft Organisationen, ein Gleichgewicht herzustellen zwischen der Produktivität – wie schnell eine Person auf die benötigten Ressourcen zugreifen kann (beispielsweise, wenn sie der Organisation beitritt) – Und Sicherheit – Wie sollte sich ihr Zugang im Laufe der Zeit ändern, z. B. aufgrund von Änderungen des Beschäftigungsstatus der betreffenden Person?

Identity Lifecycle Management

Identity Lifecycle Management ist die Grundlage für Identity Governance. Eine effektive Governance im großen Stil erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen. Das Ziel bei Identity Lifecycle Management besteht darin, den gesamten Lebenszyklusprozess der digitalen Identität zu automatisieren und zu verwalten.

Diagramm der Microsoft Entra-Beziehung bei der Bereitstellung mit anderen Quellen und Zielen.

Was ist eine digitale Identität?

Bei einer digitalen Identität handelt es sich um Informationen zu einer Entität, die von einer oder mehreren Computingressourcen genutzt wird, z. B. von Betriebssystemen oder Anwendungen. Diese Entitäten können Personen, Organisationen, Anwendungen oder Geräte sein. Die Identität wird normalerweise durch die ihr zugeordneten Attribute beschrieben, beispielsweise Namen, Bezeichner und Eigenschaften (darunter etwa Rollen für die Zugriffsverwaltung). Anhand dieser Attribute kann in Systemen beispielsweise festgelegt werden, wer worauf Zugriff hat und wer diese Ressource nutzen darf.

Verwalten des Lebenszyklus von digitalen Identitäten

Die Verwaltung von digitalen Identitäten ist eine komplexe Aufgabe. Dies ist vor allem der Fall, weil hierbei reale Objekte, z. B. eine Person und ihre Beziehung zu einer Organisation (Mitarbeiter), mit einer digitalen Darstellung korreliert werden. In kleinen Organisationen kann die Verwaltung der digitalen Darstellung von Personen, die eine Identität benötigen, ein manueller Prozess sein. Wenn eine Person eingestellt wird oder ein Auftragnehmer eintrifft, kann ein IT-Spezialist ein Konto in einem Verzeichnis erstellen und die benötigten Zugriffsberechtigungen für die Person zuweisen. In mittleren und großen Unternehmen kann die Automatisierung eine Organisation aber in die Lage versetzen, die Skalierung effektiver durchzuführen und die Identitäten präzise zu pflegen.

Bei einem typischen Prozess zum Einrichten von Identity Lifecycle Management in einer Organisation werden die folgenden Schritte ausgeführt:

  1. Ermitteln, ob bereits „Systems of Record“ vorhanden sind: Dies ist die Bezeichnung für Datenquellen, die von der Organisation als autoritativ angesehen werden. Beispielsweise kann die Organisation über Workday als System für die Personalverwaltung verfügen. Dieses System wird in Bezug auf die Bereitstellung der aktuellen Mitarbeiterliste als Autorität angesehen, einschließlich einiger zugehöriger Eigenschaften wie der Name oder die Abteilung eines Mitarbeiters. Ein anderes Beispiel ist ein E-Mail-System, z.B. Exchange Online, das als autoritativ in Bezug auf die E-Mail-Adresse eines Mitarbeiters angesehen wird.

  2. Verbinden diese Datensatzsysteme mit Microsoft Entra-ID, und lösen Sie alle Inkonsistenzen zwischen vorhandenen Benutzern in Microsoft Entra ID und den Datensatzsystemen auf. Beispielsweise wurde die Microsoft Entra-ID möglicherweise mit veralteten Daten aufgefüllt, z. B. mit einem Benutzerkonto für einen ehemaligen Mitarbeiter, der nicht mehr mit der Organisation verbunden ist.

  3. Sobald die Microsoft Entra-ID über die richtigen Benutzer verfügt, verbinden Sie die Microsoft Entra-ID mit einem oder mehreren Verzeichnissen und Datenbanken, die von Anwendungen verwendet werden, und lösen Sie alle Inkonsistenzen zwischen diesen Verzeichnissen und der Kopie des Systems der Datensatzdaten in der Microsoft Entra-ID auf. Beispielsweise kann ein Verzeichnis veraltete Daten enthalten, etwa ein Konto für einen ausgeschiedenen Mitarbeiter, das nicht mehr benötigt wird.

  4. Ermitteln, welche Prozesse verwendet werden können, um bei einem fehlenden System of Record autoritative Informationen bereitzustellen. Wenn beispielsweise digitale Identitäten für Besucher verwendet werden und die Organisation über keine Datenbank für Besucher verfügt, muss ggf. auf andere Weise ermittelt werden, wann eine digitale Identität für einen Besucher nicht mehr benötigt wird.

  5. Stellen Sie sicher, dass Änderungen aus dem Aufzeichnungssystem oder anderen Prozessen durch Microsoft Entra ID in alle Verzeichnisse oder Datenbanken repliziert werden, die eine Aktualisierung erfordern.

Identity Lifecycle Management zur Darstellung von Mitarbeitern und anderen Personen mit einer Beziehung zur Organisation

Beim Planen von Identity Lifecycle Management für Mitarbeiter oder andere Personen mit einer Beziehung zur Organisation, z. B. Auftragnehmer oder Studenten, nutzen viele Organisationen einen Prozess nach dem Muster „Eintritt, Versetzung und Austritt“:

  • Beitritt – wenn eine Person in einen Bereich eintritt, in dem sie Zugriff benötigt, wird für diese Anwendungen eine Identität benötigt, so dass eine neue digitale Identität erstellt werden muss, wenn noch keine vorhanden ist
  • Wechsel – wenn sich eine Person zwischen Grenzen bewegt, die das Hinzufügen oder Entfernen zusätzlicher Zugriffsberechtigungen zu ihrer digitalen Identität erfordern
  • Austritt – wenn eine Person aus dem Bereich austritt, in dem sie Zugriff benötigte, muss der Zugriff allenfalls entfernt werden, und anschließend wird die Identität von Anwendungen nicht mehr benötigt, es sei denn zu Überprüfungs- oder forensischen Zwecken

Wenn beispielsweise ein neuer Mitarbeiter in Ihre Organisation eintritt, der bisher noch keinerlei Beziehung zur Organisation hatte, benötigt er eine neue digitale Identität (ein Benutzerkonto in Microsoft Entra ID). Die Erstellung dieses Kontos ist ein Vorgang vom Typ „Eintritt“, der automatisiert werden kann, wenn ein System of Record vorhanden ist (z. B. Workday). Mit diesem System kann angegeben werden, wann der neue Mitarbeiter mit der Arbeit beginnt. Wenn ein Mitarbeiter in Ihrer Organisation dann beispielsweise aus der Vertriebs- in die Marketingabteilung wechselt, ist dies ein Vorgang vom Typ „Übergang“. Dieser Wechsel würde es erforderlich machen, die nicht mehr benötigten Zugriffsrechte für die Vertriebsabteilung zu entfernen und die erforderlichen Rechte für die Marketingabteilung zu gewähren.

Identity Lifecycle Management für Gäste

Ähnliche Prozesse sind auch für zusätzliche Identitäten, für Partner, Lieferanten und andere Gäste erforderlich, damit sie zusammenarbeiten oder Zugriff auf Ressourcen haben können. Microsoft Entra Entitlement Management nutzt Microsoft Entra External ID Business-to-Business (B2B), um die Lebenszykluskontrollen zu gewährleisten, die für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation erforderlich sind, die Zugriff auf die Ressourcen Ihrer Organisation benötigen. Externe Benutzer*innen verwenden Microsoft Entra B2B für die Authentifizierung gegenüber ihrem Basisverzeichnis oder Identitätsanbieter, aber sie werden in Ihrem Verzeichnis der Organisation dargestellt. Die Darstellung in Ihrem Verzeichnis der Organisation ermöglicht dem Benutzer den Zugriff auf Ihre Ressourcen. Bei der Berechtigungsverwaltung können Personen außerhalb Ihrer Organisation Zugriff anfordern, und bei Bedarf wird für sie dann eine digitale Identität erstellt. Diese digitalen Identitäten werden automatisch entfernt, wenn der Benutzer keinen Zugriff mehr hat.

Lizenzanforderungen

Für die Verwendung dieses Features sind Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen erforderlich. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Nächste Schritte