Zuweisen von Benutzern und Benutzerinnen sowie Gruppen zu Datenverkehrsweiterleitungsprofilen
Mit den Global Secure Access-Datenverkehrsweiterleitungsfunktionen können Sie bestimmten Benutzern und Gruppen ein Datenverkehrsweiterleitungsprofil zuweisen. Die Benutzer- oder Gruppenzuweisung beschränkt den Umfang des Datenverkehrsweiterleitungsprofils, sodass Sie über einen Mechanismus verfügen, mit dem Sie das Profil sicher und kontrolliert einführen können.
In diesem Artikel wird beschrieben, wie Sie bestimmten Benutzern und Benutzerinnen sowie Gruppen ein Datenverkehrsweiterleitungsprofil zuweisen.
Voraussetzungen
Um bestimmten Benutzern und Gruppen ein Datenverkehrsweiterleitungsprofil zuzuweisen, ist Folgendes erforderlich:
- Die Rolle Globaler Administrator für den sicheren Zugriff in Microsoft Entra ID, um das Datenverkehrsweiterleitungsprofil anzuzeigen.
- Die Rolle Anwendungsadministrator, um das Datenverkehrsprofil den ausgewählten Benutzern und Gruppen zuzuweisen.
- Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
- Die mindestens erforderliche Clientversion für den globalen sicheren Zugriff ist 1.7.376.0. Clients unter dieser Version erhalten das Datenverkehrsweiterleitungsprofil nicht, wenn sie dem Benutzer zugewiesen wurde.
Zuweisen eines Datenverkehrsweiterleitungsprofils zu bestimmten Benutzern und Gruppen
Wenn Sie bereits ein Datenverkehrsweiterleitungsprofil aktiviert haben, wird das Datenverkehrsprofil standardmäßig allen Benutzern zugewiesen. Wenn Sie noch kein Datenverkehrsweiterleitungsprofil aktiviert haben, wird der Datenverkehr null Benutzern zugewiesen, wenn Sie es aktivieren. Mit der Einstellung Benutzer- und Gruppenzuweisungen können Sie das Feature auf kontrollierte Weise für eine bestimmte Gruppe von Benutzern ausrollen.
Der Screenshot veranschaulicht die Einstellung. Das Microsoft-Profil ist deaktiviert und keinen Benutzern und Gruppen zugewiesen. Die Profile für privaten Zugriff und Internetzugriff sind aktiviert und allen Benutzern zugewiesen.
Sie können die Benutzer- und Gruppenzuweisungen vor oder nach dem Aktivieren des Datenverkehrsprofils konfigurieren. Sie müssen das Datenverkehrsprofil aktivieren, um jeden Datenverkehr abzurufen und weiterzuleiten. Weitere Informationen finden Sie unter Informationen zu Datenverkehrsweiterleitungsprofilen.
Zuweisen von Benutzern und Gruppen zu einem Datenverkehrsprofil
Melden Sie sich beim Microsoft Entra Admin Center als Globaler Administrator für den sicheren Zugriff UND Anwendungsadministrator an.
Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
Wählen Sie den Link Ansicht im Abschnitt Benutzer- und Gruppenzuweisungen aus.
Wählen Sie den Link 0 Benutzer, 0 Gruppen zugewiesen aus.
Wählen Sie Benutzer/Gruppe hinzufügen aus.
Wählen Sie den Link Keine ausgewählt aus, wählen Sie die Benutzer und/oder Gruppen aus der Liste aus, und wählen Sie die Schaltfläche Auswählen aus.
- Die Liste Alle gruppiert Benutzer und Gruppen. Wählen Sie entweder die Registerkarte Benutzer oder Gruppen aus, um die Liste einzugrenzen.
- Sie können auch das Suchfeld verwenden, um den Benutzer oder die Gruppe direkt zu finden.
Wählen Sie die Schaltfläche Zuweisen aus.
Ändern vorhandener Benutzer- und Gruppenzuweisungen
Der Vorgang zum Ändern der Benutzer- und Gruppenzuweisungen für ein bereits aktiviertes Datenverkehrsprofil ist mit Ausnahme der folgenden Schritte sehr ähnlich.
Wenn Sie den Link Ansicht im Abschnitt Benutzer- und Gruppenzuweisungen auswählen, müssen Sie die Einstellung Allen Benutzern zuweisen in Nein ändern.
Sehen Sie sich die Bestätigungsmeldung an, und wählen Sie anschließend die Schaltfläche OK.
Fahren Sie mit den Schritten im vorherigen Abschnitt fort.
Automatische Zuweisung über Benutzerattribute
Sie können eine dynamische Gruppe von Benutzern erstellen, die bestimmte Kriterien erfüllen, und dem Profil zuweisen. Weitere Informationen zur automatischen Zuweisung mithilfe von Benutzerattributen finden Sie unter Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID.
Zuweisen des Datenverkehrsprofils zu allen Benutzern
Nachdem Sie einem bestimmten Benutzer oder einer bestimmten Gruppe ein Datenverkehrsweiterleitungsprofil zugewiesen haben, können Sie die Einstellung schnell ändern, um das Datenverkehrsprofil auf alle Benutzer auszudehnen. Wenn Sie die Einstellung wieder auf eine bestimmte Gruppe festlegen, werden alle Benutzer und Gruppen, die diesem Datenverkehrsweiterleitungsprofil anfänglich zugewiesen wurden, beibehalten, sodass Sie sie nicht erneut hinzufügen müssen.
Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
Wählen Sie den Link Ansicht im Abschnitt Benutzer- und Gruppenzuweisungen aus.
Ändern Sie die Umschaltfläche Allen Benutzern zuweisen auf Ja, überprüfen Sie die Bestätigungsmeldung, und wählen Sie die Schaltfläche OK aus.
Wählen Sie die Schaltfläche Fertig aus.
Wiederherstellen der Zuweisung aller Benutzer in einen bestimmten Benutzer oder eine bestimmte Gruppe
Sie können die Zuweisung aller Benutzer und Benutzerinnen zu einem Datenverkehrsprofil aufheben. Wenn Sie die Zuweisung für alle Benutzer deaktivieren, kehren Sie zu den Benutzern und Benutzerinnen sowie Gruppen zurück, die beim Aktivieren zugewiesen waren.
Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
Wählen Sie den Link Ansicht im Abschnitt Benutzer- und Gruppenzuweisungen aus.
Ändern Sie die Umschaltfläche Allen Benutzern zuweisen auf Nein, überprüfen Sie die Bestätigungsmeldung, und wählen Sie die Schaltfläche OK aus.
Wählen Sie Fertig aus.
Hinweise zur Benutzeridentität und Gruppenzuweisung
Lesen Sie die folgenden Hinweise, um die Benutzer- und Gruppenzuweisungsfunktionen besser zu verstehen.
- Datenverkehrsprofile werden im Auftrag des Microsoft Entra-Benutzerkontos abgerufen, das beim Gerät angemeldet ist, nicht des Benutzerontos, das sich beim Client angemeldet hat.
- Wenn kein Microsoft Entra-Benutzerkonto angemeldet ist, wird das Datenverkehrsprofil nur abgerufen, wenn es allen Benutzern und Benutzerinnen zugewiesen ist. Wenn Sie sich beispielsweise als lokaler Administrator bei dem Gerät anmelden, sind Sie Teil aller Benutzer.
- Die Anmeldung mehrerer Benutzer und Benutzerinnen bei demselben Gerät wird nicht unterstützt.
- Die gruppenbasierte Zuweisung wird für Sicherheitsgruppen und Microsoft 365-Gruppen unterstützt, deren Einstellung
SecurityEnabled
aufTrue
festgelegt ist. - Geschachtelte Gruppenmitgliedschaften werden nicht unterstützt. Benutzer und Benutzerinnen müssen direktes Mitglied der Gruppe sein, die dem Profil zugewiesen wird.