Ändern der Einstellungen für Genehmigungs- und Anfordererinformationen für ein Zugriffspaket in der Berechtigungsverwaltung
Jedes Zugriffspaket muss über eine oder mehrere Zugriffspaketzuweisungsrichtlinien verfügen, bevor einem Benutzer Zugriff zugewiesen werden kann. Wenn im Microsoft Entra Admin Center ein Zugriffspaket erstellt wird, erstellt das Microsoft Entra Admin Center automatisch die erste Zugriffspaketzuweisungsrichtlinie für dieses Zugriffspaket. Die Richtlinie bestimmt, wer Zugriff anfordern kann und wer den Zugriff ggf. genehmigen muss.
Als Zugriffspaket-Manager können Sie die Einstellungen zu Genehmigungs- und Anfordererinformationen für ein Zugriffspaket jederzeit ändern, indem Sie eine vorhandene Richtlinie bearbeiten oder eine neue zusätzliche Richtlinie hinzufügen, um Zugriff anzufordern.
In diesem Artikel wird beschrieben, wie die Einstellungen für Genehmigungs- und Anfordererinformationen für ein vorhandenes Zugriffspaket durch die Richtlinie eines Zugriffspakets geändert werden.
Genehmigung
Im Abschnitt „Anforderung“ geben Sie an, ob eine Genehmigung erforderlich ist, wenn Benutzer dieses Zugriffspaket anfordern. Die Genehmigungseinstellungen funktionieren wie folgt:
- Bei einstufiger Genehmigung muss nur eine der ausgewählten genehmigenden Personen bzw. genehmigenden Fallbackpersonen eine Anforderung genehmigen.
- Nur eine der ausgewählten genehmigenden Personen aus jeder Phase muss eine Anforderung für eine mehrstufige Genehmigung genehmigen, damit die Anforderung in die nächste Phase übergeht.
- Wenn eine der ausgewählten genehmigenden Personen in einer Phase eine Anforderung ablehnt, bevor eine andere genehmigende Person in dieser Phase sie genehmigt, oder wenn niemand die Anforderung genehmigt, wird die Anforderung beendet, und der Benutzer erhält keinen Zugriff.
- Die genehmigende Person kann ein angegebener Benutzer oder ein Mitglied einer Gruppe, der Vorgesetzte des Anforderers, der interne Sponsor oder der externe Sponsor sein – je nachdem, für wen der Zugriff in der Richtlinie gesteuert wird.
Eine Demonstration, wie einer Anforderungsrichtlinie genehmigende Personen hinzugefügt werden, finden Sie im folgenden Video:
Eine Demonstration, wie einer Anforderungsrichtlinie mehrstufige Genehmigung hinzugefügt wird, finden Sie im folgenden Video:
Hinweis
Genehmigende Personen können ihre eigenen Zugriffspaketanforderungen nicht genehmigen.
Ändern der Genehmigungseinstellungen einer bestehenden Richtlinie für die Zuweisung von Zugriffspaketen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Führen Sie diese Schritte aus, um die Genehmigungseinstellungen für Anforderungen des Zugriffspakets über eine Richtlinie festzulegen:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paketzuweisungs-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wählen Sie eine Richtlinie aus, um eine neue Richtlinie zu bearbeiten oder dem Zugriffspaket hinzuzufügen.
- Wählen Sie Richtlinien und dann Richtlinie hinzufügen aus, wenn Sie eine neue Richtlinie erstellen möchten.
- Wählen Sie zuerst die Richtlinie, die Sie bearbeiten möchten, und dann Bearbeiten aus.
Wechseln Sie zur Registerkarte Anforderung.
Um die Genehmigung für Anforderungen der ausgewählten Benutzer anzufordern, setzen Sie Genehmigung anfordern auf Ja. Stellen Sie den Umschalter auf Nein, um Anforderungen automatisch genehmigen zu lassen. Wenn die Richtlinie externen Benutzern von außerhalb Ihrer Organisation das Anfordern des Zugriffs zulässt, sollten Sie eine Genehmigung anfordern, sodass es einen Überblick darüber gibt, wer dem Verzeichnis Ihrer Organisation hinzugefügt wird.
Um von Benutzern eine Begründung für die Anforderung des Zugriffspakets anzufordern, legen Sie die Umschaltfläche Begründung des Anforderers erforderlich auf Ja fest.
Bestimmen Sie jetzt, ob für Anforderungen eine einstufige oder eine mehrstufige Genehmigung erforderlich ist. Legen Sie für Wie viele Phasen die Anzahl der erforderlichen Genehmigungsphasen fest.
Verwenden Sie die folgenden Schritte, um genehmigende Personen hinzuzufügen, nachdem Sie die Anzahl der erforderlichen Stufen festgelegt haben:
Einstufige Genehmigung
Fügen Sie die erste genehmigende Person hinzu:
Wenn Sie Richtlinie Ihnen die Steuerung des Zugriffs für Benutzer in Ihrem Verzeichnis gestattet, können Sie Vorgesetzter als genehmigende Person auswählen. Fügen Sie alternativ einen bestimmten Benutzer hinzu, indem Sie nach dem Auswählen von Bestimmte genehmigende Personen auswählen im Dropdownmenü´Genehmigende Personen hinzufügen auswählen.
Wenn diese Richtlinie so eingestellt ist, dass sie den Zugriff für Benutzer steuert, die sich nicht in Ihrem Verzeichnis befinden, können Sie Externer Sponsor oder Interner Sponsor auswählen. Oder fügen Sie einen bestimmten Benutzer oder eine Gruppe hinzu, indem Sie unter „Bestimmte genehmigende Personen auswählen“ auf Genehmigende Personen hinzufügen klicken.
Wenn Sie Manager als erste genehmigende Person ausgewählt haben, wählen Sie Fallback hinzufügen aus, um einen oder mehrere Benutzerinnen und Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Fallbackpersonen sein sollen. Genehmigende Fallbackpersonen empfangen die Anforderung, wenn die Berechtigungsverwaltung den Vorgesetzten des Benutzers, der Zugriff anfordert, nicht finden kann.
Der Vorgesetzte wird von der Berechtigungsverwaltung anhand des Attributs Vorgesetzter gefunden. Das Attribut befindet sich im Profil des Benutzers in Microsoft Entra ID. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren von Benutzerprofilinformationen mit Microsoft Entra ID.
Wenn Sie Bestimmte genehmigende Personen auswählen ausgewählt haben, wählen Sie Genehmigende Personen hinzufügen aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Personen sein sollen.
Geben Sie im Feld unter Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die eine genehmigende Person Zeit hat, um eine Anforderung für dieses Zugriffspaket zu überprüfen.
Wenn eine Anforderung nicht innerhalb dieses Zeitraums genehmigt wird, wird sie automatisch abgelehnt. Der Benutzer muss eine weitere Anforderung für das Zugriffspaket senden.
Um von genehmigenden Personen eine Rechtfertigung ihrer Entscheidung anzufordern, legen Sie „Begründung der genehmigenden Person erforderlich“ auf Ja fest.
Die Begründung ist für andere genehmigende Personen und den Anfordernden sichtbar.
Mehrstufige Genehmigung
Wenn Sie eine mehrstufige Genehmigung ausgewählt haben, müssen Sie für jede weitere Phase eine genehmigende Person hinzufügen.
Hinzufügen der zweiten genehmigenden Person:
Wenn sich die Benutzer in Ihrem Verzeichnis befinden, fügen Sie einen bestimmten Benutzer als zweite genehmigende Person hinzu, indem Sie unter „Bestimmte genehmigende Personen auswählen“ die Option Genehmigende Personen hinzufügen auswählen.
Wenn sich die Benutzer nicht in Ihrem Verzeichnis befinden, wählen Sie Interner Sponsor oder Externer Sponsor als zweite genehmigende Person aus. Fügen Sie nach dem Auswählen der genehmigenden Person die genehmigenden Fallbackpersonen hinzu.
Geben Sie in dem Feld unter Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die der zweiten genehmigenden Person für die Genehmigung der Anforderung zur Verfügung stehen.
Legen Sie den Umschalter „Begründung der genehmigenden Person erforderlich“ auf Ja oder Nein fest.
Sie können auch eine zusätzliche Phase für einen dreistufigen Genehmigungsprozess hinzufügen. Es kann z. B. sein, dass der Vorgesetzte eines Mitarbeiters die genehmigende Personen in der ersten Phase für ein Zugriffspaket sein soll. Eine der Ressourcen im Zugriffspaket enthält jedoch vertrauliche Informationen. In diesem Fall können Sie den Ressourcenbesitzer als zweite genehmigende Person und einen Sicherheitsprüfer als dritte genehmigende Person festlegen. Dadurch kann ein Sicherheitsteam den Prozess überwachen und z. B. eine Anforderung basierend auf Risikokriterien ablehnen, die dem Ressourcenbesitzer nicht bekannt sind.
Fügen Sie Dritte genehmigende Person hinzu:
Wenn sich die Benutzer in Ihrem Verzeichnis befinden, fügen Sie einen bestimmten Benutzer als dritte genehmigende Person hinzu, indem Sie unter „Bestimmte genehmigende Personen auswählen“ auf Genehmigende Personen hinzufügen klicken.
Wenn sich die Benutzer nicht in Ihrem Verzeichnis befinden, können Sie auch Interner Sponsor oder Externer Sponsor als dritte genehmigende Person auswählen. Fügen Sie nach dem Auswählen der genehmigenden Person die genehmigenden Fallbackpersonen hinzu.
Hinweis
- Wie bei der zweiten Phase gilt Folgendes: Wenn sich die Benutzer in Ihrem Verzeichnis befinden und **Vorgesetzter als genehmigende Person** in der ersten oder zweiten Genehmigungsphase ausgewählt wurde, wird nur eine Option angezeigt, mit der Sie bestimmte genehmigende Personen für die dritte Genehmigungsphase auswählen können.
- Wenn Sie den Vorgesetzten als dritte genehmigende Person festlegen möchten, können Sie Ihre Auswahl in den vorherigen Genehmigungsphasen anpassen, um sicherzustellen, dass **Vorgesetzter als genehmigende Person** nicht ausgewählt ist. Anschließend sollte **Vorgesetzter als genehmigende Person** als Option in der Dropdownliste angezeigt werden.
- Wenn sich die Benutzer nicht in Ihrem Verzeichnis befinden und Sie in den vorherigen Phasen nicht **Interner Sponsor** oder **Externer Sponsor** als genehmigende Person ausgewählt haben, werden diese als Optionen für **Dritte genehmigende Person** angezeigt. Andernfalls steht Ihnen nur **Bestimmte genehmigende Personen auswählen** zur Verfügung.
Geben Sie in dem Feld unter Zulässige Anzahl von Tagen für Entscheidungsfindung die Anzahl der Tage an, die der dritten genehmigenden Person für die Genehmigung der Anforderung zur Verfügung stehen.
Legen Sie den Umschalter „Begründung der genehmigenden Person erforderlich“ auf Ja oder Nein fest.
Alternative genehmigende Personen
Sie können alternative genehmigende Personen angeben, ähnlich wie primäre genehmigende Personen, die Anforderungen in jeder Phase genehmigen können. Das Festlegen alternativer genehmigender Personen trägt dazu bei, dass die Anforderungen vor ihrem Ablauf (Timeout) genehmigt oder abgelehnt werden. Sie können neben der primären genehmigenden Person in jeder Phase alternative genehmigende Personen aufführen.
Durch das Angeben von alternativen genehmigenden Personen in einer Phase kann eine ausstehende Anforderung gemäß dem von Ihnen bei der Richtlinieneinrichtung angegebenen Weiterleitungsplan an die alternativen genehmigenden Personen weitergeleitet werden, wenn die primären genehmigenden Personen die Anforderung nicht genehmigen oder ablehnen können. Die alternativen genehmigenden Personen erhalten eine E-Mail mit der Aufforderung, die ausstehende Anforderung zu genehmigen oder abzulehnen.
Nachdem die Anforderung an die alternativen genehmigenden Personen weitergeleitet wurde, können die primären genehmigenden Personen den Antrag dennoch weiterhin genehmigen oder ablehnen. Alternative genehmigende Personen nutzen dieselbe Website „Mein Zugriff“, um die ausstehende Anforderung zu genehmigen oder abzulehnen.
Sie können Personen oder Gruppen von Personen auflisten, die als genehmigende Personen und alternative genehmigende Personen fungieren sollen. Achten Sie darauf, dass Sie verschiedene Gruppen von Personen auflisten, die als erste, zweite und alternative genehmigende Personen fungieren sollen. Wenn Sie beispielsweise Alice und Bob als genehmigende Personen in der ersten Phase aufgelistet haben, führen Sie Carol und Dave als alternative genehmigende Personen auf. Führen Sie die folgenden Schritte aus, um einem Zugriffspaket alternative genehmigende Personen hinzuzufügen:
Wählen Sie unter der genehmigenden Person in einer Phase Erweiterte Anforderungseinstellungen anzeigen aus.
Legen Sie die Umschaltfläche Wenn keine Aktion ausgeführt wird, an alternative genehmigende Personen weiterleiten? auf Ja fest.
Wählen Sie Alternative genehmigende Personen hinzufügen und dann die alternative(n) genehmigende(n) Person(en) aus der Liste aus.
Wenn Sie „Vorgesetzter als genehmigende Person“ als erste genehmigende Person auswählen, steht Ihnen im Feld „Alternative genehmigende Person“ zusätzlich die Option Mitglied der zweiten Führungsebene als alternative genehmigende Person zur Verfügung. Wenn Sie diese Option auswählen, müssen Sie eine stellvertretende genehmigende Person hinzufügen, an die die Anforderung weitergeleitet wird, wenn das System das Mitglied der zweiten Führungsebene nicht finden kann.
Geben Sie im Feld Nach wie viel Tagen an alternative genehmigende Personen weiterleiten? die Anzahl von Tagen ein, die Sie den genehmigenden Personen zum Genehmigen oder Ablehnen einer Anforderung einräumen. Wenn nach Ablauf der Anforderungsdauer keine der genehmigenden Personen die Anforderung genehmigt oder abgelehnt hat, läuft die Anforderung ab (Timeout), und der Benutzer muss eine weitere Anforderung für das Zugangspaket senden.
Anforderungen können erst einen Tag nach Initiieren der Anforderung an alternative genehmigende Personen weitergeleitet werden. Um die alternative Genehmigung zu verwenden, muss das Anforderungstimeout mindestens vier Tage betragen.
Ermöglichen von Anforderungen
Wenn das Zugriffspaket Benutzern in der Anforderungsrichtlinie sofort zum Anfordern zur Verfügung gestellt werden soll, legen Sie den Umschalter auf Ja fest.
Sie können sie in der Zukunft immer aktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.
Wenn Sie Keine (nur direkte Administratorzuweisungen) ausgewählt haben und Sie die Aktivierung auf Nein festlegen, können Administratoren dieses Zugriffspaket nicht direkt zuweisen.
Wenn neue Anforderungen aktiviert sind, können Sie angeben, ob Sie Vorgesetzten das Anfordern im Namen der Mitarbeitenden erlauben (Vorschau).
Wählen Sie Weiter aus.
Sammeln zusätzlicher Anfordererinformationen für die Genehmigung
Damit sichergestellt ist, dass Benutzer Zugriff auf die richtigen Zugriffspakete erhalten, können Sie anfordern, dass Anforderer zum Zeitpunkt der Anforderung eine Antwort in ein benutzerdefiniertes Textfeld eingeben oder Multiple-Choice-Fragen beantworten müssen. Die Fragen werden dann den genehmigenden Personen angezeigt, um ihnen die Entscheidung zu erleichtern.
Wechseln Sie zur Registerkarte Anfordererinformationen, und wählen Sie die Unterregisterkarte Fragen aus.
Geben Sie als Frage in das Feld Frage ein, was Sie den Anforderer fragen möchten (auch als Anzeigezeichenfolge bezeichnet).
Wenn die Benutzer, die Zugriff auf das Zugriffspaket benötigen, nicht alle die gleiche bevorzugte Sprache verwenden, können Sie die Benutzerfreundlichkeit für Benutzer verbessern, die Zugriff auf myaccess.microsoft.com anfordern. Hierzu können Sie alternative Anzeigezeichenfolgen für verschiedene Sprachen bereitstellen. Wenn z. B. der Webbrowser eines Benutzers auf Spanisch festgelegt ist und Sie die Anzeigezeichenfolgen für Spanisch konfiguriert haben, werden dem anfordernden Benutzer diese Zeichenfolgen angezeigt. Um die Lokalisierung für Anforderungen zu konfigurieren, wählen Sie auf Lokalisierung hinzufügen aus.
- Sobald der Bereich Lokalisierungen für Frage hinzufügen angezeigt wird, wählen Sie den Sprachcode für die Sprache aus, in der Sie die Frage lokalisieren.
- Geben Sie die Frage in der von Ihnen konfigurierten Sprache das Feld Lokalisierter Text ein.
- Nachdem Sie alle benötigten Lokalisierungen hinzugefügt haben, wählen Sie Speichern aus.
Wählen Sie das Antwortformat aus, in dem Anforderer antworten sollen. Mögliche Antwortformate: kurzer Text, Mehrfachauswahl und langer Text.
Wenn Sie „Mehrfachauswahl“ auswählen, wählen Sie die Schaltfläche Bearbeiten und lokalisieren aus, um die Antwortoptionen zu konfigurieren.
- Nachdem Sie „Bearbeiten und lokalisieren“ ausgewählt haben, wird der Bereich Frage anzeigen/bearbeiten angezeigt.
- Geben Sie die Antwortoptionen in die Felder Antwortwerte ein, die Sie dem Anforderer zur Verfügung stellen möchten, wenn dieser die Frage beantwortet.
- Geben Sie so viele Antworten ein, wie Sie benötigen.
- Wenn Sie Ihre eigene Lokalisierung für die Mehrfachauswahloptionen hinzufügen möchten, wählen Sie für die Sprache, in der Sie eine bestimmte Option lokalisieren möchten, den optionalen Sprachcode aus.
- Geben Sie die Option in der von Ihnen konfigurierten Sprache im Feld „Lokalisierter Text“ ein.
- Wenn Sie alle Lokalisierungen hinzugefügt haben, die für die einzelnen Mehrfachauswahloption erforderlich sind, wählen Sie Speichern aus.
Wenn Sie eine Syntaxprüfung für Textantworten auf Fragen einfügen möchten, können Sie auch ein benutzerdefiniertes RegEx-Muster angeben.
Wenn Sie eine Syntaxprüfung für Textantworten auf Fragen einfügen möchten, können Sie auch ein benutzerdefiniertes RegEx-Muster angeben.Damit Anforderer diese Frage beantworten müssen, wenn sie Zugriff auf ein Zugriffspaket anfordern, aktivieren Sie das Kontrollkästchen unter Erforderlich.
Füllen Sie die restlichen Registerkarten (z. B. „Lebenszyklus“) nach Bedarf aus.
Nachdem Sie Anfordererinformationen in Ihrer Zugriffspaketrichtlinie konfiguriert haben, können Sie die Antworten des Anforderers auf die Fragen anzeigen. Anleitungen zum Anzeigen von Anfordererinformationen finden Sie unter Anzeigen der Antworten des Anforderers auf Fragen.