Konfigurieren von Einstellungen für „Überprüfte ID“ für ein Zugriffspaket in der Berechtigungsverwaltung

  • Artikel

Beim Einrichten einer Zugriffspaketrichtlinie können Administratoren angeben, ob sie für Benutzer im Verzeichnis, in verbundenen Organisationen oder für externe Benutzer gelten soll. Die Berechtigungsverwaltung ermittelt, ob die Person, die das Zugriffspaket anfordert, innerhalb des Geltungsbereichs der Richtlinie liegt.

Manchmal möchten Sie möglicherweise, dass Benutzer während des Anforderungsprozesses zusätzliche Identitätsnachweise vorlegen, z. B. eine Trainingszertifizierung, eine Arbeitserlaubnis oder einen Nachweis der Staatsangehörigkeit. Als Zugriffspaket-Manager können Sie verlangen, dass Anforderer eine verifizierte ID eines vertrauenswürdigen Ausstellers mit diesen Anmeldeinformationen vorlegen. Genehmigende Personen können dann schnell erkennen, ob die Nachweise eines Benutzers zu dem Zeitpunkt überprüft wurden, zu dem der Benutzer seine Anmeldeinformationen vorgelegt und die Zugriffspaketanforderung übermittelt hat.

Als Zugriffspaket-Manager können Sie für ein Zugriffspaket jederzeit Anforderungen für eine überprüfte ID einschließen, indem Sie eine vorhandene Richtlinie für Zugriffsanforderungen bearbeiten oder eine neue hinzufügen.

In diesem Artikel wird beschrieben, wie Sie für ein Zugriffspaket die-Einstellungen für die Anforderung für eine überprüfte ID konfigurieren können.

Voraussetzungen

Bevor Sie beginnen, müssen Sie Ihren Mandanten für die Verwendung des Diensts Microsoft Entra Verified ID einrichten. Ausführliche Anweisungen dazu finden Sie hier: Konfigurieren Ihres Mandanten für Microsoft Entra Verified ID.

Lizenzanforderungen

Die Nutzung dieser Funktion erfordert Microsoft Entra ID Governance Lizenzen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Erstellen eines Zugriffspakets mit Anforderungen für eine überprüfte ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Um einem Zugriffspaket eine Anforderung für eine überprüfte ID hinzuzufügen, starten Sie auf der Registerkarte „Anforderungen“ des jeweiligen Zugriffspakets. Führen Sie die folgenden Schritte aus, um einem neuen Zugriffspaket eine Anforderung für eine überprüfte ID hinzuzufügen.

Erforderliche Rolle: Globaler Administrator

Hinweis

Identity Governance-Administratoren, Benutzeradministratoren, Katalogbesitzer oder Zugriffspaket-Manager können in Kürze Anforderungen für eine überprüfte ID zu Zugriffspaketen hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie auf der Seite Zugriffspakete die Option + Neues Zugriffspaket aus.

  4. Scrollen Sie auf der Registerkarte Anforderungen zum Abschnitt Erforderliche überprüfte IDs.

  5. Wählen Sie + Zertifikataussteller hinzufügen und dann einen Zertifikataussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Wenn Sie Ihre eigenen Anmeldeinformationen für Benutzer ausstellen möchten, finden Sie Informationen dazu hier: Ausstellen von Microsoft Entra Verified ID-Anmeldeinformationen über eine Anwendung. Select issuer for Microsoft Entra Verified I D.

  6. Wählen Sie den/die Anmeldeinformationstyp(en) aus, den/die Benutzer während des Anforderungsprozesses präsentieren sollen. Screenshot of credential types for Microsoft Entra Verified I D.

    Hinweis

    Wenn Sie mehrere Anmeldeinformationstypen von einem Zertifikataussteller auswählen, werden Benutzer Anmeldeinformationen aller ausgewählten Typen vorlegen müssen. Ebenso müssen Benutzer, wenn Sie mehrere Zertifikataussteller einschließen, Anmeldeinformationen für jeden der Zertifikataussteller vorlegen, die Sie in die Richtlinie einschließen. Um Benutzern die Möglichkeit zu geben, unterschiedliche Anmeldeinformationen von verschiedenen Zertifikatausstellern vorzulegen, konfigurieren Sie separate Richtlinien für jeden Zertifikataussteller/Anmeldeinformationstyp, den Sie akzeptieren.

  7. Klicken Sie auf Hinzufügen, um die Anforderung für eine überprüfte ID zur Zugriffspaketrichtlinie hinzuzufügen.

  8. Nachdem Sie die Konfiguration der restlichen Einstellungen abgeschlossen haben, können Sie Ihre Auswahl auf der Registerkarte Überprüfen + erstellen überprüfen. Sie finden alle Anforderungen für eine überprüfte ID für diese Zugriffspaketrichtlinie im Abschnitt Überprüfte IDs. Screenshot of a list of verified IDs.

Anfordern eines Zugriffspakets mit Anforderungen für eine überprüfte ID

Nachdem ein Zugriffspaket mit einer Anforderung für eine überprüfte ID konfiguriert wurde, können Endbenutzer, die sich innerhalb des Geltungsbereichs der Richtlinie befinden, mithilfe des „Mein Zugriff“-Portals Zugriff anfordern. Auf ähnliche Weise können genehmigende Personen die Ansprüche der Nachweise (Verifiable Credentials, VCs) sehen, die von Anforderern beim Überprüfen von Anforderungen zur Genehmigung vorgelegt werden.

Als Anforderer müssen Sie folgende Schritte durchlaufen:

  1. Wechseln Sie zu myaccess.microsoft.com, und melden Sie sich an.

  2. Suchen Sie nach dem Zugriffspaket, auf das Sie Zugriff anfordern möchten (Sie können die aufgelisteten Pakete durchsuchen oder die Suchleiste oben auf der Seite verwenden), und wählen Sie Anforderung aus.

  3. Wenn das Zugriffspaket erfordert, dass Sie eine verifizierte ID vorlegen, sollte ein graues Informationsbanner angezeigt werden, wie hier gezeigt: Screenshot of the present verified ID for access package option.

  4. Wählen Sie Zugriff anfordern aus. Sie sollten nun einen QR-Code sehen. Verwenden Sie Ihr Smartphone, um den QR-Code zu scannen. Dadurch wird Microsoft Authenticator gestartet und fordert Sie auf, Ihre Anmeldeinformationen zu teilen. Screenshot of use QR code for verified IDs.

  5. Nachdem Sie Ihre Anmeldeinformationen geteilt haben, führt „Mein Zugriff“ Sie automatisch zum nächsten Schritt des Anforderungsprozesses.

Nächste Schritte

Delegieren der Zugriffssteuerung an Zugriffspaket-Manager