Verwalten des Gastzugriffs mit Zugriffsüberprüfungen

  • Artikel

Mit Zugriffsüberprüfungen und dem Feature Microsoft Entra B2B können Sie problemlos die Zusammenarbeit über Organisationsgrenzen hinweg ermöglichen. Gastbenutzer von anderen Mandanten können von Administratoren oder anderen Benutzern eingeladen werden. Dies gilt auch für soziale Identitäten wie z.B. Microsoft-Konten.

Sie können auch auf einfache Weise sicherstellen, dass Gastbenutzer über entsprechenden Zugriff verfügen. Hierzu können Sie die Gäste selbst oder einen Entscheidungsträger bitten, an einer Zugriffsüberprüfung teilzunehmen und den Zugriff des Gasts erneut zu zertifizieren (oder zu „bescheinigen“). Basierend auf Vorschlägen von Microsoft Entra ID können die Prüfer die Notwendigkeit des weiteren Zugriffs der einzelnen Benutzer abwägen. Nach Abschluss einer Zugriffsüberprüfung können Sie dann Änderungen vornehmen und Zugriffsrechte für Gäste entfernen, die diese nicht mehr benötigen.

Hinweis

Dieses Dokument beschäftigt sich mit der Überprüfung des Zugriffs von Gastbenutzern. Wenn Sie den Zugriff aller Benutzer überprüfen möchten (und nicht nur den von Gästen), lesen Sie Verwalten des Benutzerzugriffs mit Azure AD-Zugriffsüberprüfungen. Wenn Sie die Mitgliedschaft von Benutzern in Administratorrollen wie „Globaler Administrator“ überprüfen möchten, finden Sie entsprechende Informationen unter Starten einer Zugriffsüberprüfung in Microsoft Entra Privileged Identity Management.

Voraussetzungen

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance

Weitere Informationen finden Sie unter Lizenzanforderungen.

Erstellen und Durchführen einer Zugriffsüberprüfung für Gäste

Ihnen muss eine der folgenden Rollen zugewiesen sein:

  • Globaler Administrator
  • Benutzeradministrator
  • (Vorschau) Microsoft 365- oder Microsoft Entra Security Group-Eigentümer der zu überprüfenden Gruppe

Navigieren Sie zur Seite „Identity Governance“, und vergewissern Sie sich, dass Ihre Organisation Zugriffsüberprüfungen verwenden kann.

Microsoft Entra ID ermöglicht mehrere Szenarien für die Überprüfung von Gastbenutzern.

Sie können Folgendes überprüfen:

  • Eine Gruppe in Microsoft Entra ID mit mindestens einem Mitglied.
  • Eine mit Microsoft Entra ID verbundene Anwendung, der mindestens ein Benutzer zugewiesen ist.

Beim Überprüfen des Gastbenutzerzugriffs auf Microsoft 365-Gruppen können Sie entweder eine Überprüfung für jede Gruppe einzeln erstellen oder automatische, wiederkehrende Zugriffsüberprüfungen für Gastbenutzer in allen Microsoft 365-Gruppen aktivieren. Im folgenden Video erhalten Sie weitere Informationen zu wiederkehrenden Zugriffsüberprüfungen für Gastbenutzer:

Sie können dann entscheiden, ob Sie jeden Gast bitten, seinen eigenen Zugriff zu überprüfen, oder ob Sie einen oder mehrere Benutzer bitten, den Zugriff von jedem Gast zu überprüfen.

Diese Szenarien werden in den folgenden Abschnitten behandelt.

Auffordern von Gästen zur Überprüfung ihrer eigenen Mitgliedschaft in einer Gruppe

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die eingeladen und einer Gruppe hinzugefügt wurden, weiterhin Zugriff benötigen. Sie können Gäste ganz einfach darum bitten, ihre eigene Mitgliedschaft in dieser Gruppe zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst und die Mitglieder sich selbst überprüfen. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID mit einem Link zu einer Zugriffsüberprüfung. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Benutzer entfernen, die nicht reagiert haben. Benutzer, die nicht reagieren, erhalten möglicherweise keine E-Mails mehr.

  5. Wenn die Gruppe nicht für die Zugriffsverwaltung verwendet wird, können Sie auch Benutzer entfernen, die nicht ausgewählt wurden, an der Überprüfung teilzunehmen, weil sie ihre Einladung nicht angenommen haben. Ein solches Versäumnis kann darauf hindeuten, dass die E-Mail-Adresse des eingeladenen Benutzers einen Tippfehler enthielt. Wenn eine Gruppe als Verteilerliste verwendet wird, wurden einige Gastbenutzer vermutlich nicht für eine Teilnahme ausgewählt, weil es sich bei ihnen um Kontaktobjekte handelt.

Auffordern eines autorisierte Benutzers oder einer autorisierten Benutzerin zum Überprüfen der Mitgliedschaft eines Gasts in einer Gruppe

Sie können einen autorisierten Benutzer bzw. eine autorisierte Benutzerin (z. B. den*die Besitzer*in einer Gruppe) bitten, die Notwendigkeit einer weitergehenden Mitgliedschaft eines Gasts in einer Gruppe zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst. Geben Sie dann mindestens einen Prüfer an. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben. Standardmäßig erhalten alle Prüfer eine E-Mail von Microsoft Entra mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

Auffordern von Gästen zum Überprüfen ihres eigenen Zugriffs auf eine Anwendung

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die für eine bestimmte Anwendung eingeladen wurden, weiterhin Zugriff benötigen. Sie können die Gäste ganz einfach bitten, ihren eigenen Zugriffsbedarf selbst zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst und die Benutzer ihren eigenen Zugriff überprüfen. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie Gäste, ihren eigenen Zugriff auf die Anwendung zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID. Diese E-Mail enthält einen Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Gastbenutzer entfernen, die nicht reagiert haben. Benutzer, die nicht reagieren, erhalten möglicherweise keine E-Mails mehr. Sie können auch Gastbenutzer entfernen, die nicht für eine Teilnahme ausgewählt wurden, insbesondere, wenn diese in letzter Zeit nicht eingeladen wurden. Diese Benutzer haben ihre Einladung nicht angenommen und hatten daher keinen Zugriff auf die Anwendung.

Auffordern eines autorisierte Benutzers oder einer autorisierten Benutzerin zum Überprüfen des Zugriffs eines Gasts auf eine Anwendung

Sie können einen autorisierte Benutzer oder eine autorisierte Benutzerin (z. B. den*die Besitzer*in einer Anwendung) bitten, den Bedarf eines Gasts für den weiteren Zugriff auf die Anwendung zu überprüfen.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst. Geben Sie dann mindestens einen Benutzer als Prüfer an. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben. Standardmäßig erhalten alle Prüfer eine E-Mail von Microsoft Entra mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

Auffordern von Gästen zur Überprüfung ihres allgemeinen Zugriffsbedarfs

In einigen Organisationen sind Gästen ihre Gruppenmitgliedschaften möglicherweise nicht bekannt.

Hinweis

In früheren Versionen des Portals war ein Administratorzugriff durch Benutzer*innen mit dem UserType-Wert „Guest“ nicht zulässig. In einigen Fällen hat ein Administrator in Ihrem Verzeichnis möglicherweise den UserType-Wert eines Gasts mithilfe von PowerShell in „Member“ geändert. Wenn diese Änderung zuvor in Ihrem Verzeichnis vorgenommen wurde, enthält die vorherige Abfrage möglicherweise nicht alle Gastbenutzer, die in der Vergangenheit über Administratorrechte verfügten. In diesem Fall müssen Sie entweder den UserType-Wert des Gasts ändern oder den Gast manuell in die Gruppenmitgliedschaft aufnehmen.

  1. Erstellen Sie eine Sicherheitsgruppe mit den Gästen als Mitgliedern in Microsoft Entra ID, wenn noch keine geeignete Gruppe vorhanden ist. Sie können z.B. eine Gruppe mit einer manuell verwalteten Mitgliedschaft von Gästen erstellen. Oder Sie können eine dynamische Gruppe mit einem Namen wie „Gäste von Contoso“ für Benutzer im Contoso-Mandanten erstellen, deren UserType-Attributwert „Guest“ lautet. Stellen Sie aus Gründen der Effizienz sicher, dass die Gruppe vorwiegend aus Gästen besteht. Wählen Sie keine Gruppe mit Mitgliedsbenutzern aus, da Mitgliedsbenutzer nicht überprüft werden müssen. Beachten Sie außerdem, dass einem Gastbenutzer, der ein Mitglied der Gruppe ist, die anderen Mitglieder der Gruppe angezeigt werden.

  2. Um eine Zugriffsüberprüfung für diese Gruppe zu erstellen, geben Sie an, dass die Prüfer selbst Mitglieder sind. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  3. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Microsoft Entra ID mit einem Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation. Microsoft Entra ID stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können. Gäste, die ihre Einladung nicht angenommen haben, werden in den Überprüfungsergebnissen als „nicht benachrichtigt“ angezeigt.

  4. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.

  5. Sie können die Microsoft Entra B2B-Konten der Gastbenutzer automatisch im Rahmen einer Zugriffsüberprüfung löschen, wenn Sie eine Access-Überprüfung für Team und Gruppen auswählen konfigurieren. Diese Option ist für Alle Microsoft 365-Gruppen mit Gastbenutzern nicht verfügbar.

Screenshot showing page to create access review.

Wählen Sie dazu Ergebnisse automatisch auf Ressource anwenden aus, da dadurch der Benutzer automatisch aus der Ressource entfernt wird. Wenn der Prüfer nicht reagiert, sollte die Einstellung auf Zugriff entfernen festgelegt werden, und Auf abgelehnte Gastbenutzer anzuwendende Aktion sollte ebenfalls auf Anmeldung für 30 Tage blockieren festgelegt und der Benutzer anschließend aus dem Mandanten entfernt werden.

Dadurch wird die Anmeldung zum Gastbenutzerkonto sofort blockiert und anschließend wird ihr Microsoft Entra B2B-Konto nach 30 Tagen automatisch gelöscht.

Nächste Schritte