Freigeben über

Microsoft Entra-Bereitstellungsszenario: Modernisieren des Remotezugriffs auf lokale Apps mit MFA pro App

  • Artikel

Die Microsoft Entra-Bereitstellungsszenarien bieten Ihnen detaillierte Leitfäden zum Kombinieren und Testen der folgenden Produkte der Microsoft Entra Suite:

In diesen Leitfäden beschreiben wir Szenarios, die zeigen, wie nützlich Microsoft Entra Suite ist und wie die Funktionen zusammenarbeiten.

Szenario: Modernisieren des Remotezugriffs mit Schnellzugriff

In diesem Abschnitt wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso ihre vorhandene VPN-Lösung aktualisieren möchte. Die neue skalierbare und cloudbasierte Lösung hilft ihr beim Umstieg auf Secure Access Service Edge (SASE). Um dieses Ziel zu erreichen, stellt das Unternehmen Microsoft Entra-Internetzugriff, Microsoft Entra-Privatzugriff und Microsoft Entra ID Protection bereit.

Microsoft Entra-Privatzugriff ermöglicht Benutzer:innen (intern und remote) sicheren Zugriff auf private Unternehmensressourcen. Microsoft Entra-Privatzugriff basiert auf dem Microsoft Entra-Anwendungsproxy, um den Zugriff auf private Ressourcen unabhängig vom TCP/IP-Port und vom Protokoll zu erweitern.

Remotebenutzer:innen können über Hybrid- und Multicloudumgebungen, private Netzwerke und Rechenzentren von jedem Gerät und Netzwerk aus eine Verbindung mit privaten Apps herstellen, ohne dass eine VPN-Lösung erforderlich ist. Der Dienst bietet adaptiven Zugriff pro App basierend auf Richtlinien für bedingten Zugriff und damit eine noch präzisere Sicherheit als eine herkömmliche VPN-Lösung.

Die cloudbasierte Identitäts- und Zugriffsverwaltung (IAM) von Microsoft Entra ID Protection schützt Benutzeridentitäten und Anmeldeinformationen vor Kompromittierung.

Sie können diese allgemeinen Schritte für die Contoso-Lösung wie in diesem Szenario beschrieben nachvollziehen.

  1. Registrieren Sie sich für die Microsoft Entra Suite. Aktivieren und konfigurieren Sie Microsoft Entra-Internetzugriff und -Privatzugriff mit den gewünschten Netzwerk- und Sicherheitseinstellungen.
  2. Stellen Sie den Microsoft-Client für globalen sicheren Zugriff auf Benutzergeräten sowie Connectors für Microsoft Entra-Privatzugriff in privaten Netzwerken bereit. Schließen Sie Multicloud-VNets auf Basis von IaaS (Infrastructure-as-a-Service) ein, um Zugriff auf Apps und Ressourcen in Contoso-Netzwerken zu erhalten.
  3. Richten Sie private Apps als Apps mit globalem sicherem Zugriff ein. Weisen Sie geeignete Benutzer:innen und Gruppen zu. Richten Sie Richtlinien für bedingten Zugriff für diese Apps und Benutzer:innen ein. Mit diesem Setup erzielen Sie minimalen Zugriff, indem Sie nur Benutzer:innen und Gruppen den Zugriff erlauben, die diesen auch benötigen.
  4. Aktivieren Sie Microsoft Entra ID Protection, damit Administrator:innen Risiken untersuchen und beheben können, um Organisationen sicher und geschützt zu halten. Risiken können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen, und zur weiteren Untersuchung an ein SIEM-Tool (Security Information & Event Management) übergeben werden.
  5. Verwenden Sie erweiterte Protokolle und Analysen von Microsoft Entra-Internetzugriff, Microsoft Entra-Privatzugriff und Microsoft Entra ID Protection, um den Netzwerk- und Sicherheitsstatus nachzuverfolgen und zu bewerten. Diese Konfiguration hilft Ihrem SOC-Team (Security Operations Center), Bedrohungen umgehend zu erkennen und zu untersuchen, um eine Eskalation zu verhindern.

Die Lösungen der Microsoft Entra Suite bieten gegenüber einem VPN folgende Vorteile:

  • Einfachere und konsolidierte Verwaltung
  • Niedrigere VPN-Kosten
  • Höhere Sicherheit und Sichtbarkeit
  • Reibungsloseres Benutzererlebnis und mehr Effizienz
  • Bereitschaft für SASE

Anforderungen für Remotezugriff mit Schnellzugriff

In diesem Abschnitt werden die Anforderungen für die Lösung in diesem Szenario definiert.

Berechtigungen für den Remotezugriff mit Schnellzugriff

Administrator:innen, die mit Features für den globalen sicheren Zugriff arbeiten, benötigen die Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“.

Die Konfiguration einer Richtlinie für bedingten Zugriff erfordert die Rolle „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“. Einige Features erfordern möglicherweise weitere Rollen.

Voraussetzungen für den Remotezugriff mit Schnellzugriff

Um dieses Szenario erfolgreich bereitzustellen und zu testen, konfigurieren Sie die folgenden Voraussetzungen:

  1. Microsoft Entra-Mandant mit Microsoft Entra ID P1-Lizenz. Konfigurieren Sie Microsoft Entra ID zum Testen von Microsoft Entra ID Protection. Erwerben Sie Lizenzen oder Testlizenzen.
    • Ein Benutzerkonto mit mindestens den Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“, um Microsoft Security Service Edge zu konfigurieren
    • Mindestens ein Clienttestbenutzerkonto in Ihrem Mandanten
  2. Ein Windows-Clientgerät mit folgender Konfiguration:
    • Windows 10 oder 11, 64-Bit-Version
    • Microsoft Entra-Einbindung oder -Hybrideinbindung
    • Internetverbindung und kein Unternehmensnetzwerkzugriff oder VPN
  3. Laden Sie den Client für globalen sicheren Zugriff auf dem Clientgerät herunter, und installieren Sie ihn. Im Artikel Client für globalen sicheren Zugriff für Windows werden die Voraussetzungen und die Installation beschrieben.
  4. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Ressourcenserver:
    • Windows Server 2012 R2 oder höher
    • Eine Dateifreigabe
  5. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Connectorserver:
  6. Stellen Sie eine Verbindung zwischen Connectorserver und Anwendungsserver her. Überprüfen Sie den Zugriff auf die Testanwendung auf dem Anwendungsserver (z. B. durch den erfolgreichen Zugriff auf eine Dateifreigabe).

Die folgende Abbildung veranschaulicht die Mindestarchitekturanforderungen für das Bereitstellen und Testen von Microsoft Entra-Privatzugriff:

Die Abbildung zeigt Anforderungen wie einen Microsoft Entra ID-Mandanten mit P1-Lizenz.

Konfigurieren des globalen sicheren Zugriffs für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt aktivieren Sie den globalen sicheren Zugriff über das Microsoft Entra Admin Center. Anschließend richten Sie die für dieses Szenario erforderlichen Anfangskonfigurationen ein.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Navigieren Sie zu globaler sicherer Zugriff>>"globaler sicherer Zugriff" in Ihrem Mandanten aktivieren. Wählen Sie Aktivieren aus, um SSE-Features zu aktivieren.
  3. Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung. Aktivieren Sie den Umschalter Privates Zugriffsprofil. Mit der Datenverkehrsweiterleitung können Sie den Typ von Netzwerkdatenverkehr konfigurieren, der durch die Dienste der Security Service Edge-Lösung von Microsoft getunnelt werden soll. Richten Sie Datenverkehrsweiterleitungsprofile ein, um Datenverkehrstypen zu verwalten.

    • Das Microsoft 365-Zugriffsprofil ist für Microsoft Entra-Internetzugriff für Microsoft 365 vorgesehen.

    • Das Profil für den privaten Zugriff ist für Microsoft Entra-Privatzugriff vorgesehen.

    • Das Internetzugriffsprofil ist für Microsoft Entra-Internetzugriff vorgesehen. Die Security Service Edge-Lösung von Microsoft erfasst nur den Datenverkehr auf Clientgeräten, auf denen der Client für „globaler sicherer Zugriff“ installiert ist.

      Screenshot der Datenverkehrsweiterleitung mit aktivierter Steuerung über das Privatzugriffsprofil.

Installieren des Clients für globalen sicheren Zugriff für den Remotezugriff mit Schnellzugriff

Microsoft Entra-Internetzugriff für Microsoft 365 und Microsoft Entra-Privatzugriff verwenden den Client für globalen sicheren Zugriff auf Windows-Geräten. Dieser Client erfasst den Netzwerkdatenverkehr und leitet ihn an die Security Service Edge-Lösung von Microsoft weiter. Führen Sie die folgenden Installations- und Konfigurationsschritte aus:

  1. Stellen Sie sicher, dass das Windows-Gerät in Microsoft Entra eingebunden oder hybrid eingebunden ist.

  2. Melden Sie sich mit einer Microsoft Entra-Benutzerrolle mit lokalen Administratorrechten auf dem Windows-Gerät an.

  3. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

  4. Navigieren Sie zu >Verbinden>Clientdownload. Wählen Sie Client herunterladen aus. Schließen Sie die Installation ab.

    Screenshot des Clientdownloads mit dem Windows-Steuerelement „Client herunterladen“

  5. In der Windows-Taskleiste wird der Global Secure Access-Client zuerst als getrennt angezeigt. Wenn Sie nach einigen Sekunden zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen des Testbenutzerkontos ein.

  6. Zeigen Sie auf der Windows-Taskleiste auf das Symbol Global Secure Access-Client, und überprüfen Sie Status Verbindung.

Einrichten des Connectorservers für den Remotezugriff mit Schnellzugriff

Der Connectorserver kommuniziert mit der Microsoft Security Service Edge-Lösung als Gateway zum Unternehmensnetzwerk. Er verwendet ausgehende Verbindungen über 80 und 443 und erfordert keine eingehenden Ports. Erfahren Sie, Wie Sie Connectors für Microsoft Entra-Privatzugriff konfigurieren. Führen Sie die folgenden Konfigurationsschritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für globalen sicheren Zugriff an.

  2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Connectors. Wählen Sie Private Netzwerkconnectors aktivieren aus.

    Screenshot privater Netzwerkconnectors mit einem roten Feld um das Steuerelement „Private Netzwerkconnectors aktivieren“

  3. Wählen Sie Connectordienst herunterladen.

  4. Führen Sie den Installations-Assistenten aus, um den Connectordienst auf dem Connectorserver zu installieren. Wenn Sie dazu aufgefordert werden, geben Sie die Mandantenanmeldeinformationen ein, um die Installation abzuschließen.

  5. Der Connectorserver wurde installiert, wenn er in Connectors angezeigt wird.

In diesem Szenario verwenden Sie die Standardconnectorgruppe mit einem Connectorserver. In einer Produktionsumgebung erstellen Sie Connectorgruppen mit mehreren Connectorservern. Einen ausführlichen Leitfaden finden Sie unter Veröffentlichen von Apps in separaten Netzwerken mithilfe von Connectorgruppen.

Erstellen einer Sicherheitsgruppe für den Remotezugriff mit Schnellzugriff

In diesem Szenario verwenden Sie eine Sicherheitsgruppe, um der Anwendung für den privaten Zugriff Berechtigungen zuzuweisen und Ziele für die Richtlinien für bedingten Zugriff zuzuweisen.

  1. Erstellen Sie im Microsoft Entra Admin Center eine neue reine Cloudsicherheitsgruppe.
  2. Fügen Sie ein Testbenutzerkonto als Mitglied hinzu.

Festlegen einer privaten Ressource für den Remotezugriff mit Schnellzugriff

In diesem Szenario verwenden Sie Dateifreigabedienste als Beispielressource. Sie können jede private Anwendung oder Ressource verwenden. Sie müssen wissen, welche Ports und Protokolle die Anwendung verwendet, um sie mit Microsoft Entra-Privatzugriff zu veröffentlichen.

Identifizieren Sie einen Server mit einer Dateifreigabe für die Veröffentlichung, und notieren Sie seine IP-Adresse. Dateifreigabedienste verwenden Port 445/TCP.

Veröffentlichen der Anwendung für den Remotezugriff mit Schnellzugriff

Microsoft Entra-Privatzugriff unterstützt TCP-Anwendungen (Transmission Control Protocol) über jeden Port. Führen Sie die folgenden Schritte aus, um eine Verbindung mit dem Dateiserver (TCP-Port 445) über das Internet herzustellen:

  1. Stellen Sie auf dem Connectorserver sicher, dass Sie auf eine Dateifreigabe auf dem Dateiserver zugreifen können.

  2. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

  3. Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen>+ Neue Anwendung.

    Screenshot von Unternehmensanwendungen mit dem Steuerelement „Neue Anwendung“

  4. Geben Sie einen Namen ein (z. B. Dateiserver1). Wählen Sie die Standardconnectorgruppe aus. Wählen Sie + Anwendungssegment hinzufügen aus. Geben Sie die IP-Adresse des Anwendungsservers und Port 441 ein.

    Screenshot von „Anwendung für globalen sicheren Zugriff erstellen“, „Anwendungssegment erstellen“

  5. Wählen Sie Übernehmen>Speichern aus. Überprüfen Sie, ob die Anwendung unter Unternehmensanwendungen angezeigt wird.

  6. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen. Wählen Sie die neue Anwendung aus.

  7. Wählen Sie Benutzer und Gruppen aus. Fügen Sie die Sicherheitsgruppe hinzu, die Sie zuvor mit Testbenutzer:innen erstellt haben, die über das Internet auf diese Dateifreigabe zugreifen.

Schützen der veröffentlichten Anwendung für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt erstellen Sie eine Richtlinie für bedingten Zugriff, die den Zugriff auf die neue Anwendung blockiert, wenn das Risiko von Benutzer:innen erhöht wird.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Geben Sie einen Namen ein, und wählen Sie Benutzer:innen aus. Wählen Sie die Option „Benutzer und Gruppen“ aus. Wählen Sie die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.
  5. Wählen Sie Zielressourcen>Apps und die Anwendung aus, die Sie zuvor erstellt haben (z. B. Dateiserver1).
  6. Wählen Sie Bedingungen>Benutzerrisiko>Konfigurieren>Ja aus. Wählen Sie die Risikostufen Hoch und Mittel aus. Wählen Sie Fertig aus.
  7. Wählen Sie Zuweisen>BlockierenZugriff>Auswählen aus.
  8. Aktivieren Sie Richtlinie aktivieren.
  9. Überprüfen Sie Ihre Einstellungen.
  10. Klicken Sie auf Erstellen.

Überprüfen des Zugriffs für den Remotezugriff mit Schnellzugriff

In diesem Abschnitt überprüfen Sie, ob die Benutzer:innen auf den Dateiserver zugreifen können, wenn kein Risiko besteht. Vergewissern Sie sich, dass der Zugriff blockiert wird, wenn ein Risiko erkannt wird.

  1. Melden Sie sich auf dem Gerät an, auf dem Sie zuvor den Client für globalen sicheren Zugriff installiert haben.

  2. Versuchen Sie, auf den Dateiserver zuzugreifen, indem Sie \\\IP_address ausführen, und überprüfen Sie, ob Sie die Dateifreigabe durchsuchen können.

    Screenshot des Windows-Explorers mit der Verbindung mit der Dateifreigabe

  3. Simulieren Sie bei Bedarf das Benutzerrisiko, indem Sie die Anweisungen unter Simulieren von Risikoerkennungen in Microsoft Entra ID Protection befolgen. Möglicherweise müssen Sie mehrmals versuchen, das Benutzerrisiko auf „Mittel“ oder „Hoch“ zu erhöhen.

  4. Versuchen Sie, auf den Dateiserver zuzugreifen, um sich zu vergewissern, dass der Zugriff blockiert wird. Möglicherweise müssen Sie bis zu einer Stunde auf das Erzwingen der Blockierung warten.

  5. Überprüfen Sie, ob die Richtlinie für bedingten Zugriff (die Sie zuvor mithilfe von Anmeldeprotokollen erstellt haben) den Zugriff blockiert. Öffnen Sie die Protokolle für die nicht interaktive Anmeldung der Anwendung ZTNA Network Access Client – Privat. Zeigen Sie die Protokolle für den Namen der Anwendung für den privaten Zugriff an, die Sie zuvor als Ressourcennamen erstellt haben.

Szenario: Modernisieren des Remotezugriffs pro App

In diesem Abschnitt wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso ihre Cybersicherheitspraxis umstellt. Sie wenden Zero Trust-Prinzipien an, die explizit überprüfen, ob die geringsten Rechte angewandt werden, und gehen von Sicherheitsverletzungen bei sämtlichen Anwendungen und Ressourcen aus. Im Ermittlungsprozess identifizierten Sie mehrere Geschäftsanwendungen, die keine moderne Authentifizierung verwenden und sich auf die Konnektivität mit dem Unternehmensnetzwerk (entweder von ihren Zweigstellen oder remote per VPN) verlassen.

Sie können diese allgemeinen Schritte für die Contoso-Lösung wie in diesem Szenario beschrieben nachvollziehen.

  1. Um dies explizit zu überprüfen, konfigurieren Sie Microsoft Entra-Privatzugriff für den Zugriff auf Anwendungsbasis auf das Unternehmensnetzwerk. Verwenden Sie die einheitlichen Zugriffssteuerungen vom bedingtem Zugriff und von Microsoft Entra ID Protection, um Zugriff auf das Unternehmensnetzwerk basierend auf Identität, Endpunkt und Risikosignal zu gewähren und sie mit Microsoft 365 und anderen Cloudanwendungen zu verwenden.
  2. Um die geringsten Berechtigungen zu erzwingen, verwenden Sie Microsoft Entra ID Governance, um Zugriffspakete zu erstellen, die den Netzwerkzugriff pro App zusammen mit den Anwendungen einschließend, die dies erfordern. Dieser Ansatz gewährt Mitarbeitenden Zugriff auf das Unternehmensnetzwerk über ihren Lebenszyklus (Einstellung/Versetzung/Abgang) gemäß ihre Aufgaben.

Im Rahmen dieser Transformation erzielen SecOps-Teams umfangreichere und einheitlichere Sicherheitsanalysen, um Sicherheitsbedrohungen besser erkennen zu können. Folgende Vorteile bietet die gemeinsame Verwendung der Lösungen:

  • Höhere Sicherheit und Sichtbarkeit Erzwingen Sie präzise und adaptive Zugriffsrichtlinien basierend auf Identität und Kontext von Benutzer:innen und Geräten sowie der Vertraulichkeit und dem Standort von Anwendungen und Daten. Verwenden Sie angereicherte Protokolle und Analysen, um Erkenntnisse zum Netzwerk- und Sicherheitsstatus zu gewinnen und Bedrohungen schneller zu erkennen und darauf zu reagieren.
  • Zugriff mit geringsten Berechtigungen auf lokale Anwendungen Reduzieren Sie den Zugriff auf das Unternehmensnetzwerk ausschließlich auf Dinge, die für die Anwendungen unbedingt erforderlich sind. Beziehen Sie beim Zuweisen und Steuern des Zugriffs die Aufgaben und der Änderungen während des Lebenszyklus (Einstellung/Versetzung/Abgang) ein. Mit diesem Ansatz reduzieren Sie das Risiko von Angriffsvektoren mit seitlicher Bewegung.
  • Produktivität steigern Aktivieren Sie gleichzeitig den Zugriff auf Anwendungen und Netzwerke, wenn Benutzer:innen der Organisation beitreten, damit sie ab dem ersten Tag loslegen können. Benutzer:innen verfügen über den richtigen Zugriff auf die erforderlichen Informationen, Gruppenmitgliedschaften und Anwendungen. Self-Service-Funktionen für Mitarbeitende, die innerhalb der Organisation versetzt werden, stellen sicher, dass der Zugriff für Personen entzogen wird, wenn sie die Organisation verlassen.

Anforderungen für den Remotezugriff pro App

In diesem Abschnitt werden die Anforderungen für die Lösung in diesem Szenario definiert.

Berechtigungen für den Remotezugriff pro App

Administrator:innen, die mit Features für den globalen sicheren Zugriff arbeiten, benötigen die Rollen „Administrator für globalen sicheren Zugriff“ und „Anwendungsadministrator“.

Für die Identity Governance-Konfiguration ist mindestens die Rolle „Identity Governance-Administrator“ erforderlich.

Lizenzen für den Remotezugriff pro App

Um alle Schritte in diesem Szenario ausführen zu können, benötigen Sie Lizenzen für den globalen sicheren Zugriff und Microsoft Entra ID Governance. Sie können Lizenzen erwerben oder Testlizenzen erhalten. Weitere Informationen zur Lizenzierung für den globalen sicheren Zugriff finden Sie im Abschnitt Was ist globaler sicherer Zugriff?.

Benutzer:innen für den Remotezugriff pro App

Um die Schritte in diesem Szenario zu konfigurieren und zu testen, benötigen Sie die folgenden Benutzerkonten:

  • Microsoft Entra-Administrator mit den unter „Berechtigungen“ definierten Rollen
  • Lokaler Active Directory-Administrator zum Konfigurieren der Cloudsynchronisierung und des Zugriffs auf die Beispielressource (Dateiserver)
  • Ein synchronisiertes normales Benutzerkonto zum Durchführen von Tests auf einem Clientgerät

Voraussetzungen für den privaten Zugriff

Um dieses Szenario erfolgreich bereitzustellen und zu testen, konfigurieren Sie die folgenden Voraussetzungen:

  1. Ein Windows-Clientgerät mit folgender Konfiguration:
    • Windows 10 oder 11, 64-Bit-Version
    • Microsoft Entra-Einbindung oder -Hybrideinbindung
    • Internetverbindung und kein Unternehmensnetzwerkzugriff oder VPN
  2. Laden Sie den Global Secure Access-Client auf dem Clientgerät herunter, und installieren Sie diesen. Im Artikel Client für globalen sicheren Zugriff für Windows werden die Voraussetzungen und die Installation beschrieben.
  3. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Ressourcenserver:
    • Windows Server 2012 R2 oder höher
    • Eine Dateifreigabe
  4. Um Microsoft Entra-Privatzugriff zu testen, konfigurieren Sie einen Windows-Server als Connectorserver:
  5. Stellen Sie die Verbindung zwischen dem Connectorserver und dem Anwendungsserver her. Vergewissern Sie sich, dass Sie auf die Testanwendung auf dem Anwendungsserver zugreifen können (z. B. durch den erfolgreichen Zugriff auf eine Dateifreigabe).

Die folgende Abbildung veranschaulicht die Mindestarchitekturanforderungen für das Bereitstellen und Testen von Microsoft Entra-Privatzugriff:

Die Abbildung zeigt Anforderungen wie einen Microsoft Entra ID-Mandanten mit P1-Lizenz.

Bestimmen der privaten Ressource für den Remotezugriff pro App

In diesem Szenario verwenden Sie Dateifreigabedienste als Beispielressource. Sie können jede private Anwendung oder Ressource verwenden. Sie müssen wissen, welche Ports und Protokolle die Anwendung verwendet, um sie mit Microsoft Entra-Privatzugriff zu veröffentlichen.

Bestimmen Sie einen Server mit einer Dateifreigabe, die Sie veröffentlichen möchten, und notieren Sie seine IP-Adresse. Dateifreigabedienste verwenden Port 445/TCP.

Konfigurieren des globalen sicheren Zugriffs für den Remotezugriff pro App

Aktivieren Sie den globalen sicheren Zugriff über das Microsoft Entra Admin Center, und nehmen Sie erforderliche Anfangskonfigurationen für dieses Szenario vor.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Navigieren Sie zu globaler sicherer Zugriff>>"globaler sicherer Zugriff" in Ihrem Mandanten aktivieren. Wählen Sie Aktivieren aus, um SSE-Features in Ihrem Mandanten zu aktivieren.
  3. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Datenverkehrsweiterleitung. Aktivieren Sie den Umschalter Privates Zugriffsprofil. Mit der Datenverkehrsweiterleitung können Sie den Typ von Netzwerkdatenverkehr konfigurieren, der durch die Dienste der Security Service Edge-Lösung von Microsoft getunnelt werden soll. Richten Sie Datenverkehrsweiterleitungsprofile ein, um Datenverkehrstypen zu verwalten.

    • Das Microsoft 365-Zugriffsprofil ist für Microsoft Entra-Internetzugriff für Microsoft 365 vorgesehen.

    • Das Profil für den privaten Zugriff ist für Microsoft Entra-Privatzugriff vorgesehen.

    • Das Internetzugriffsprofil ist für Microsoft Entra-Internetzugriff vorgesehen. Die Security Service Edge-Lösung von Microsoft erfasst nur den Datenverkehr auf Clientgeräten, auf denen der Client für „globaler sicherer Zugriff“ installiert ist.

      Screenshot der Datenverkehrsweiterleitung mit aktivierter Steuerung über das Privatzugriffsprofil.

Installieren des Clients für globalen sicheren Zugriff für den Remotezugriff pro App

Microsoft Entra-Internetzugriff für Microsoft 365 und Microsoft Entra-Privatzugriff verwenden den Client für globalen sicheren Zugriff auf Windows-Geräten. Dieser Client erfasst den Netzwerkdatenverkehr und leitet ihn an die Security Service Edge-Lösung von Microsoft weiter. Führen Sie die folgenden Installations- und Konfigurationsschritte aus:

  1. Stellen Sie sicher, dass das Windows-Gerät in Microsoft Entra ID eingebunden oder hybrid eingebunden ist.

  2. Melden Sie sich mit einer Microsoft Entra ID-Benutzerrolle mit lokalen Administratorrechten auf dem Windows-Gerät an.

  3. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

  4. Navigieren Sie zu >Verbinden>Clientdownload. Wählen Sie Client herunterladen aus. Schließen Sie die Installation ab.

    Screenshot des Clientdownloads mit dem Windows-Steuerelement „Client herunterladen“

  5. In der Windows-Taskleiste wird der Global Secure Access-Client zuerst als getrennt angezeigt. Wenn Sie nach einigen Sekunden zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen des Testbenutzerkontos ein.

  6. Zeigen Sie auf der Windows-Taskleiste auf das Symbol Global Secure Access-Client, und überprüfen Sie Status Verbindung.

Einrichten des Connectorservers für den Remotezugriff pro App

Der Connectorserver kommuniziert mit der Microsoft Security Service Edge-Lösung als Gateway zum Unternehmensnetzwerk. Er verwendet ausgehende Verbindungen über 80 und 443 und erfordert keine eingehenden Ports. Weitere Informationen finden Sie unter Konfigurieren von Connectors für Microsoft Entra-Privatzugriff. Führen Sie die folgenden Konfigurationsschritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für globalen sicheren Zugriff an.

  2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Connectors. Wählen Sie Private Netzwerkconnectors aktivieren aus.

    Screenshot privater Netzwerkconnectors mit einem roten Feld um das Steuerelement „Private Netzwerkconnectors aktivieren“

  3. Wählen Sie Connectordienst herunterladen.

  4. Führen Sie den Installations-Assistenten aus, um den Connectordienst auf dem Connectorserver zu installieren. Wenn Sie dazu aufgefordert werden, geben Sie die Mandantenanmeldeinformationen ein, um die Installation abzuschließen.

  5. Der Connectorserver wurde installiert, wenn er in Connectors angezeigt wird.

In diesem Szenario verwenden Sie die Standardconnectorgruppe mit einem Connectorserver. In einer Produktionsumgebung erstellen Sie Connectorgruppen mit mehreren Connectorservern. Einen ausführlichen Leitfaden finden Sie unter Veröffentlichen von Apps in separaten Netzwerken mithilfe von Connectorgruppen.

Erstellen einer Sicherheitsgruppe für Anwendungen für den privaten Zugriff

In diesem Szenario verwenden Sie eine Sicherheitsgruppe, um der Anwendung für den privaten Zugriff Berechtigungen zuzuweisen und Ziele für die Richtlinien für bedingten Zugriff zuzuweisen.

  1. Erstellen Sie im Microsoft Entra Admin Center eine neue reine Cloudsicherheitsgruppe.
  2. Fügen Sie ein Testbenutzerkonto als Mitglied hinzu.

Veröffentlichen einer Anwendung für den Remotezugriff pro App

Microsoft Entra-Privatzugriff unterstützt TCP-Anwendungen (Transmission Control Protocol) über jeden Port. Führen Sie die folgenden Schritte aus, um eine Verbindung mit dem Dateiserver (TCP-Port 445) über das Internet herzustellen:

  1. Stellen Sie auf dem Connectorserver sicher, dass Sie auf eine Dateifreigabe auf dem Dateiserver zugreifen können.

  2. Melden Sie sich beim Microsoft Entra Admin Center als Global Secure Access-Administrator an.

  3. Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen>+ Neue Anwendung.

    Screenshot von Unternehmensanwendungen mit dem Steuerelement „Neue Anwendung“

  4. Geben Sie einen Namen ein (z. B. Dateiserver1). Wählen Sie die Standardconnectorgruppe aus. Wählen Sie + Anwendungssegment hinzufügen aus. Geben Sie die IP-Adresse des Anwendungsservers und Port 441 ein.

    Screenshot von „Anwendung für globalen sicheren Zugriff erstellen“, „Anwendungssegment erstellen“

  5. Wählen Sie Übernehmen>Speichern aus. Überprüfen Sie, ob die Anwendung unter Unternehmensanwendungen angezeigt wird.

  6. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen. Wählen Sie die neue Anwendung aus.

  7. Wählen Sie Benutzer und Gruppen aus. Fügen Sie die Sicherheitsgruppe hinzu, die Sie zuvor mit Testbenutzer:innen erstellt haben, die über das Internet auf diese Dateifreigabe zugreifen.

Konfigurieren der Zugriffsgovernance für den Remotezugriff pro App

In diesem Abschnitt werden die Konfigurationsschritte für diese Lösung beschrieben.

Erstellen eines Berechtigungsverwaltungskatalogs

Führen Sie die folgenden Schritte aus, um einen Berechtigungsverwaltungskatalog zu erstellen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

  3. Klicken Sie auf +Neuer Katalog.

    Screenshot der Überprüfung unter „Neuer Zugriff“, „Unternehmensanwendungen“, „Alle Anwendungen“, „Identity Governance“, „Neuer Katalog“

  4. Geben Sie einen eindeutigen Namen sowie eine Beschreibung für den Katalog ein. Anfordernden werden diese Informationen in den Details des Zugriffspakets angezeigt.

  5. Um in diesem Katalog Zugriffspakete für interne Benutzer:innen zu erstellen, wählen Sie Für externe Benutzer aktiviert>Nein aus.

    Screenshot von „Neuer Katalog“ mit Auswahl von „Nein“ für das Steuerelement „Für externe Benutzer aktiviert“

  6. Öffnen Sie unter Katalog den Katalog, dem Sie Ressourcen hinzufügen möchten. Wählen Sie Ressourcen>+ Ressourcen hinzufügen aus.

    Screenshot der Liste „Ressourcen“ des App-Katalogs mit dem Steuerelement „Ressourcen hinzufügen“

  7. Wählen Sie Typ und dann Gruppen und Teams, Anwendungen oder SharePoint-Websites aus.

  8. Wählen Sie die zuvor erstellte Anwendung (z. B. Dateiserver1) und die Sicherheitsgruppe (z. B. Finanzteam-Dateifreigabe) aus, und fügen Sie sie hinzu. Wählen Sie Hinzufügen.

Bereitstellen von Gruppen in Active Directory

Es wird empfohlen, Gruppen in Active Directory mithilfe der Microsoft Entra-Cloudsynchronisierung bereitzustellen. Wenn Sie die Connect-Synchronisierung verwenden, wechseln Sie zu Cloudsynchronisierung. Die Artikel Voraussetzungen für die Microsoft Entra-Cloudsynchronisierung in Microsoft Entra ID und Installieren des Microsoft Entra-Bereitstellungs-Agents enthalten detaillierte Anweisungen. Gruppenrückschreiben v2 in der Microsoft Entra Connect-Synchronisierung ist seit dem 30. Juni 2024 nicht mehr verfügbar.

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Cloudsynchronisierung zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zu Identitäts->Hybridverwaltung>Microsoft Entra Connect>Cloud-Synchronisierung.

  3. Wählen Sie Neue Konfiguration aus.

  4. Wählen Sie Microsoft Entra ID-Synchronisierung mit AD aus.

    Screenshot der neuen Konfiguration der Synchronisation von Microsoft Entra ID mit AD

  5. Wählen Sie unter Konfigurationen Ihre Domäne aus. Wählen Sie optional Kennwort-Hashsynchronisierung aktivieren aus.

  6. Klicken Sie auf Erstellen.

    Screenshot von Microsoft Entra Connect, Cloudsynchronisierung, Konfigurationen, Neue Cloudsynchronisierungskonfiguration

  7. Wählen Sie für die Konfiguration Erste Schritte die Option Bereichsfilter hinzufügen (neben dem Symbol Bereichsfilter hinzufügen) oder Bereichsfilter (unter Verwalten) aus.

  8. Wählen Sie unter Gruppen auswählen die Option Ausgewählte Sicherheitsgruppen aus. Wählen Sie Objekte bearbeiten aus. Fügen Sie die Microsoft Entra ID-Sicherheitsgruppe hinzu, die Sie zuvor erstellt haben (z. B. Finanzteam-Dateifreigabe). Sie verwenden diese Gruppe in späteren Schritten, um den Zugriff auf lokale Anwendungen mithilfe von Lebenszyklus-Workflows und Zugriffspaketen zu verwalten.

    Screenshot des Bereichs „Gruppen“ mit „finance“ (Finanzteam) im Textfeld „Suchen“, einem gefundenen Ergebnis und einer Gruppe in „Ausgewählt“

Zuweisen des Zugriffs auf den lokalen Dateiserver

  1. Erstellen Sie auf dem ausgewählten Dateiserver eine Dateifreigabe.
  2. Weisen Sie der Microsoft Entra ID-Sicherheitsgruppe (z. B. Finanzteam-Dateifreigabe), die Sie in Active Directory bereitgestellt haben, Leseberechtigungen zu.

Erstellen eines Zugriffspakets für den Remotezugriff pro App

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung ein Zugriffspaket zu erstellen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie Neues Zugriffspaket aus.

  4. Geben Sie dem Zugriffspaket unter Grundlagen einen Namen (z. B. Zugriffspaket für Finanz-Apps). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen die Ressourcen aus, die Sie zuvor hinzugefügt haben (z. B. Dateiserver1-App und Sicherheitsgruppe Finanzteam-Dateifreigabe).

  6. Wählen Sie unter Rolle die Option Mitglied für Finanzteam-Dateifreigabe und Benutzer für die Dateiserver1-App aus.

    Screenshot der Ressourcenliste. Die Spalte „Rolle“ wird durch ein rotes Feld hervorgehoben.

  7. Wählen Sie für Anforderungen die Option Für Benutzer in Ihrem Verzeichnis aus. Aktivieren Sie alternativ das Zugriffspaket für Gastbenutzer (in einem separaten Szenario behandelt).

  8. Wenn Sie Bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie Benutzer und Gruppen hinzufügen aus.

  9. Wählen Sie unter Benutzer und Gruppen auswählen keine Benutzer:innen aus. Sie testen später Benutzer:innen, die Zugriff anfordern.

  10. Optional: Geben Sie unter Genehmigung an, ob eine Genehmigung erforderlich ist, wenn Benutzer:innen dieses Zugriffspaket anfordern.

  11. Optional: Wählen Sie unter Anfordererinformationen die Option Fragen aus. Geben Sie eine Frage ein, die Anforderern gestellt werden soll. Diese Frage wird als Anzeigezeichenfolge bezeichnet. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie Lokalisierung hinzufügen aus.

  12. Geben Sie auf der Registerkarte Lebenszyklus an, wann die Zuweisung einzelner Benutzer und Benutzerinnen für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie unter Ablauf die Option Zugriffspaket läuft ab auf An Datum, Anzahl Tage, Anzahl der Stunden oder Nie fest.

  13. Klicken Sie auf Erstellen.

    Screenshot des neuen Zugriffspakets zum Überprüfen der Erstellung mit einem roten Feld um das Steuerelement „Erstellen“

Erstellen von Lebenszyklus-Workflows

In diesem Abschnitt wird beschrieben, wie Sie Workflows für neu eingestellte oder gekündigte Mitarbeitende erstellen und Workflows bei Bedarf ausführen.

Erstellen eines Workflows für Neueinstellungen

Gehen Sie zum Erstellen eines Workflows für Neueinstellungen wie folgt vor:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Lebenszyklus-Workflows an.

  2. Navigieren Sie zu Identitätsgovernance>Lebenszyklusworkflows>Workflow erstellen.

  3. Wählen Sie für Workflow auswählen die Option Onboarding für neu eingestellte Mitarbeiter durchführen aus.

    Screenshot von Identity Governance, Lebenszyklus-Workflows, Erstellen eines Workflows und Auswählen eines Workflows

  4. Geben Sie für Grundlagen als Anzeigenamen und Beschreibung des Workflows Onboarding für neu eingestellte Mitarbeiter durchführen – Finanzen ein. Wählen Sie Weiter aus.

  5. Geben Sie unter Bereich konfigurieren>Regel Werte für Eigenschaft, Operator und Wert ein. Ändern Sie den Ausdruck des Bereichs auf ausschließlich die Benutzer:innen, bei denen Eigenschaft>Abteilung den WertFinanzen hat. Stellen Sie sicher, dass Testbenutzer:innen die Eigenschaft mit der Zeichenfolge Finanzen ausfüllen, damit sie sich im Workflowbereich befinden.

    Screenshot der Ansicht „Regel“ mit einem roten Feld um das Steuerelement „Wert“

  6. Wählen Sie unter Aufgaben überprüfen die Option Aufgabe hinzufügen aus, um der Vorlage eine Aufgabe hinzuzufügen. Für dieses Szenario fügen Sie Anfordern von Benutzerzugriffspaketzuweisung hinzu.

  7. Wählen Sie für Grundlagen die Option Anfordern von Benutzerzugriffspaketzuweisung aus. Weisen Sie dieser Aufgabe einen Namen zu (z. B. Finanzzugriffspaket zuweisen). Wählen Sie eine Richtlinie aus.

  8. Wählen Sie unter Konfigurieren das zuvor erstellte Zugriffspaket aus.

  9. Optional: Fügen Sie wie folgt weitere Aufgaben für neu eingestellte Personen hinzu. Stellen Sie für einige dieser Aufgaben sicher, dass wichtige Attribute wie Manager und E-Mail ordnungsgemäß Benutzer:innen zugeordnet werden, wie unter Automatisieren von Onboardingaufgaben von Mitarbeitern vor dem ersten Arbeitstag mithilfe von Lebenszyklus-Workflows-APIs beschrieben.

    • Benutzerkonto aktivieren
    • Hinzufügen von Benutzer:innen zu Gruppen oder Teams
    • Willkommens-E-Mail senden
    • TAP generieren und E-Mail senden

  10. Wählen Sie Zeitplan aktivieren aus.

    Screenshot der Überprüfung der Erstellung für das neue Element in der Kategorie „Neueinstellungen“ mit einem roten Feld um den Abschnitt „Aufgaben überprüfen“

  11. Klicken Sie auf Überprüfen + erstellen.

Erstellen von Abgangsworkflows

Gehen Sie zum Erstellen eines Workflows für Abgänge wie folgt vor:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Lebenszyklus-Workflows an.

  2. Navigieren Sie zu Identitätsgovernance>Lebenszyklusworkflows>Workflow erstellen.

  3. Wählen Sie unter Workflow auswählen die Option Offboarding eines Mitarbeiters durchführen aus.

    Screenshot der Option „Workflow auswählen“ mit einem roten Feld um die Karte „Abgang“

  4. Geben Sie für Grundlagen als Anzeigenamen und Beschreibung des Workflows Offboarding eines Mitarbeiters durchführen – Finanzen ein. Wählen Sie Weiter aus.

  5. Geben Sie unter Bereich konfigurieren>Regel Werte für Eigenschaft, Operator und Wert ein. Ändern Sie den Ausdruck des Bereichs auf ausschließlich die Benutzer:innen, bei denen Eigenschaft>Abteilung den WertFinanzen hat. Stellen Sie sicher, dass Testbenutzer:innen die Eigenschaft mit der Zeichenfolge Finanzen ausfüllen, damit sie sich im Workflowbereich befinden.

    Screenshot der Ansicht „Regel“ mit einem roten Feld um das Steuerelement „Wert“

  6. Wählen Sie unter Aufgaben überprüfen die Option Aufgabe hinzufügen aus, um der Vorlage eine Aufgabe hinzuzufügen. Für dieses Szenario fügen Sie Anfordern von Benutzerzugriffspaketzuweisung hinzu.

  7. Optional: Fügen Sie weitere Aufgaben bei Abgängen hinzu, z. B.:

    • Benutzerkonto deaktivieren
    • Entfernen eines Benutzers aus allen Gruppen
    • Entfernen eines Benutzers aus allen Teams

  8. Aktivieren Sie Zeitplan aktivieren.

    Screenshot der Überprüfung der Erstellung für das neue Element in der Kategorie „Abgang“ mit einem roten Feld um den Abschnitt „Aufgaben überprüfen“

  9. Klicken Sie auf Überprüfen + erstellen.

Hinweis

Lebenszyklus-Workflows werden automatisch basierend auf definierten Triggern ausgeführt, die zeitbasierte Attribute und einen Offsetwert kombinieren. Wenn das Attribut beispielsweise employeeHireDate ist und offsetInDays den Wert „-1“ hat, sollte der Workflow einen Tag vor dem Einstellungsdatum von Mitarbeitenden ausgelöst werden. Der Wert kann zwischen –180 und 180 Tagen liegen. Die Werte employeeHireDate und employeeLeaveDateTime für Benutzer:innen müssen in Microsoft Entra ID festgelegt werden. Unter Synchronisieren von Attributen für Lifecycle-Workflows finden Sie weitere Informationen zu Attributen und Prozessen.

Ausführen des Workflows für Neueinstellungen bei Bedarf

Um dieses Szenario zu testen, ohne auf den automatisierten Zeitplan zu warten, führen Sie Lebenszyklus-Workflows bedarfsgesteuert aus.

  1. Initiieren Sie den zuvor erstellten Workflow für Neueinstellungen.

  2. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Lebenszyklus-Workflows an.

  3. Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.

  4. Wählen Sie unter Workflow die Option Onboarding für neu eingestellte Mitarbeiter durchführen – Finanzen aus, den Sie zuvor erstellt haben.

  5. Wählen Sie Bedarfsgesteuert ausführen aus.

  6. Wählen Sie unter Benutzer auswählen die Option Benutzer hinzufügen aus.

  7. Wählen Sie unter Benutzer hinzufügen die Benutzer:innen aus, für die Sie den Workflow bedarfsgesteuert ausführen möchten.

  8. Wählen Sie Hinzufügen.

  9. Bestätigen Sie Ihre Auswahl. Wählen Sie Run workflow (Workflow ausführen) aus.

  10. Wählen Sie den Workflowverlauf aus, um den Aufgabenstatus zu überprüfen.

    Screenshot des Workflowverlaufs mit der Benutzerzusammenfassung und dem Aufgabenstatus

  11. Überprüfen Sie nach Abschluss aller Aufgaben, ob die Benutzer:innen Zugriff auf die Anwendungen haben, die Sie im Zugriffspaket ausgewählt haben. In diesem Schritt wird das Szenario für Neueinstellungen für Benutzer:innen abgeschlossen, damit diese ab dem ersten Tag Zugriff auf die erforderlichen Apps erhalten.

Überprüfen des Zugriffs für den Remotezugriff pro App

In diesem Abschnitt simulieren Sie ein neues Mitglied des Finanzteams, das der Organisation beitritt. Sie weisen dem Benutzerkonto mit Microsoft Entra-Privatzugriff automatisch Zugriff auf die Dateifreigabe des Finanzteams und Remotezugriff auf den Dateiserver zu.

In diesem Abschnitt werden die Optionen zum Überprüfen des Zugriffs auf zugewiesene Ressourcen beschrieben.

Überprüfen der Zugriffspaketzuweisung

Führen Sie die folgenden Schritte aus, um den Status der Zugriffspaketzuweisung zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Wählen Sie Zugriffspakete und dann Aktiv aus, um das zuvor angeforderte Zugriffspaket (z. B. Zugriffspaket Finanzen) anzuzeigen.

    Screenshot von „Mein Zugriff“, „Zugriffspakete“, „Aktiv“

Überprüfen des App-Zugriffs

Führen Sie die folgenden Schritte aus, um den App-Zugriff zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Suchen Sie die zuvor erstellte App in der App-Liste (z. B. Finanz-App), und greifen Sie darauf zu.

    Screenshot von „Meine Apps“, „Finanz-Apps“

Überprüfen der Gruppenmitgliedschaft

Führen Sie die folgenden Schritte aus, um die Gruppenmitgliedschaft zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei myaccess.microsoft.com an.

  2. Wählen Sie Gruppen, in der ich aktiv bin aus. Überprüfen Sie die Mitgliedschaft in der Gruppe, die Sie zuvor erstellt haben (z. B. Finanzbuchhaltung).

    Screenshot von „Meine Gruppen“, „Gruppen, in der ich aktiv bin“ mit der Eingage „Finance“ (Finanzen) im Textfeld „Filter“ mit der Anzeige von „2 von 131“

Überprüfen der Teams-Mitgliedschaft

Führen Sie die folgenden Schritte aus, um die Teams-Mitgliedschaft zu überprüfen:

  1. Melden Sie sich als Benutzer:in bei Teams an.

  2. Überprüfen Sie die Mitgliedschaft in dem Team, das Sie zuvor erstellt haben (z. B. Finanzbuchhaltung).

    Screenshot von Teams mit „Finanzbuchhaltung“ in Ihren Teams

Überprüfen des Remotezugriffs

Führen Sie die folgenden Schritte aus, um den Benutzerzugriff auf den Dateiserver zu überprüfen:

  1. Melden Sie sich auf dem Testgerät an, auf dem Sie zuvor den Agent für globalen sicheren Zugriff installiert haben.

  2. Führen Sie \\\IP_address aus, und überprüfen Sie den Zugriff auf die Dateifreigabe.

    Screenshot des Windows-Explorers mit der Verbindung mit der Dateifreigabe

Bedarfsgesteuertes Ausführen des Workflows für Abgänge

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Lebenszyklus-Workflows an.

  2. Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.

  3. Wählen Sie in „Workflows“ den Workflow Offboarding eines Mitarbeiters durchführen – Finanzen aus, den Sie in den Schritten für Abgänge erstellt haben.

  4. Wählen Sie Bedarfsgesteuert ausführen aus.

  5. Wählen Sie unter Benutzer auswählen die Option Benutzer hinzufügen aus.

  6. Wählen Sie unter Benutzer hinzufügen die Benutzer:innen aus, für die Sie den Workflow bedarfsgesteuert ausführen möchten.

  7. Wählen Sie Hinzufügen.

  8. Bestätigen Sie Ihre Auswahl, und wählen Sie Workflow ausführen aus.

  9. Wählen Sie den Workflowverlauf aus, um den Aufgabenstatus zu überprüfen.

    Screenshot von „Offboarding eines Mitarbeiters durchführen“, „Aktivität“ mit einem roten Feld um das Steuerelement „Workflowverlauf“, in dem die Zusammenfassung „Benutzer“ angezeigt wird

  10. Überprüfen Sie nach Abschluss aller Aufgaben, ob den Benutzer:innen der gesamte Zugriff auf die im Zugriffspaket ausgewählten Anwendungen entzogen wurde.

Überprüfen der Zugriffsentfernung

Bestätigen Sie nach dem Ausführen des Workflows für Abgänge das Entfernen des Benutzerzugriffs auf Finanzanwendungen, das Finanzteam, SharePoint-Websites und Dateifreigaben, indem Sie die Schritte in den Abschnitten Überprüfen des App-Zugriffs und Überprüfen des Remotezugriffs wiederholen. Mit diesem Schritt stellen Sie sicher, dass die Benutzer:innen nicht mehr auf diese Ressourcen zugreifen können.

Zugehöriger Inhalt