Tutorial: Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung

  • Artikel

Das Verwalten des Zugriffs auf alle Ressourcen, die von Mitarbeitern benötigt werden, etwa Gruppen, Anwendungen und Websites, ist eine wichtige Aufgabe für Organisationen. Sie sollten Mitarbeitern das richtige Maß an Zugriff gewähren, das sie zur produktiven Arbeit benötigen, und Sie sollten den Zugriff entfernen, wenn er nicht mehr benötigt wird.

In diesem Tutorial arbeiten Sie als IT-Administrator für die Woodgrove Bank. Sie wurden gebeten, ein Paket von Ressourcen für eine Marketingkampagne zu erstellen, das interne Benutzer für Anforderungen per Self-Service verwenden können. Anforderungen bedürfen keiner Genehmigung, und der Zugriff eines Benutzer läuft nach 30 Tagen ab. Für dieses Tutorial gehören die Ressourcen der Marketingkampagne nur zu einer einzelnen Gruppe, sie könnten aber auch einer Sammlung von Gruppen, Anwendungen oder SharePoint Online-Websites angehören.

Diagram that shows the scenario overview.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines Zugriffspakets mit einer Gruppe als Ressource
  • Zulassen von Zugriffsanforderungen durch Benutzer in Ihrem Verzeichnis
  • Vorgehen, wie ein interner Benutzer das Zugriffspaket anfordern kann

Für eine schrittweise Demonstration des Bereitstellungsprozesses der Microsoft Entra-Berechtigungsverwaltung, einschließlich der Erstellung Ihres ersten Zugriffspakets, sehen Sie sich folgendes Video an:

Die verbleibenden Abschnitte dieses Artikels verwenden das Microsoft Entra Admin Center, um die Berechtigungsverwaltung zu konfigurieren und zu veranschaulichen.

Voraussetzungen

Um die Berechtigungsverwaltung verwenden zu können, benötigen Sie eine der folgenden Lizenzen:

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance
  • Enterprise Mobility + Security (EMS) E5-Lizenz

Weitere Informationen finden Sie unter Lizenzanforderungen.

Schritt 1: Einrichten von Benutzern und Gruppen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Ein Ressourcenverzeichnis hat mindestens eine Ressource, die freigegeben (geteilt) werden soll. In diesem Schritt erstellen Sie eine Gruppe namens Marketing resources im Verzeichnis „Woodgrove Bank“ – der Zielressource für die Berechtigungsverwaltung. Außerdem richten Sie einen internen Anforderer ein.

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

Diagram that shows the users and groups for this tutorial.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Erstellen Sie zwei Benutzer. Verwenden Sie die folgenden Namen oder andere Namen.

    Name Verzeichnisrolle
    Admin1 Globaler Administrator oder Identity Governance-Administrator. Dieser Benutzer kann der Benutzer sein, mit dem Sie derzeit angemeldet sind.
    Anforderer1 Benutzer

  4. Erstellen Sie eine Microsoft Entra-Sicherheitsgruppe namens Marketing resources mit dem Mitgliedschaftstyp Zugewiesen. Diese Gruppe ist die Zielressource für die Berechtigungsverwaltung. Die Gruppe darf zu Beginn keine Mitglieder haben.

Schritt 2: Erstellen eines Zugriffspakets

Bei einem Zugriffspaket handelt es sich um eine Gruppe von Ressourcen, die von einem Team oder Projekt benötigt wird und Richtlinien unterliegt. Zugriffspakete sind in Containern definiert, die als Kataloge bezeichnet werden. In diesem Schritt erstellen Sie ein Zugriffspaket namens Marketing Campaign im Katalog Allgemein.

Erforderliche Rolle: Globaler Administrator, Identity-Governance-Administrator, Katalogbesitzer oder Zugriffspaket-Manager

Diagram that describes the relationship between the access package elements.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wenn Sie das Zugriffspaket öffnen und Zugriff verweigert angezeigt wird, vergewissern Sie sich, dass Ihr Verzeichnis eine Microsoft Entra ID Premium P2- oder Microsoft Entra ID Governance-Lizenz enthält.

  5. Wählen Sie Neues Zugriffspaket aus.

    Screenshots that shows how to create an access package.

  6. Geben Sie auf der Registerkarte Grundeinstellungen den Namen Marketing Campaign und die Beschreibung Access to resources for the campaign ein.

  7. Übernehmen Sie für die Dropdownliste Katalog die Einstellung Allgemein.

    Screenshot showing how to set the basic of the access policy.

  8. Wählen Sie Weiter aus, um die Registerkarte Ressourcenrollen zu öffnen. Wählen Sie auf dieser Registerkarte die Ressourcen und die Ressourcenrolle aus, die in das Zugriffspaket einbezogen werden sollen. Sie können den Zugriff auf Gruppen und Teams, Anwendungen und SharePoint Online-Websites verwalten. Wählen Sie in diesem Szenario Gruppen und Teams aus.

    Screenshot showing how to select groups and teams.

  9. Suchen Sie im Bereich Gruppen auswählen nach der zuvor erstellten Gruppe Marketing resources, und wählen Sie sie aus.

    Standardmäßig werden Gruppen im Katalog „Allgemein“ angezeigt. Wenn Sie eine Gruppe auswählen, die sich außerhalb des Katalogs „Allgemein“ befindet, wird sie dem Katalog „Allgemein“ hinzugefügt. Gruppen außerhalb des Katalogs können durch Aktivierung des Kontrollkästchens Alle anzeigen angezeigt werden.

    Screenshot that shows how to select the groups

  10. Wählen Sie die Option Auswählen aus, um die Gruppe zur Liste hinzuzufügen.

  11. Wählen Sie in der Dropdownliste Rolle den Eintrag Mitglied aus. Wenn Sie die Rolle „Besitzer“ auswählen, können Benutzer andere Mitglieder oder Besitzer hinzufügen oder entfernen. Weitere Informationen zum Auswählen der entsprechenden Rollen für eine Ressource finden Sie unter Hinzufügen von Ressourcenrollen.

    Screenshot the shows how to select the member role.

    Wichtig

    Die einem Zugriffspaket hinzugefügten Gruppen, denen Rollen zugewiesen werden können werden mit dem Untertyp Zu Rollen zuweisbar angegeben. Weitere Informationen finden Sie im Artikel Erstellen einer Gruppe, der Rollen zugeordnet werden können. Beachten Sie Folgendes: Wenn eine Gruppe, der Rollen zugeordnet werden können, in einem Zugriffspaketkatalog vorhanden ist, können Administratoren, die Verwaltungsaufgaben in der Berechtigungsverwaltung ausführen können einschließlich Benutzer mit der Rolle „Globaler Administrator, Benutzer mit der Rolle Identity Governance-Administrator und Katalogbesitzer des Katalogs, die Zugriffspakete im Katalog steuern. So können sie auswählen, wer zu diesen Gruppen hinzugefügt werden kann. Wenn eine Gruppe, der Rollen zugewiesen werden können und die Sie hinzufügen möchten, nicht angezeigt wird, oder wenn Sie eine solche Gruppe nicht hinzufügen können, stellen Sie sicher, dass Sie über die erforderliche Microsoft Entra-Rolle und -Berechtigungsverwaltungsrolle zum Ausführen dieses Vorgangs verfügen. Möglicherweise müssen Sie jemanden mit den erforderlichen Rollen beauftragen, die Ressource Ihrem Katalog hinzuzufügen. Weitere Informationen finden Sie unter Erforderliche Rollen, um einem Katalog Ressourcen hinzuzufügen.

    Hinweis

    Bei der Verwendung von dynamischen Gruppen sind außer „Besitzer“ keine anderen Rollen verfügbar. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Screenshots that shows a dynamic group available roles.

  12. Wählen Sie Weiter aus, um die Registerkarte Anforderungen zu öffnen. Auf dieser Registerkarte erstellen Sie eine Anforderungsrichtlinie. In einer Richtlinie sind die Regeln oder Leitlinien für den Zugriff auf ein Zugriffspaket definiert. Sie erstellen eine Richtlinie, die es einem bestimmten Benutzer im Ressourcenverzeichnis ermöglicht, dieses Zugriffspaket anzufordern.

  13. Wählen Sie im Abschnitt Benutzer, die Zugriff anfordern können die Option Für Benutzer in Ihrem Verzeichnis und anschließend Bestimmte Benutzer und Gruppen aus.

    Screenshot of the access package requests tab.

  14. Wählen Sie Benutzer und Gruppen hinzufügen aus.

  15. Wählen Sie im Bereich „Benutzer und Gruppen auswählen“ den zuvor erstellten Benutzer Anforderer1 aus.

    Screenshot of select users and groups.

  16. Wählen Sie die Option Auswählen aus, um den Benutzer zur Liste hinzuzufügen.

  17. Scrollen Sie nach unten zu den Abschnitten Genehmigung und Enable requests (Anforderungen aktivieren).

  18. Behalten Sie für Genehmigung erforderlich die Einstellung Nein bei.

  19. Wählen Sie bei Anforderungen aktivieren die Option Ja aus, damit dieses Zugriffspaket angefordert werden kann, sobald es erstellt wurde.

  20. Wenn Ihre Organisation so eingerichtet ist, dass überprüfte IDs empfangen werden, gibt es eine Option zum Konfigurieren eines Zugriffspakets, damit Anforderer eine verifizierte ID angeben müssen. Weitere Informationen finden Sie unter Konfigurieren verifizierter ID-Einstellungen für ein Zugriffspaket in der Berechtigungsverwaltung (Vorschau)

    Screenshot of the Verified ID picker selection.

  21. Wählen Sie Weiter aus, um die Registerkarte Informationen zum Anforderer zu öffnen.

    Screenshots of the requests tab approval and enable requests settings.

  22. Auf der Registerkarte Informationen zum Anforderer können Sie Fragen stellen, um weitere Informationen vom Anforderer zu erhalten. Diese Fragen werden im Anforderungsformular angezeigt und können als erforderlich oder optional festgelegt werden. Da Sie im Rahmen dieses Szenarios nicht aufgefordert wurden, Informationen zum Anforderer für das Zugriffspaket anzugeben, können Sie diese Felder leer lassen. Wählen Sie Weiter aus, um die Registerkarte Lebenszyklus zu öffnen.

  23. Auf der Registerkarte Lebenszyklus geben Sie an, wann die Zuweisung eines Benutzers für das Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Gehen Sie im Abschnitt Ablauf folgendermaßen vor:

    1. Legen Sie Ablauf der Zuweisungen von Zugriffspaketen auf Anzahl von Tagen fest.
    2. Legen Sie Zuweisungen laufen ab nach auf 30 Tage fest.
    3. Behalten Sie für Benutzer können bestimmte Zeitachse anfordern den Standardwert Ja bei.
    4. Legen Sie Zugriffsüberprüfungen anfordern auf Nein fest.

    Screenshot of the access package lifecycle tab

  24. Überspringen Sie den Schritt Benutzerdefinierte Erweiterungen.

  25. Wählen Sie Weiter aus, um die Registerkarte Überprüfen + erstellen zu öffnen.

  26. Wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus. Nach einigen Augenblicken sollte eine Benachrichtigung angezeigt werden, dass das Zugriffspaket erfolgreich erstellt wurde.

  27. Wählen Sie im linken Menü des Zugriffspakets „Marketing Campaign“ die Option Übersicht aus.

  28. Kopieren Sie den Wert von Link zum Portal "Mein Zugriff" .

    Sie verwenden diesen Link im nächsten Schritt.

    Screenshot that demonstrates how to copy the link to the access policy.

Schritt 3: Zugriff anfordern

In diesem Schritt führen Sie die Schritte als interner Anforderer aus und fordern Zugriff auf das Paket an. Anforderer senden ihre Anforderungen über eine Website, die als Portal „Eigener Zugriff“ (Mein Zugriff) bezeichnet wird. Über das Portal „Mein Zugriff“ können Anforderer Anforderungen für Zugriffspakete senden, die Zugriffspakete sehen, auf die sie bereits Zugriff haben, und ihre Anforderungsverläufe anzeigen. Wenn ein neuer Gast ein Zugangspaket in MyAccess anfordert, wird seine bevorzugte Sprache auf der Grundlage der Sprache des MyAccess-Browsers zum Zeitpunkt der Anforderung gespeichert. Dadurch können neue Gäste E-Mail-Kommunikation in einer Sprache empfangen, die sie verstehen.

Erforderliche Rolle: Interner Anforderer

  1. Melden Sie sich beim Microsoft Entra Admin Center ab.

  2. Navigieren Sie in einem neuen Browserfenster zu dem „Link zum Portal "Mein Zugriff"“, den Sie im vorherigen Schritt kopiert haben.

  3. Melden Sie beim Portal „Mein Zugriff“ als Anforderer1 an.

    Das Zugriffspaket Marketing Campaign sollte angezeigt werden.

  4. Geben Sie im Feld Geschäftliche Begründung die Begründung I am working on the new marketing campaign ein.

    Screenshot of the My Access portal listing the access packages.

  5. Klicken Sie auf Senden.

  6. Wählen Sie im linken Menü Anforderungsverlauf aus, um zu überprüfen, ob Ihre Anforderung übermittelt wurde. Wenn Sie weitere Details erhalten möchten, wählen Sie Anzeigen aus.

    Screenshot of the My Access portal request history.

Schritt 4: Überprüfen, ob der Zugriff zugewiesen wurde

In diesem Schritt vergewissern Sie sich, dass das Zugriffspaket dem internen Anforderer zugewiesen wurde und dieser nun der Gruppe Marketing resources angehört.

Erforderliche Rolle: Globaler Administrator, Identity-Governance-Administrator, Katalogbesitzer oder Zugriffspaket-Manager

  1. Melden Sie sich vom Portal „Mein Zugriff“ ab.

  2. Melden Sie sich beim Microsoft Entra Admin Center als Admin1 an.

  3. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  4. Suchen Sie nach dem Zugriffspaket Marketing Campaign, und wählen Sie es aus.

  5. Wählen Sie im linken Menü den Eintrag Anforderungen aus.

    „Anforderer1“, die anfängliche Richtlinie und der Status Übermittelt sollten angezeigt werden.

  6. Wählen Sie die Anforderung aus, um die Anforderungsdetails anzuzeigen.

    Screenshot of the access package request details.

  7. Wählen Sie im linken Navigationsbereich Identität aus.

  8. Wählen Gruppen aus, und öffnen Sie die Gruppe Marketing resources.

  9. Wählen Sie Mitglieder aus.

    Sie sollten sehen, dass Anforderer1 als Mitglied (Member) aufgelistet wird.

    Screenshot shows the requestor one has been added to the marketing resources group.

Schritt 5: Bereinigen von Ressourcen

In diesem Schritt werden die von Ihnen vorgenommenen Änderungen entfernt, und das Zugriffspaket Marketing Campaign wird gelöscht.

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

  1. Im Microsoft Entra Admin Center: Identitätsgovernance.

  2. Öffnen Sie das Zugriffspaket Marketing Campaign.

  3. Klicken Sie auf Zuweisungen.

  4. Wählen Sie für Anforderer1 die drei Auslassungspunkte (...) und dann Zugriff entfernen aus. Wählen Sie in der angezeigten Meldung Ja aus.

    Kurz darauf ändert sich der Status von „Übermittelt“ in „Abgelaufen“.

  5. Wählen Sie Ressourcenrollen aus.

  6. Wählen Sie bei Marketing resources die drei Auslassungspunkte (...) und dann Ressourcenrolle entfernen aus. Wählen Sie in der angezeigten Meldung Ja aus.

  7. Öffnen Sie die Liste der Zugriffspakete.

  8. Wählen Sie bei Marketing Campaign die drei Auslassungspunkte (...) und dann Löschen aus. Wählen Sie in der angezeigten Meldung Ja aus.

  9. Löschen Sie unter Identität alle von Ihnen erstellten Benutzer, beispielsweise Anforderer1 und Admin1.

  10. Löschen Sie die Gruppe Marketing resources.

Nächste Schritte

Wechseln Sie zum nächsten Artikel, um mehr über gängige Szenarioschritte in der Berechtigungsverwaltung zu erfahren.

Gängige Szenarios