Freigeben über

Microsoft Entra-Bereitstellungsszenario: Onboarding von Arbeitskräften und Gästen und Steuern des Identitäts- und Zugriffslebenszyklus in allen Ihren Apps

  • Artikel

Die Microsoft Entra-Bereitstellungsszenarien bieten Ihnen detaillierte Leitfäden zum Kombinieren und Testen der folgenden Produkte der Microsoft Entra Suite:

In diesen Leitfäden beschreiben wir Szenarios, die zeigen, wie nützlich Microsoft Entra Suite ist und wie die Funktionen zusammenarbeiten.

Übersicht über das Szenario

In diesem Leitfaden wird beschrieben, wie Sie Produkte der Microsoft Entra Suite für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso neue Remotearbeitskräfte einstellen und ihnen einen sicheren und nahtlosen Zugriff auf die erforderlichen Apps und Ressourcen biete möchte. Sie möchten externe Benutzer und Benutzerinnen (z. B. Partner, Lieferanten oder Kunden) einladen, mit ihnen zusammenarbeiten und ihnen Zugriff auf relevante Apps und Ressourcen gewähren.

Contoso verwendet Microsoft Entra Verified ID, um digitale Identitäts- und Statusnachweise für neue Remotearbeitkräfte (basierend auf Personaldaten) und externe Benutzer und Benutzerinnen (basierend auf E-Mail-Einladungen) auszugeben und zu überprüfen. Digitale Brieftaschen speichern den Identitätsnachweis und -status, um den Zugriff auf Apps und Ressourcen zu ermöglichen. Als zusätzliche Sicherheitsmaßnahme kann Contoso die Identität anhand des in den Anmeldeinformationen gespeicherten Bildes mit der Gesichtserkennung überprüfen.

Das Unternehmen verwendet Microsoft Entra ID Governance, um Zugriffspakete für Mitarbeiter und Mitarbeiterinnen sowie externe Benutzer und Benutzerinnen basierend auf Nachweisen zu erstellen und zu gewähren.

  • Die Zugriffspakete für Mitarbeiter und Mitarbeiterinnen basieren auf Stellenfunktion und Abteilung. Zugriffspakete umfassen Cloud-Apps und lokale Apps sowie Ressourcen, auf die Mitarbeiter und Mitarbeiterinnen zugreifen können müssen.
  • Die Zugriffspakete für externe Arbeitskräfte basieren auf Einladungen, um externe Benutzerrollen und Berechtigungen zu definieren. Die Zugriffspakete enthalten nur Apps und Ressourcen, auf die externe Benutzer und Benutzerinnen zugreifen müssen.

Mitarbeiter und Mitarbeiterinnen sowie externe Benutzer und Benutzerinnen können Zugriffspakete über ein Self-Service-Portal anfordern, in dem sie digitale Nachweise zur Identitätsüberprüfung bereitstellen. Über Single Sign-On und Multi-Faktor-Authentifizierung bieten Microsoft Entra-Konten von Mitarbeitern und Mitarbeiterinnen sowie externen Benutzern und Benutzerinnen Zugriff auf Apps und Ressourcen, die in ihren Zugriffspaketen enthalten sind. Das Unternehmen Contoso überprüft Anmeldeinformationen und gewährt Zugriffspakete, ohne dass manuelle Genehmigungen oder Bereitstellungen erforderlich sind.

Contoso verwendet Microsoft Entra ID Protection und bedingten Zugriff, um Konten zu überwachen und vor riskanten Anmeldungen und riskantem Benutzerverhalten zu schützen. Das Unternehmen erzwingt geeignete Zugriffssteuerungsmaßnahmen basierend auf Standort, Gerät und Risikostufe.

Konfigurieren der Voraussetzungen

Um die Lösung erfolgreich bereitstellen und testen zu können, konfigurieren Sie die Voraussetzungen, die in diesem Abschnitt beschrieben werden.

Konfigurieren von Microsoft Entra Verified ID

Führen Sie für dieses Szenario die folgenden erforderlichen Schritte aus, um Microsoft Entra Verified ID mit Express-Setup (Vorschau) zu konfigurieren:

  1. Registrieren Sie eine benutzerdefinierte Domäne (für Express-Setup erforderlich), indem Sie die Schritte im Artikel Hinzufügen einer benutzerdefinierten Domäne ausführen.

  2. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

    • Wählen Sie dann Verified ID aus.
    • Wählen Sie Einrichtung aus.
    • Wählen Sie Erste Schritte aus.

  3. Wenn Sie mehrere Domänen für Ihren Microsoft Entra-Mandanten registriert haben, wählen Sie die Domäne aus, die Sie für Verified ID verwenden möchten.

  4. Sobald der Setupprozess abgeschlossen ist, werden auf der Seite Mein Konto standardmäßige Workplace-Anmeldeinformationen angezeigt, die bearbeitet und Mitarbeitern und Mitarbeiterinnen Ihres Mandanten angeboten werden können.

    Screenshot: Verified ID, Übersicht

  5. Melden Sie sich mit den entsprechenden Microsoft Entra-Anmeldeinformationen auf der Seite Mein Konto des Testbenutzers bzw. der Testbenutzerin an. Wählen Sie Get my Verified ID (Verified ID abrufen) aus, um überprüfte Arbeitsplatz-Anmeldeinformationen auszustellen.

    Screenshot: „Mein Konto“, Übersicht mit einem roten Auslassungszeichen und dem hervorgehobenen Steuerelement „Get my Verified ID

Hinzufügen einer vertrauenswürdigen externen Organisation (B2B)

Führen Sie diese erforderlichen Schritte aus, um dem Szenario eine vertrauenswürdige externe Organisation (B2B) hinzuzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen. Wählen Sie Organisationseinstellungen aus.

  3. Wählen Sie Organisation hinzufügen aus.

  4. Geben Sie den vollständigen Domänennamen (oder die Mandanten-ID) der Organisation ein.

  5. Wählen Sie die Organisation in den Suchergebnissen aus. Wählen Sie Hinzufügen.

  6. Bestätigen Sie die neue Organisation (die ihre Zugriffseinstellungen von den Standardeinstellungen erbt) in Organisationseinstellungen.

    Screenshot: Organisationseinstellungen mit roten Feldern zur Hervorhebung von „Inherited from default“ in den Spalten „Inbound access“ und „Outbound access“

Erstellen eines Katalogs

Führen Sie die folgenden Schritte aus, um einen Berechtigungsverwaltungskatalog für das Szenario zu erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Kataloge.

  3. Klicken Sie auf +Neuer Katalog.

    Screenshot der Überprüfung unter „Neuer Zugriff“, „Unternehmensanwendungen“, „Alle Anwendungen“, „Identity Governance“, „Neuer Katalog“

  4. Geben Sie einen eindeutigen Namen und eine Beschreibung für den Katalog ein. Diese Informationen werden in den Details eines Zugriffspakets angezeigt.

  5. Um in diesem Katalog nur für interne Benutzer und Benutzerinnen Zugriffspakete zu erstellen, wählen Sie Für externe Benutzer aktiviert>Nein aus.

    Screenshot: Der neue Katalog, bei dem „Nein“ für das Steuerelement „Für externe Benutzer aktiviert“ ausgewählt ist

  6. Öffnen Sie unter Katalog den Katalog, dem Sie Ressourcen hinzufügen möchten. Wählen Sie Ressourcen>+Ressourcenhinzufügen aus.

  7. Wählen Sie Typ und anschließend Gruppen und Teams, Anwendungen oder SharePoint-Websites aus.

  8. Wählen Sie eine oder mehrere Ressourcen des Typs aus, die Sie dem Katalog hinzufügen möchten. Wählen Sie Hinzufügen.

Erstellen der Zugriffspakete

Konfigurieren Sie die in diesem Abschnitt beschriebenen Zugriffspakete, um die Lösung erfolgreich bereitstellen und teste zu können.

Zugriffspaket für Remotebenutzer und -benutzerinnen (intern)

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung mit Verified ID ein Zugriffspaket für (interne) Remotebenutzer und -benutzerinnen zu erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie Neues Zugriffspaket aus.

  4. Geben Sie dem Zugriffspaket unter Grundlagen einen Namen (z. B. Finanz-Apps für Remotebenutzer). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen einen Ressourcentyp aus (z. B. „Gruppen und Teams“, „Anwendungen“, „SharePoint-Websites“). Wählen Sie eine oder mehrere Ressourcen aus.

  6. Wählen Sie in Rolle die Rolle aus, der Benutzer und Benutzerinnen für jede Ressource zugewiesen werden sollen.

    Screenshot: Ressourcenrollen mit einem roten Feld zur Hervorhebung der Spalte „Rolle“

  7. Wählen Sie für Anforderungen die Option Für Benutzer in Ihrem Verzeichnis aus.

  8. Wählen Sie unter Benutzer und Gruppen auswählen die Option Für Benutzer in Ihrem Verzeichnis aus. Wählen Sie +Benutzer und Gruppen hinzufügen aus. Wählen Sie eine vorhandene Gruppe aus, die berechtigt ist, das Zugriffspaket anzufordern.

  9. Scrollen Sie zu Erforderliche Verified IDs.

  10. Wählen Sie +Aussteller hinzufügen aus. Wählen Sie einen Aussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Stellen Sie sicher, dass Sie einen Aussteller aus einer vorhandenen überprüften Identität in der Gastbrieftasche auswählen.

  11. Optional: Geben Sie in Genehmigung an, ob Benutzer und Benutzerinnen eine Genehmigung benötigen, wenn sie das Zugriffspaket anfordern.

  12. Optional: Wählen Sie unter Anfordererinformationen die Option Fragen aus. Geben Sie eine Frage (die sogenannte Anzeigezeichenfolge) ein, die Sie den Anfordernden stellen möchten. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie Lokalisierung hinzufügen aus.

  13. Geben Sie auf der Registerkarte Lebenszyklus an, wann die Zuweisung einzelner Benutzer und Benutzerinnen für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie im Abschnitt Ablauf die Option für den Ablauf der Zugriffspaketzuweisungen auf An Datum, Anzahl Tage, Anzahl Stunden oder Nie fest.

  14. Wählen Sie in Zugriffsüberprüfungen die Option Ja aus.

  15. Wählen Sie in Beginn das aktuelle Datum aus. Legen Sie die Überprüfungshäufigkeit auf Vierteljährlich fest. Legen Sie die Dauer (in Tagen) auf 21 fest.

Zugriffspaket für Gäste (B2B)

Führen Sie die folgenden Schritte aus, um in der Berechtigungsverwaltung mit Verified ID ein Zugriffspaket für Gäste (B2B) zu erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie Neues Zugriffspaket aus.

  4. Geben Sie dem Zugriffspaket unter Grundlagen einen Namen (z. B. Finanz-Apps für Remotebenutzer). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen einen Ressourcentyp aus (z. B. „Gruppen und Teams“, „Anwendungen“, „SharePoint-Websites“). Wählen Sie eine oder mehrere Ressourcen aus.

  6. Wählen Sie in Rolle die Rolle aus, der Benutzer und Benutzerinnen für jede Ressource zugewiesen werden sollen.

    Screenshot: Ressourcenrollen mit einem roten Feld zur Hervorhebung der Spalte „Rolle“

  7. Wählen Sie für Anforderungen die Option Für nicht in Ihrem Verzeichnis befindliche Benutzer aus.

  8. Wählen Sie Bestimmte verbundene Organisationen aus. Wenn Sie aus einer Liste der verbundenen Organisationen, die Sie zuvor hinzugefügt haben, auswählen möchten, wählen Sie Verzeichnis hinzufügen aus.

  9. Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.

  10. Scrollen Sie zu Erforderliche Verified IDs.

  11. Wählen Sie +Aussteller hinzufügen aus. Wählen Sie einen Aussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Stellen Sie sicher, dass Sie einen Aussteller aus einer vorhandenen überprüften Identität in der Gastbrieftasche auswählen.

  12. Optional: Geben Sie in Genehmigung an, ob Benutzer und Benutzerinnen eine Genehmigung benötigen, wenn sie das Zugriffspaket anfordern.

  13. Optional: Wählen Sie unter Anfordererinformationen die Option Fragen aus. Geben Sie eine Frage (die sogenannte Anzeigezeichenfolge) ein, die Sie den Anfordernden stellen möchten. Um Lokalisierungsoptionen hinzuzufügen, wählen Sie Lokalisierung hinzufügen aus.

  14. Geben Sie auf der Registerkarte Lebenszyklus an, wann die Zuweisung einzelner Benutzer und Benutzerinnen für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie im Abschnitt Ablauf die Option für den Ablauf der Zugriffspaketzuweisungen auf An Datum, Anzahl Tage, Anzahl Stunden oder Nie fest.

  15. Wählen Sie in Zugriffsüberprüfungen die Option Ja aus.

  16. Wählen Sie in Beginn das aktuelle Datum aus. Legen Sie die Überprüfungshäufigkeit auf Vierteljährlich fest. Legen Sie die Dauer (in Tagen) auf 21 fest.

  17. Wählen Sie Bestimmte Reviewer aus. Wählen Sie Selbstüberprüfung aus.

    Screenshot: Neues Zugriffspaket

Screenshot: Erstellen einer Richtlinie für bedingten Zugriff auf Basis des Anmelderisikos

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.

  3. Wählen Sie Neue Richtlinie.

  4. Geben Sie einen Richtliniennamen ein, z. B. Anwendungen vor Remotebenutzern mit hohem Anmelderisiko schützen.

  5. Wählen Sie für Zuweisungen die Option Benutzer aus.

    1. Wählen Sie für Einschließen eine Remotebenutzergruppe oder alle Benutzer und Benutzerinnen aus.
    2. Wählen Sie für Ausschließen die Option Benutzer und Gruppen aus. Wählen Sie die Konten für den Notfallzugriff Ihrer Organisation aus.
    3. Wählen Sie Fertig aus.

  6. Wählen Sie für Cloud-Apps oder -Aktionen>Einschließen die Anwendungen aus, für die diese Richtlinie gelten soll.

  7. Legen Sie für Bedingungen>Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie für Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll die Stufen Hoch und Mittel aus.

    1. Wählen Sie Fertig aus.

  8. Wählen Sie Zugriffssteuerungen>Erteilen aus.

    1. Wählen Sie Zugriff gewähren>Multi-Faktor-Authentifizierung erforderlich aus.

  9. Wählen Sie für Sitzung die Option Anmeldehäufigkeit aus. Wählen Sie Jedes Mal aus.

  10. Bestätigen Sie die Einstellungen. Wählen Sie Richtlinie aktivieren aus.

    Screenshot: Richtlinien für bedingten Zugriff, „Neu“, „Anmelderisiko“ Ein rotes Feld hebt das Benutzerrisiko und das Anmelderisiko hervor.

Anfordern eines Zugriffspakets

Nachdem Sie ein Zugriffspaket mit der Anforderung für „Verified ID“ konfiguriert haben, können Endbenutzer und Endbenutzerinnen, die sich innerhalb des Geltungsbereichs der Richtlinie befinden, im Portal Mein Zugriff Zugriff anfordern. Während genehmigende Personen die zu genehmigenden Anforderungen überprüfen, können sie die Ansprüche der Nachweise, die der Anforderer sendet, einsehen.

  1. Melden Sie sich als Remotebenutzer bzw. -benutzerin oder Gast bei myaccess.microsoft.com an.

  2. Suchen Sie nach dem zuvor erstellten Zugriffspaket (z. B. Finanz-Apps für Remotebenutzer). Sie können die aufgelisteten Pakete durchsuchen oder die Suchleiste verwenden. Wählen Sie Anfordern aus.

  3. Das System zeigt ein Informationsbanner mit einer Meldung an, die z. B. wie folgt lautet: Um Zugriff auf dieses Zugriffspaket anzufordern, müssen Sie Ihre Nachweise präsentieren. Wählen Sie Zugriff anfordern aus. Um Microsoft Authenticator zu starten, scannen Sie den QR-Code mit Ihrem Smartphone. Geben Sie Ihre Anmeldeinformationen an.

    Screenshot: „Mein Zugriff“, „Verfügbar“, „Zugriffspakete

  4. Nachdem Sie Ihre Anmeldeinformationen freigegeben haben, fahren Sie mit dem Genehmigungsworkflow fort.

  5. Optional: Befolgen Sie die Anweisungen unter Simulieren von Risikoerkennungen in den Microsoft Entra ID Protection. Möglicherweise müssen Sie mehrmals versuchen, das Benutzerrisiko auf „Mittel“ oder „Hoch“ zu erhöhen.

  6. Versuchen Sie, auf die Anwendung zuzugreifen, die Sie zuvor für das Szenario erstellt haben, um sich zu vergewissern, dass der Zugriff blockiert wird. Möglicherweise müssen Sie bis zu einer Stunde auf das Erzwingen der Blockierung warten.

  7. Überprüfen Sie anhand der Anmeldeprotokolle, ob die Richtlinie für bedingten Zugriff (die Sie zuvor erstellt haben) den Zugriff blockiert. Öffnen Sie nicht interaktive Anmeldeprotokolle in der Anwendung ZTNA-Netzwerkzugriffsclient – privat. Zeigen Sie die Protokolle für den Namen der Anwendung für den privaten Zugriff an, die Sie zuvor als Ressourcennamen erstellt haben.

Zugehöriger Inhalt