Ändern der Anforderungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung
Als Zugriffspaket-Manager können Sie die Benutzer, die ein Zugriffspaket anfordern können, jederzeit ändern, indem Sie eine Richtlinie für Zugriffspaket-Zuweisungsanfragen bearbeiten oder eine neue Richtlinie zu dem Zugriffspaket hinzufügen. In diesem Artikel wird beschrieben, wie die Anforderungseinstellungen für eine bestehende Richtlinie des Zugriffspakets geändert werden.
Wählen zwischen einer oder mehreren Richtlinien
Mit einer Richtlinie legen Sie fest, wer ein Zugriffspaket anfordern kann. Bevor Sie eine neue Richtlinie erstellen oder eine bestehende Richtlinie in einem Zugriffspaket bearbeiten, müssen Sie feststellen, wie viele Richtlinien das Zugriffspaket benötigt.
Wenn Sie ein Zugriffspaket erstellen, können Sie die Anforderungs-, Genehmigungs- und Lebenszykluseinstellungen angeben, die in der ersten Richtlinie des Zugriffspakets gespeichert werden. Die meisten Zugriffspakete haben eine einzige Richtlinie für die Beantragung des Benutzerzugriffs, aber ein einzelnes Zugriffspaket kann mehrere Richtlinien haben. Sie erstellen mehrere Richtlinien für ein Zugriffspaket, wenn Sie unterschiedlichen Benutzergruppen Zuweisungen mit unterschiedlichen Anforderungs- und Genehmigungseinstellungen erteilen möchten.
Beispielsweise ist es mit einer einzelnen Richtlinie nicht möglich, einem Zugriffspaket interne und externe Benutzer und Benutzerinnen zuzuweisen. Erstellen Sie hierfür in einem Zugriffspaket zwei separate Richtlinien für interne bzw. externe Benutzer. Wenn für anfordernde Benutzer oder Benutzerinnen mehrere Richtlinien gelten, werden sie zum Zeitpunkt ihrer Anfrage aufgefordert, die Richtlinie auszuwählen, der zugewiesen werden soll. Im folgenden Diagramm ist ein Zugriffspaket mit zwei Richtlinien dargestellt.
Zusätzlich zu Richtlinien für Benutzer, um Zugriff anzufordern, können Sie auch Richtlinien für die automatische Zuweisung und Richtlinien für die direkte Zuweisung durch Administratoren oder Katalogeigentümer haben.
Wie viele Richtlinien werden benötigt?
Szenario | Anzahl von Richtlinien |
---|---|
Für alle Benutzer in meinem Verzeichnis sollen die gleichen Anforderungs- und Genehmigungseinstellungen für ein Zugriffspaket gelten. | Eine |
Alle Benutzer in bestimmten verbundenen Organisationen sollen ein Zugriffspaket anfordern können. | Eine |
Sowohl die Benutzer in meinem Verzeichnis als auch Benutzer außerhalb meines Verzeichnisses sollen ein Zugriffspaket anfordern können. | Zwei |
Ich möchte für einige Benutzer andere Genehmigungseinstellungen angeben. | Eine für jede Gruppe von Benutzern |
Ich möchte, dass die Zugriffspaketzuweisungen einiger Benutzer ablaufen, während andere Benutzer ihren Zugriff verlängern können. | Eine für jede Gruppe von Benutzern |
Ich möchte, dass einige Benutzer den Zugriff anfordern und anderen Benutzern der Zugriff von einem Administrator zugewiesen wird | Zwei |
Ich möchte, dass einige Benutzer in meiner Organisation automatisch Zugriff erhalten, andere Benutzer in meiner Organisation Anfragen stellen können und anderen Benutzern Zugriff von einem Administrator zugewiesen wird | drei |
Informationen zur Prioritätslogik, die beim Anwenden mehrerer Richtlinien verwendet wird, finden Sie unter Mehrere Richtlinien.
Öffnen eines vorhandenen Zugriffspaket und Hinzufügen einer neue Richtlinie mit unterschiedlichen Anforderungseinstellungen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Wenn Sie über eine Gruppe von Benutzern verfügen, für die unterschiedliche Anforderungs- und Genehmigungseinstellungen gelten sollen, müssen Sie wahrscheinlich eine neue Richtlinie erstellen. Führen Sie die folgenden Schritte aus, um einem vorhandenen Zugriffspaket eine neue Richtlinie hinzuzufügen:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Tipp
Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, das Sie bearbeiten möchten.
Wählen Sie Richtlinien und dann Richtlinie hinzufügen aus.
Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für die Richtlinie ein.
Wählen Sie Weiter aus, um die Registerkarte Anforderungen zu öffnen.
Ändern Sie die Einstellung Benutzer, die Zugriff anfordern können. Befolgen Sie die Schritte in den folgenden Abschnitten, um die Einstellung in eine der folgenden Optionen zu ändern:
Für Benutzer in Ihrem Verzeichnis
Gehen Sie folgendermaßen vor, wenn Sie möchten, dass Benutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Beim Definieren der Anforderungsrichtlinie können Sie einzelne Benutzer oder Gruppen von Benutzern angeben. Beispielsweise verfügt Ihre Organisation möglicherweise bereits über eine Gruppe wie Alle Mitarbeiter. Wenn diese Gruppe in die Richtlinie für Benutzer eingefügt wird, die Zugriff anfordern können, können alle Mitglieder dieser Gruppe Zugriff anfordern.
Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für in Ihrem Verzeichnis befindliche Benutzer aus.
Wenn Sie diese Option auswählen, werden neue Optionen angezeigt, um weiter zu verfeinern, wer in Ihrem Verzeichnis dieses Zugriffspaket anfordern kann.
Wählen Sie eine der folgenden Optionen aus:
BESCHREIBUNG Bestimmte Benutzer und Gruppen Wählen Sie diese Option aus, wenn Sie möchten, dass nur die von Ihnen angegebenen Benutzer und Gruppen in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Alle Mitglieder (keine Gäste) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Diese Option umfasst keine Gastbenutzer, die Sie möglicherweise in Ihr Verzeichnis eingeladen haben. Alle Benutzer (einschließlich Gästen) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer und Gastbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Gastbenutzer*innen verweisen auf externe Benutzer*innen, die mit Microsoft Entra B2B in Ihr Verzeichnis eingeladen wurden. Weitere Informationen zu den Unterschieden zwischen Mitglieds- und Gastbenutzer*innen finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?.
Wenn Sie Bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie Benutzer und Gruppen hinzufügen aus.
Wählen Sie im Bereich „Benutzer und Gruppen auswählen“ die Benutzer und Gruppen aus, die Sie hinzufügen möchten.
Wählen Sie Auswählen aus, um die Benutzer und Gruppen hinzuzufügen.
Wenn Sie eine Genehmigung anfordern möchten, folgen Sie den Schritten unter Ändern der Genehmigungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung, um die Genehmigungseinstellungen zu konfigurieren.
Wechseln Sie zum Abschnitt Anforderungen aktivieren.
Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden
Benutzer*innen außerhalb Ihres Verzeichnisses bezieht sich auf Benutzer*innen in einem anderen Microsoft Entra-Verzeichnis bzw. einer anderen Domäne. Diese Benutzer wurden möglicherweise noch nicht zu Ihrem Verzeichnis eingeladen. Microsoft Entra-Verzeichnisse müssen in Einschränkungen bei der Zusammenarbeit so konfiguriert werden, dass sie Einladungen zulassen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.
Hinweis
Für einen sich noch nicht in Ihrem Verzeichnis befindenden Benutzer, dessen Anforderung genehmigt oder automatisch genehmigt wird, wird ein Gastbenutzerkonto erstellt. Der Gast wird eingeladen, erhält jedoch keine Einladungs-E-Mail. Stattdessen erhält er eine E-Mail, wenn seine Zugriffspaketzuweisung bereitgestellt wird. Wenn dieser Gastbenutzer zu einem späteren Zeitpunkt keine Zugriffspaketzuweisungen mehr besitzt, weil die letzte Zuweisung abgelaufen ist oder abgebrochen wurde, wird das Gastbenutzerkonto standardmäßig für die Anmeldung blockiert und anschließend gelöscht. Wenn Gastbenutzer dauerhaft in Ihrem Verzeichnis bleiben sollen, auch wenn sie keine Zugriffspaketzuweisungen haben, können Sie die Einstellungen für Ihre Berechtigungsverwaltungskonfiguration ändern. Weitere Informationen zum Gastbenutzerobjekt finden Sie unter Eigenschaften von Microsoft Entra B2B Collaboration-Benutzer*innen.
Gehen Sie folgendermaßen vor, wenn Sie Benutzern, die sich nicht in Ihrem Verzeichnis befinden, die Möglichkeit geben möchten, dieses Zugriffspaket anzufordern:
Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden aus.
Wenn Sie diese Option auswählen, werden neue Optionen angezeigt.
Wählen Sie aus, ob die Benutzer*innen, die Zugriff anfordern können, einer vorhandenen verbundenen Organisation zugeordnet sein müssen oder ob es sich um beliebige Personen im Internet handeln darf. Eine verbundene Organisation ist eine Organisation, mit der bereits eine Beziehung besteht und die möglicherweise über ein externes Microsoft Entra-Verzeichnis oder einen anderen Identitätsanbieter verfügt. Wählen Sie eine der folgenden Optionen aus:
BESCHREIBUNG Bestimmte verbundene Organisationen Wählen Sie diese Option aus, wenn Sie aus einer Liste mit Organisationen auswählen möchten, die Ihr Administrator zuvor hinzugefügt hat. Alle Benutzer aus den ausgewählten Organisationen können dieses Zugriffspaket anfordern. Alle konfigurierten verbundenen Organisationen Wählen Sie diese Option aus, wenn alle Benutzer aus allen Ihren konfigurierten verbundenen Organisationen dieses Zugriffspaket anfordern können. Nur Benutzer aus konfigurierten verbundenen Organisationen können Zugriffspakete anfordern. Wenn Benutzer also nicht aus einem Microsoft Entra-Mandanten, einer Domäne oder einem Identitätsanbieter stammen, der einer vorhandenen verbundenen Organisation zugeordnet ist, können sie keinen Zugriff anfordern. Alle Benutzer (alle verbundenen Organisationen und alle neuen externen Benutzer) Wählen Sie diese Option aus, wenn beliebige Benutzer im Internet die Möglichkeit haben sollen, dieses Zugriffspaket anzufordern. Falls sie nicht zu einer verbundenen Organisation in Ihrem Verzeichnis gehören, wird für sie automatisch eine verbundene Organisation erstellt, wenn Sie das Paket anfordern. Die automatisch erstellte verbundene Organisation befindet sich im Zustand Vorgeschlagen. Weitere Informationen zum vorgeschlagenen Zustand finden Sie unter Zustandseigenschaften verbundener Organisationen. Wenn Sie Bestimmte verbundene Organisationen ausgewählt haben, wählen Sie Verzeichnisse hinzufügen aus, um aus einer Liste von verbundenen Organisationen auszuwählen, die Ihr Administrator zuvor hinzugefügt hat.
Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.
Wenn die Organisation, mit der Sie zusammenarbeiten möchten, nicht in der Liste enthalten ist, können Sie Ihren Administrator bitten, sie als verbundene Organisation hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation.
Nachdem Sie alle Ihre verbundenen Organisationen ausgewählt haben, wählen Sie Auswählen aus.
Hinweis
Alle Benutzer*innen aus den ausgewählten verbundenen Organisationen können dieses Zugriffspaket anfordern. Bei einer verbundenen Organisation, die über ein Microsoft Entra-Verzeichnis verfügt, können Benutzer*innen aus allen überprüften Domänen, die dem Microsoft Entra-Verzeichnis zugeordnet sind, Anforderungen stellen. Dies gilt jedoch nicht, wenn diese Domänen von Azure B2B-Positiv- oder -Negativlisten blockiert werden. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.
Führen Sie als Nächstes die Schritte in Ändern der Genehmigungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung aus, um Genehmigungseinstellungen zu konfigurieren, die angeben, wer Anforderungen von Benutzer*innen genehmigen soll, die nicht zu Ihrer Organisation gehören.
Wechseln Sie zum Abschnitt Anforderungen aktivieren.
Keine (nur direkte Administratorzuweisungen)
Gehen Sie folgendermaßen vor, wenn Sie Zugriffsanforderungen umgehen und Administratoren ermöglichen soll, bestimmte Benutzer direkt diesem Zugriffspaket zuzuweisen. Benutzer müssen das Zugriffspaket nicht anfordern. Sie können weiterhin Lebenszykluseinstellungen festlegen, aber es gibt keine Anforderungseinstellungen.
Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Keine (nur direkte Zuweisungen eines Administrators) aus.
Nach der Erstellung des Zugriffspakets können Sie direkt bestimmte interne und externe Benutzer dem Zugriffspaket zuweisen. Wenn Sie einen externen Benutzer angeben, wird ein Gastbenutzerkonto in Ihrem Verzeichnis erstellt. Weitere Informationen zum direkten Zuweisen eines Benutzers finden Sie unter Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket .
Fahren Sie mit dem Abschnitt Anforderungen aktivieren fort.
Hinweis
Beim Zuweisen von Benutzern zu einem Zugriffspaket müssen Administratoren überprüfen, ob die Benutzer basierend auf den vorhandenen Richtlinienanforderungen für dieses Zugriffspaket berechtigt sind. Andernfalls werden die Benutzer dem Zugriffspaket nicht erfolgreich zugewiesen. Wenn das Zugriffspaket eine Richtlinie enthält, die erfordert, dass Benutzeranforderungen genehmigt werden, können Benutzer dem Paket nicht direkt zugewiesen werden, ohne dass diese Zuweisung von den festgelegten genehmigenden Benutzern genehmigt wurde.
Öffnen und Bearbeiten einer vorhandenen Richtlinie mit Anforderungseinstellungen
Wenn Sie die Anforderungs- und Genehmigungseinstellungen für ein Zugriffspaket ändern möchten, müssen Sie die entsprechende Richtlinie mit diesen Einstellungen öffnen. Führen Sie die folgenden Schritte aus, um die Anforderungseinstellungen für eine Richtlinie zur Zuweisung von Zugangspaketen zu öffnen und zu bearbeiten:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Tipp
Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, dessen Anforderungseinstellungen für die Richtlinie Sie bearbeiten möchten.
Wählen Sie Richtlinien und dann die Richtline aus, die Sie bearbeiten möchten.
Der Bereich „Richtliniendetails“ wird unten auf der Seite geöffnet.
Wählen Sie Bearbeiten aus, um die Richtlinie zu bearbeiten.
Wählen Sie die Registerkarte Anforderungen aus, um die Anforderungseinstellungen zu öffnen.
Führen Sie die Schritte in den vorherigen Abschnitten aus, um die Anforderungseinstellungen nach Bedarf zu ändern.
Wechseln Sie zum Abschnitt Anforderungen aktivieren.
Ermöglichen von Anforderungen
Wenn das Zugriffspaket Benutzern in der Anforderungsrichtlinie sofort zum Anfordern zur Verfügung gestellt werden soll, legen Sie den Umschalter auf Ja fest.
Sie können sie in der Zukunft immer aktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.
Wenn Sie Keine (nur direkte Administratorzuweisungen) ausgewählt haben und Sie die Aktivierung auf Nein festlegen, können Administratoren dieses Zugriffspaket nicht direkt zuweisen.
Wählen Sie Weiter aus.
Wenn Anforderer beim Anfordern des Zugriffs auf ein Zugriffspaket weitere Informationen bereitstellen sollen, verwenden Sie die unter Ändern der Einstellungen für Genehmigungen und Anfordererinformationen für ein Zugriffspaket in der Berechtigungsverwaltung. beschriebenen Schritte, um die Anfordererinformationen zu konfigurieren.
Konfigurieren Sie Lebenszykluseinstellungen.
Wenn Sie eine Richtlinie bearbeiten, wählen Sie Aktualisieren aus. Wenn Sie eine neue Richtlinie hinzufügen, wählen Sie Erstellen aus.
Programmgesteuertes Erstellen einer Zuweisungsrichtlinie für Zugriffspakete
Es gibt zwei Möglichkeiten, programmgesteuert eine Zuweisungsrichtlinie für Zugriffspakete zu erstellen: über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph.
Erstellen einer Zuweisungsrichtlinie für Zugriffspakete über Graph
Sie können eine Richtlinie mit Microsoft Graph erstellen. Ein Benutzer in einer geeigneten Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All
Berechtigung verfügt, oder eine Anwendung in einer Katalogrolle oder mit der EntitlementManagement.ReadWrite.All
Berechtigung kann die API zum Erstellen einer assignmentPolicy-API aufrufen.
Erstellen einer Zuweisungsrichtlinie für Zugriffspakete über PowerShell
Sie können ein Zugriffspaket auch in PowerShell mit den Cmdlets aus dem Modul Microsoft Graph PowerShell-Cmdlets für Identity Governance (Version 2.1.x oder höhere Modulversionen) erstellen.
Das folgende Skript veranschaulicht das Erstellen einer Richtlinie für die direkte Zuweisung zu einem Zugriffspaket. In dieser Richtlinie kann nur der Administrator einen Zugriff zuweisen, und es gibt keine Genehmigungen oder Zugriffsüberprüfungen. Weitere Beispiele finden Sie unter Erstellen einer automatischen Zuweisungsrichtlinie und Erstellen eines assignmentPolicy-Objekts.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Verhindern von Anforderungen von Benutzer*innen mit inkompatiblem Zugriff
Zusätzlich zu den Richtlinienüberprüfungen, die steuern, welche Benutzer Anforderungen übermitteln können, möchten Sie möglicherweise den Zugriff weiter einschränken, um zu verhindern, dass ein Benutzer, der bereits über gewisse Zugriffsberechtigungen (über eine Gruppe oder ein anderes Zugriffspaket) verfügt, übermäßigen Zugriff erhält.
Wenn Sie möchten, dass ein Benutzer kein Zugriffspaket anfordern kann, wenn er bereits einem anderen Zugriffspaket zugewiesen ist oder einer Gruppe angehört, verwenden Sie die unter Konfigurieren von Aufgabentrennungsprüfungen für ein Zugriffspaket in der Azure AD-Berechtigungsverwaltung (Vorschau) beschriebenen Schritte.