Beschreiben der Zugriffsüberprüfungen

  • 5 Minuten

Mithilfe von Microsoft Entra-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie die Rollenzuweisung effizient verwalten. Durch reguläre Zugriffsüberprüfungen wird sichergestellt, dass nur die richtigen Personen Zugriff auf Ressourcen haben. Übermäßig viele Zugriffsrechte sind ein bekanntes Sicherheitsrisiko. Wenn Benutzer sich jedoch innerhalb von verschiedenen Teams bewegen oder Zuständigkeiten übernehmen, kann es schwierig sein, Zugriffsrechte zu steuern.

Microsoft Entra ID ermöglicht es Ihnen, mit internen Benutzer*innen Ihrer Organisation und mit externen Benutzer*innen zusammenzuarbeiten. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und mit ihren Firmen- oder persönlichen Geräten remote arbeiten. Die Möglichkeit zur komfortablen Nutzung hat dazu geführt, dass bessere Zugriffsverwaltungsfunktionen benötigt werden.

Es gibt viele Anwendungsfälle, in denen Zugriffsüberprüfungen verwendet werden sollten. Im Folgenden finden Sie einige Beispiele.

  • Zu viele Benutzer*innen in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer*innen über Administratorzugriff verfügen, und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde. Sie können die Rollenzuweisung von Benutzern in Microsoft Entra-Rollen wie „Globale Administratoren“ oder in Azure-Ressourcenrollen wie „Benutzerzugriffsadministratoren“ in Microsoft Entra Privileged Identity Management (PIM) erneut bestätigen.
  • Geschäftskritischer Datenzugriff: Für bestimmte Ressourcen, z. B. geschäftskritische Anwendungen, kann es als Teil der Complianceprozesse erforderlich sein, Personen regelmäßig zu bestätigen und eine Begründung dafür zu geben, warum sie weiterhin Zugriff benötigen.
  • Verwalten der Ausnahmeliste einer Richtlinie: Manchmal gibt es Geschäftsfälle, in denen Sie Ausnahmen für Richtlinien machen müssen. Als IT-Administrator*in können Sie diese Aufgabe verwalten und Prüfer*innen den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.
  • Auffordern von Gruppenbesitzer*innen zur Bestätigung, dass sie weiterhin Gäste in ihren Gruppen benötigen: Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, müssen Gruppenbesitzer*innen bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.
  • Regelmäßige Überprüfungen: Sie können die Häufigkeit der regelmäßigen Zugriffsüberprüfungen für Benutzer festlegen (z. B. wöchentlich, monatlich, vierteljährlich oder jährlich). Prüfer werden zu Beginn jeder Überprüfung und nach Abschluss der Genehmigung oder Ablehnung des Zugriffs über eine benutzerfreundliche Benutzeroberfläche und mithilfe intelligenter Empfehlungen benachrichtigt.

Verwaltung von Benutzer- und Gastbenutzerzugängen mit Zugriffsüberprüfungen

Mit Zugriffsüberprüfungen können Sie ganz einfach sicherstellen, dass Benutzer oder Gäste angemessenen Zugriff haben. Hierzu können Sie die Benutzer selbst oder einen Entscheidungsträger bitten, an einer Zugriffsüberprüfung teilzunehmen und den Zugriff des Benutzers erneut zu zertifizieren (oder zu „attestieren“). Basierend auf Vorschlägen von Microsoft Entra ID können die Prüfer die Notwendigkeit des weiteren Zugriffs der einzelnen Benutzer abwägen. Nach Abschluss einer Zugriffsüberprüfung können Sie dann Änderungen vornehmen und Zugriffsrechte für Benutzer entfernen, die diese nicht mehr benötigen.

Administratoren, die Zugriffsüberprüfungen erstellen, können den Fortschritt während des Prozesses nachverfolgen. Zugriffsrechte werden erst geändert, wenn die Überprüfung abgeschlossen ist. Sie können eine Überprüfung jedoch beenden, bevor Sie das geplante Ende erreicht.

Wenn die Überprüfung abgeschlossen ist, können die Änderungen manuell oder automatisch angewendet werden, um den Zugriff von einer Gruppenmitgliedschaft oder Anwendungszuweisung zu entfernen, mit Ausnahme einer dynamischen Gruppe oder Gruppe lokalen Ursprungs. In diesen Fällen müssen die Änderungen direkt auf die Gruppe angewendet werden.

Mehrstufige Zugriffsüberprüfungen

Microsoft Entra-Zugriffsüberprüfungen unterstützen bis zu drei Überprüfungsphasen, in denen mehrere Arten von Prüfern ermitteln, wer noch Zugriff auf Unternehmensressourcen benötigt.

Mehrstufige Zugriffsüberprüfungen ermöglichen Ihnen und Ihrer Organisation, die Verwendung komplexer Workflows, um Neuzertifizierungs- und Überwachungsanforderungen zu erfüllen, für die mehrere Prüfer den Zugriff von Benutzern in einer bestimmten Reihenfolge bestätigen müssen. Des Weiteren können Sie damit effizientere Überprüfungen für Ihre Ressourcenbesitzer und Prüfer entwerfen, indem Sie die Anzahl von Entscheidungen verringern, für die die einzelnen Prüfer jeweils verantwortlich sind.

Bildschirmaufnahme einer Benachrichtigung über die Überprüfung der Zugriffsrechte, in der Benutzer*innen aufgefordert werden, ihre Zugriffsrechte zu überprüfen