Sicherstellen des sicheren Zugriffs mit der Zugriffssteuerungsliste

  • 3 Minuten

In dieser Lerneinheit erfahren Sie, wie Sie sicherstellen, dass die externen Inhalte, die Sie in Microsoft 365 importieren, nur für privilegierte Personen zugänglich sind.

Importieren externer Inhalte mit korrekten Berechtigungen

Informationen, die Sie außerhalb von Microsoft 365 speichern, sind entweder für jeden in Ihrer Organisation oder nur für eine ausgewählte Gruppe von Personen zugänglich. Die Berechtigungen für den Zugriff auf externe Inhalte werden im externen System gespeichert.

Beim Importieren von Inhalten mithilfe von Microsoft Graph-Connectors rufen Sie Inhalte und die zugehörigen Berechtigungen aus Ihrem externen System ab. Anhand dieser Informationen erstellen Sie für jeden inhalt, den Sie importieren, eine Zugriffssteuerungsliste (Access Control List, ACL) und fügen sie in das Element ein, wenn Sie es in Microsoft 365 importieren.

Diagramm, das die Funktionsweise eines benutzerdefinierten Microsoft Graph-Connectors veranschaulicht.

Durch das Konfigurieren der Berechtigung für den importierten Inhalt können Sie sicherstellen, dass nur im externen System angegebene Personen darauf zugreifen können. Beim Importieren externer Inhalte mithilfe von Graph-Connectors haben Sie mehrere Optionen, um sicherzustellen, dass dieselbe Gruppe von Personen darauf zugreifen kann, die im externen System darauf zugreifen können.

Aufbau einer Zugriffssteuerungsliste

Eine Zugriffssteuerungsliste ist ein Array von Zugriffssteuerungseinträgen. Jeder Eintrag besteht aus drei Elementen:

  1. Zugriffstyp, der angibt, ob der Eintrag zum Gewähren oder Verweigern des Zugriffs auf den Inhalt dient.
  2. Typ, der den Typ der Entität angibt, die durch den Eintrag beschrieben wird. Dies kann folgendes sein:
    1. ein Microsoft Entra-Benutzer,
    2. eine Microsoft Entra-Gruppe,
    3. jeder in Ihrem Mandanten,
    4. jeder außer Gastbenutzern,
    5. eine externe Gruppe (d. a. eine Gruppe, die in Ihrem externen System definiert ist)
  3. Wert, der die durch den Eintrag beschriebene Entität angibt.

Diagramm einer schematischen Ansicht einer Zugriffssteuerungsliste.

Wichtig

Jedes importierte Element muss mindestens einen Zugriffssteuerungseintrag enthalten. Sie können auch mehrere Einträge einschließen, um das Element für mehrere Personengruppen zugänglich zu machen.

Sehen wir uns einige gängige Szenarien an, in denen Sie den korrekten Zugriff auf Ihre importierten Inhalte sicherstellen.

Szenario 1: Importieren von Inhalten, die für alle Personen in der Organisation verfügbar sind

Eines der häufigsten Szenarien ist das Importieren externer Inhalte, die für jeden in der Organisation verfügbar sind. Wenn Sie solche Inhalte importieren, können Sie den folgenden Zugriffssteuerungseintrag für alle Inhaltselemente verwenden:

  • Zugriffstyp: gewähren
  • Typ: Jeder
  • Wert: Jeder

Szenario 2: Importieren von Inhalten, die nur für eine bestimmte Gruppe von Personen von einem externen System mit einmaligem Anmelden mit Microsoft 365 verfügbar sind

Wenn Ihr externes System über einmaliges Anmelden bei Microsoft 365 verfügt, werden Ihre externen Inhalte mit Benutzern und Gruppen aus Microsoft Entra ID (früher Azure Active Directory) geschützt. In solchen Fällen können Sie Zugriffssteuerungseinträge vom Typ Benutzer (wenn Sie auf einzelne Entra-Benutzer verweisen) oder Gruppe (wenn Sie auf Entra-Gruppen verweisen) definieren. Sie konfigurieren den Wert so, dass er auf die Objekt-ID des Microsoft Entra-Benutzers oder der Microsoft Entra-Gruppe verweist, z. B.:

  • Zugriffstyp: gewähren
  • Typ: Gruppe
  • Wert: 12345678-1234-1234-1234-123456789012

Szenario 3: Importieren von Inhalten, die nur für bestimmte Personengruppen verfügbar sind, aus einem externen System ohne einmaliges Anmelden mit Microsoft 365

Wenn Sie Inhalte aus einem System importieren, das Inhalte mit eigenen Benutzern und Gruppen schützt, können Sie die importierten Inhalte dennoch ordnungsgemäß schützen und nur für die richtigen Personen verfügbar machen. In diesem Fall definieren Sie externe Gruppen, die Sie verwenden, um den importierten Inhalt zu schützen. Diese Gruppen spiegeln die im externen System definierten Mitgliedschaften wider, beziehen sich jedoch auf Microsoft Entra-Benutzer und -Gruppen oder andere externe Gruppen.

Synchronisieren Ihrer externen Berechtigungen und Zugriffssteuerungslisten

Das externe System, aus dem Sie Inhalte in Microsoft 365 importieren, enthält den primären Verweis auf Berechtigungen und wer Zugriff auf welche Inhalte hat. Beim Erstellen von Microsoft Graph-Connectors müssen Sie diese Berechtigungen mit Ihren in Microsoft 365 importierten Inhalten synchronisieren, um deren Sicherheit zu gewährleisten.

Wenn Ihr externes System ein Ereignis auslöst, wenn sich Berechtigungen ändern, können Sie diese sofort für die in Microsoft 365 importierten externen Inhalte aktualisieren. Wenn das externe System keine Ereignisse unterstützt, erstellen Sie einen häufig ausgeführten Prozess, der nach geänderten Berechtigungen sucht und diese entsprechend aktualisiert. Sie sollten die Möglichkeit einschließen, Berechtigungen bei Bedarf zu aktualisieren, sodass Sie Berechtigungen bei Bedarf sofort aktualisieren können.