Freigeben von Konten mit Microsoft Entra ID
Überblick
In Microsoft Entra ID, einem Teil von Microsoft Entra, müssen Organisationen manchmal einen einzigen Benutzernamen und ein einziges Kennwort für mehrere Personen verwenden, was in den folgenden Fällen häufig vorkommt:
- Beim Zugreifen auf Anwendungen, für die ein eindeutiger Benutzername und ein Kennwort für jeden Benutzer erforderlich sind (hier kann es sich um lokale Apps oder Clouddienste für Verbraucher handeln, z.B. Unternehmenskonten für Social Media).
- Beim Erstellen von Mehrbenutzerumgebungen. Beispielsweise verfügen Sie ggf. über ein einzelnes lokales Konto mit erhöhten Rechten, das für die grundlegende Einrichtung sowie für Verwaltungs- und Wiederherstellungsaktivitäten verwendet wird. Beispielsweise ein Anwendungsadministratorkonto für Microsoft 365 oder das Stammkonto in Salesforce.
Traditionell werden diese Konten gemeinsam genutzt, indem die Anmeldeinformationen (Benutzername und Kennwort) an die richtigen Personen verteilt oder an gemeinsam genutzten Orten aufbewahrt werden, auf die mehrere vertrauenswürdige Agenten zugreifen können.
Das herkömmliche Modell der gemeinsamen Nutzung hat mehrere Nachteile:
- Das Bereitstellen des Zugriffs auf neue Anwendungen erfordert die Verteilung von Anmeldeinformationen an jeden, der Zugriff benötigt.
- Jede freigegebene Anwendung erfordert möglicherweise einen eigenen, eindeutigen Satz freigegebener Anmeldeinformationen, weshalb sich Benutzer mehrere Sätze von Anmeldeinformationen merken müssen. Wenn Benutzer sich viele Anmeldeinformationen merken müssen, steigt das Risiko, dass auf risikoreiche Methoden zurückgegriffen wird (z.B. das Aufschreiben von Kennwörtern).
- Es ist nicht erkennbar, wer genau Zugriff auf eine Anwendung hat.
- Sie können nicht erkennen, wer auf eine Anwendung zugegriffen hat.
- Wenn Sie den Zugriff auf eine Anwendung entfernen möchten, müssen die Anmeldeinformationen aktualisiert und erneut an alle Benutzer verteilt werden, die Zugriff benötigen.
Microsoft Entra-Kontofreigabe
Microsoft Entra ID bietet einen neuen Ansatz für die Verwendung von gemeinsam genutzten Konten, der diese Nachteile beseitigt.
Der Microsoft Entra-Administrator konfiguriert, auf welche Anwendungen ein Benutzer zugreifen kann, indem er den Zugriffsbereich verwendet und die Art von einmaligem Anmelden auswählt, die für diese Anwendung am besten geeignet ist. Einer dieser Typen, die kennwortbasierte einmalige Anmeldung, ermöglicht Microsoft Entra ID, während des Anmeldevorgangs für die Anwendung als eine Art Zwischenhändler (Broker) aufzutreten.
Benutzer melden sich einmalig mit ihrem Organisationskonto an. Dieses Konto ist dasselbe Konto, das Benutzer regelmäßig zum Zugreifen auf den Desktop oder ihre E-Mails verwenden. Sie können nur diejenigen Anwendungen ermitteln und darauf zugreifen, die ihnen zugewiesen wurden. Bei gemeinsam genutzten Konten kann diese Liste von Anwendungen beliebig viele gemeinsam genutzte Anmeldeinformationen enthalten. Endbenutzer müssen sich die unterschiedlichen Konten nicht mehr merken oder notieren.
Gemeinsame Konten erhöhen die Aufsicht, verbessern die Benutzerfreundlichkeit und verbessern Ihre Sicherheit. Benutzer mit Berechtigungen zur Verwendung der Anmeldeinformationen sehen das gemeinsame Kennwort nicht, sondern erhalten vielmehr die Berechtigung, es als Teil des orchestrierten Authentifizierungsablaufs nutzen zu dürfen. Bei einigen Kennwort-SSO-Anwendungen haben Sie die Möglichkeit, Microsoft Entra ID zum Durchführen eines regelmäßigen Rollovers (Aktualisierung) von Kennwörtern zu verwenden. Das System verwendet lange, komplexe Kennwörter, was die Kontosicherheit erhöht. Der Administrator kann den Zugriff auf eine Anwendungen einfach gewähren oder widerrufen, weiß, wer Zugriff auf das Konto hat und wer in der Vergangenheit darauf zugegriffen hat.
Microsoft Entra ID unterstützt freigegebene Konten für alle Lizenzpläne vom Typ Enterprise Mobility Suite (EMS) oder Microsoft Entra ID P1 bzw. P2 für alle Arten des einmaligen Anmeldens per Kennwort. Sie können Konten für Tausende im Anwendungskatalog befindliche, bereits integrierte Anwendungen gemeinsam nutzen und mithilfe benutzerdefinierter SSO-Apps Ihre eigene Anwendung mit Kennwortauthentifizierung hinzufügen.
Zu den Microsoft Entra-Funktionen zur gemeinsamen Nutzung von Konten gehören die folgenden:
- Einmaliges Anmelden per Kennwort
- Agent für einmaliges Anmelden per Kennwort
- Gruppenzuweisung
- Apps mit benutzerdefinierten Kennwörtern
- Dashboard für Anwendungsnutzung/Berichte
- Zugriffsportale für Endbenutzer
- Anwendungsproxy
- Azure Marketplace
Gemeinsames Nutzen eines Kontos
Um Microsoft Entra ID zum Freigeben eines Kontos zu verwenden, müssen Sie Folgendes ausführen:
- Hinzufügen einer Anwendung aus dem App-Katalog oder einer benutzerdefinierten Anwendung.
- Konfigurieren der Anwendung für einmaliges Anmelden (SSO) mit Kennwort
- Verwenden einer gruppenbasierten Zuweisung mit der Option „Gemeinsam genutzte Anmeldeinformationen“
Sie können Ihr freigegebenes Konto auch mit Multi-Faktor-Authentifizierung (MFA) sicherer machen (weitere Informationen zum Sichern von Anwendungen mit Microsoft Entra ID). Sie können die Fähigkeit delegieren, den Zugriff auf die Anwendung mithilfe der Microsoft Entra -Self-Service-Gruppenverwaltung zu verwalten.