Verwenden von Azure AD (Azure Active Directory) Identity Governance, um externe Benutzer zu überprüfen und zu entfernen, wenn sie keinen Ressourcenzugriff mehr habenUse Azure Active Directory (Azure AD) Identity Governance to review and remove external users who no longer have resource access

In diesem Artikel werden Features und Methoden beschrieben, mit denen Sie externe Identitäten ermitteln und auswählen können, um Sie zu überprüfen und aus Azure AD zu entfernen, wenn sie nicht mehr benötigt werden.This article describes features and methods that allow you to pinpoint and select external identities so that you can review them and remove them from Azure AD if they are no longer needed. Dank der Cloud ist die Zusammenarbeit mit internen und externen Benutzern einfacher als je zuvor.The cloud makes it easier than ever to collaborate with internal or external users. Unternehmen, die Office 365 verwenden, bemerken eine Zunahme externer Identitäten (einschließlich Gästen), da Benutzer immer mehr gemeinsam an Daten, Dokumenten oder in digitalen Arbeitsbereichen wie Teams arbeiten.Embracing Office 365, organizations start to see the proliferation of external identities (including guests), as users work together on data, documents, or digital workspaces such as Teams. Organisationen müssen ein Gleichgewicht zwischen dem Ermöglichen der Zusammenarbeit und sicherer Besprechungen und den Governanceanforderungen finden.Organizations need to balance, enabling collaboration and meeting security and governance requirements. Ein Teil dieser Bemühungen sollte das Auswerten und Bereinigen externer Benutzer aus Partnerorganisationen, die zur Zusammenarbeit zu Ihrem Mandanten eingeladen wurden, und das Entfernen aus Ihren Azure AD sein, wenn sie nicht mehr benötigt werden.Part of these efforts should include evaluating and cleaning out external users, who were invited for collaboration into your tenant, that originating from partner organizations, and removing them from your Azure AD when they are no longer needed.

Hinweis

Eine gültige Azure AD Premium P2-, kostenpflichtige Enterprise Mobility + Security E5- oder Testlizenz ist erforderlich, um Azure AD-Zugriffsüberprüfungen verwenden zu können.A valid Azure AD Premium P2, Enterprise Mobility + Security E5 paid, or trial license is required to use Azure AD access reviews. Weitere Informationen finden Sie unter Azure Active Directory-Editionen.For more information, see Azure Active Directory editions.

Warum sollten Sie Benutzer aus externen Organisationen in Ihrem Mandanten überprüfen?Why review users from external organizations in your tenant?

In den meisten Organisationen initiieren Endbenutzer den Vorgang zum Einladen von Geschäftspartnern und Lieferanten zur Zusammenarbeit.In most organizations, end-users initiate the process of inviting business partners and vendors for collaboration. Die Notwendigkeit der Zusammenarbeit führt dazu, dass Unternehmen Ressourcenbesitzern und Endbenutzern die Möglichkeit geben, externe Benutzer regelmäßig zu überprüfen und zu bestätigen.The need to collaborate drives organizations to provide resource owners and end users with a way to evaluate and attest external users regularly. Häufig ist der Prozess des Onboardings neuer Partner für die Zusammenarbeit eingeplant und berücksichtigt, da die Zusammenarbeit aber oft nicht klar befristet ist, ist nicht immer offensichtlich, wann ein Benutzer keinen Zugriff mehr benötigt.Often the process of onboarding new collaboration partners is planned and accounted for, but with many collaborations not having a clear end date, it is not always obvious when a user no longer needs access. Außerdem motiviert die Verwaltung des Identitätslebenszyklus Unternehmen dazu, Azure AD zu bereinigen und Benutzer zu entfernen, die keinen Zugriff mehr auf die Ressourcen der Organisation benötigen.Also, identity life-cycle management drives enterprises to keep Azure AD clean and remove users who no longer need access to the organization’s resources. Indem Sie nur die relevanten Identitätsverweise für Partner und Lieferanten im Verzeichnis beibehalten, können Sie das Risiko verringern, dass Mitarbeiter versehentlich externe Benutzer, die nicht mehr vorhanden sein sollten, auswählen und ihnen Zugriff gewähren.Keeping only the relevant identity references for partners and vendors in the directory helps reduce the risk of your employees, inadvertently selecting and granting access to external users that should have been removed. Dieses Dokument führt Sie durch verschiedene Optionen von Vorschlägen für empfohlene proaktive Maßnahmen bis hin zu reaktiven und Bereinigungsaktivitäten zum Steuern externer Identitäten.This document walks you through several options that range from recommended proactive suggestions to reactive and clean-up activities to govern external identities.

Verwenden der Berechtigungsverwaltung zum Erteilen und Widerrufen des ZugriffsUse Entitlement Management to grant and revoke access

Berechtigungsverwaltungsfunktionen ermöglichen den automatisierten Lebenszyklus externer Identitäten mit Zugriff auf Ressourcen.Entitlement management features enable the automated lifecycle of external identities with access to resources. Durch Einrichten von Prozessen und Verfahren zum Verwalten des Zugriffs über die Berechtigungsverwaltung und Veröffentlichen von Ressourcen über Zugriffspakete wird das Nachverfolgen des Zugriffs externer Benutzer auf Ressourcen deutlich vereinfacht.By establishing processes and procedures to manage access through Entitlement Management, and publishing resources through Access Packages, keeping track of external user access to resources becomes a far less complicated problem to solve. Wenn Sie den Zugriff über Zugriffspakete für die Berechtigungsverwaltung in Azure AD verwalten, kann Ihre Organisation den Zugriff für Ihre Benutzer ebenso wie für Benutzer aus Partnerorganisationen zentral definieren und verwalten.When managing access through Entitlement Management Access Packages in Azure AD, your organization can centrally define and manage access for your users, as well as users from partner organizations alike. Die Berechtigungsverwaltung verwendet Genehmigungen und Zuweisungen von Zugriffspaketen, um nachzuverfolgen, wo externe Benutzer den Zugriff angefordert haben und dieser ihnen zugewiesen wurde.Entitlement Management uses approvals and assignments of Access Packages to track where external users have requested and been assigned access. Wenn alle Zuweisungen eines externen Benutzers entfernt wurden, kann die Berechtigungsverwaltung diesen externen Benutzer automatisch aus dem Mandanten entfernen.Should an external user lose all of their assignments, Entitlement Management can remove these external users automatically from the tenant.

Suchen nach Gästen, die nicht über die Berechtigungsverwaltung eingeladen wurdenFind guests not invited through Entitlement Management

Wenn Mitarbeiter für die Zusammenarbeit mit externen Benutzern autorisiert sind, können sie eine beliebige Anzahl von Benutzern einladen, die nicht ihrer Organisation angehören.When employees are authorized to collaborate with external users, they may invite any number of users from outside your organization. Das Suchen und Gruppieren externer Partner in nach Unternehmen unterteilte dynamische Gruppen sowie deren Überprüfung ist möglicherweise nicht praktikabel, da zu viele verschiedene einzelne Unternehmen zu überprüfen sind oder weil es keinen Besitzer oder Sponsor für die Organisation gibt.Looking for and grouping external partners into company-aligned dynamic groups and reviewing them may not be feasible, as there may be too many different individual companies to review, or there is no owner or sponsor for the organization. Microsoft stellt ein PowerShell-Beispielskript bereit, das Sie bei der Analyse der Nutzung externer Identitäten in einem Mandanten unterstützen kann.Microsoft provides a sample PowerShell script that can help you analyze the use of external identities in a tenant. Das Skript listet externe Identitäten auf und kategorisiert diese.The script enumerates external identities and categorizes them. Mithilfe des Skripts können Sie externe Identitäten identifizieren und bereinigen, die möglicherweise nicht mehr benötigt werden.The script can help you identify and clean up external identities that may no longer be required. Die Ausgabe des Skriptbeispiels hilft bei der automatisierten Erstellung von Sicherheitsgruppen mit den ermittelten externen Partnern, die keiner Gruppe angehören, um diese eingehender zu analysieren und mit Azure AD-Zugriffsüberprüfungen zu verwenden.As part of the script’s output, the script sample supports automated creation of security groups that contain the identified group-less external partners – for further analysis and use with Azure AD Access Reviews. Das Skript ist auf GitHub verfügbar.The script is available on GitHub. Nachdem das Skript ausgeführt wurde, generiert es eine HTML-Ausgabedatei mit den externen Identitäten, die folgende Kriterien erfüllen:After the script finishes running, it generates an HTML output file that outlines external identities that:

  • Sie gehören keiner Gruppe im Mandanten mehr an.No longer have any group membership in the tenant
  • Ihnen ist eine privilegierte Rolle im Mandanten zugewiesen.Have an assignment for a privileged role in the tenant
  • Ihnen ist eine Anwendung im Mandanten zugewiesen.Have an assignment to an application in the tenant

Die Ausgabe enthält auch die einzelnen Domänen für jede dieser externen Identitäten.The output also includes the individual domains for each of these external identities.

Hinweis

Das oben verlinkte Skript ist ein Beispielskript, das die Gruppenmitgliedschaft, Rollenzuweisungen und Anwendungszuweisungen in Azure AD prüft.The script referenced above is a sample script that checks for group membership, role assignments, and application assignments in Azure AD. Es gibt möglicherweise andere Zuweisungen in Anwendungen, die externe Benutzer außerhalb von Azure AD erhalten haben, z. B. SharePoint (direkte Zuweisung der Mitgliedschaft), Azure RBAC oder Azure DevOps.There may be other assignments in applications that external users received outside of Azure AD, such as SharePoint (direct membership assignment) or Azure RBAC or Azure DevOps.

Überprüfen der von externen Identitäten verwendeten RessourcenReview resources used by external identities

Wenn Sie über externe Identitäten verfügen, die Ressourcen wie Teams oder andere Anwendungen nutzen, die noch nicht der Berechtigungsverwaltung unterliegen, sollten Sie den Zugriff auf diese Ressourcen ebenfalls regelmäßig überprüfen.If you have external identities using resources such as Teams or other applications not yet governed by Entitlement Management, you may want to review access to these resources regularly, too. Azure AD-Zugriffsüberprüfungen bieten Ihnen die Möglichkeit, den Zugriff externer Identitäten zu überprüfen, indem Sie den Ressourcenbesitzer, die externen Identitäten selbst oder einen anderen vertrauenswürdigen Delegierten bestätigen lassen, dass der Zugriff weiterhin erforderlich ist.Azure AD Access Reviews gives you the ability to review external identities’ access by either letting the resource owner,external identities themselves, or another delegated person you trust attest to whether continued access it required. Zugriffsüberprüfungen beziehen sich auf eine Ressource und erstellen eine Prüfaktivität, die auf alle Benutzer, die Zugriff auf die Ressource haben, oder nur auf Gastbenutzer beschränkt ist.Access Reviews target a resource and create a review activity scoped to either Everyone who has access to the resource or Guest users only. Der Prüfer erhält dann die resultierende Liste von Benutzern, die er überprüfen muss: entweder alle Benutzer, einschließlich der Mitarbeiter Ihres Unternehmens, oder nur externe Identitäten.The reviewer then will see the resulting list of users they need to review – either all users, including employees of your organization or external identities only.

Verwenden einer Gruppe zum Überprüfen des Zugriffs

Ein Überprüfungsansatz, der sich auf die Ressourcenbesitzer konzentriert, ist bei der Steuerung des Zugriffs externer Identitäten hilfreich.Establishing a resource owner-driven review culture helps govern access for external identities. Ressourcenbesitzer, die für den Zugriff, die Verfügbarkeit und Sicherheit ihrer Informationen verantwortlich sind, sind in den meisten Fällen am besten in der Lage, Entscheidungen bezüglich des Zugriffs auf ihre Ressourcen zu treffen, und kennen die berechtigten Benutzer besser als ein Sponsor, der eine Vielzahl von externen Identitäten verwaltet.Resource owners, accountable for access, availability, and security of the information they own, are, in most cases, your best audience to drive decisions around access to their resources and are closer to the users who access them than central IT or a sponsor who manages many externals.

Erstellen von Zugriffsüberprüfungen für externe IdentitätenCreate Access Reviews for external identities

Benutzer, die keinen Zugriff mehr auf Ressourcen in Ihrem Mandanten haben, können entfernt werden, wenn sie nicht mehr mit Ihrer Organisation arbeiten.Users that no longer have access to any resources in your tenant can be removed if they no longer work with your organization. Bevor Sie diese externen Identitäten blockieren und löschen, sollten Sie sich an diese externen Benutzer wenden und sicherstellen, dass Sie keine Projekte und Zugriffsberechtigungen übersehen haben, die noch benötigt werden.Before you block and delete these external identities, you may want to reach out to these external users and make sure you have not overlooked a project or standing access they have that they still need. Wenn Sie eine Gruppe erstellen, die alle externen Identitäten enthält, die keinen Zugriff auf Ressourcen in Ihrem Mandanten mehr haben, können Sie mithilfe von Zugriffsüberprüfungen eine Bestätigung der externen Benutzer selbst einholen, dass sie den Zugriff noch benötigen oder in Zukunft benötigen werden.When you create a group that contains all external identities as members that you found have no access to any resources in your tenant, you can use Access Reviews to have all externals self-attest to whether they still need or have access – or will still need access in the future. Im Rahmen der Überprüfung kann der Ersteller der Überprüfung in Zugriffsüberprüfungen die Funktion Bei Genehmigung Grund anfordern verwenden, um externe Benutzer aufzufordern, eine Begründung für den Fortbestand des Zugriffs anzugeben. So erfahren Sie, wo und wie sie weiterhin Zugriff in Ihrem Mandanten benötigen.As part of the review, the review creator in Access Reviews can use the Require reason on approval function to require external users to provide a justification for continued access, through which you can learn where and how they still need access in your tenant. Außerdem können Sie die Einstellung Zusätzlicher Inhalt für E-Mail an Prüfer aktivieren, damit Benutzer wissen, dass sie den Zugriff verlieren, wenn sie nicht reagieren oder ggf. keine Begründung angeben.Also, you can enable the setting Additional content for reviewer email feature, to let users know that they will be losing access if they don’t respond and, should they still need access, a justification is required. Wenn Sie beschließen, dass die Zugriffsüberprüfung externe Identitäten deaktivieren und löschen soll, falls sie nicht reagieren bzw. nicht ausreichend begründen können, warum sie weiterhin Zugriff benötigen, können Sie die Option „Deaktivieren und löschen“ verwenden, wie im nächsten Abschnitt beschrieben.If you want to go ahead and let Access Reviews disable and delete external identities, should they fail to respond or provide a valid reason for continued access, you can use the Disable and delete option, as described in the next section.

Beschränken der Überprüfung auf Gastbenutzer

Wenn die Überprüfung abgeschlossen ist, werden auf der Seite Ergebnisse die Antworten der einzelnen externen Identitäten in einer Übersicht aufgeführt.When the review finishes, the Results page shows an overview of the response given by every external identity. Sie können auswählen, ob die Ergebnisse automatisch angewendet und Benutzer von der Zugriffsüberprüfung deaktiviert und gelöscht werden sollen.You can choose to apply results automatically and let Access Reviews disable and delete them. Alternativ können Sie die Antworten überprüfen und selbst entscheiden, ob der Zugriff eines Benutzers entfernt werden soll oder ob Sie bei diesen nachfragen, bevor Sie eine Entscheidung treffen.Alternatively, you can look through the responses given and decide whether you want to remove a user’s access or follow-up with them and get additional information before making a decision. Wenn einige Benutzer weiterhin auf Ressourcen zugreifen können, die Sie noch nicht geprüft haben, können Sie die Überprüfung als Teil ihrer Ermittlungen verwenden und beim nächsten Überprüfungs- und Bestätigungsdurchlauf heranziehen.If some users still have access to resources that you have not reviewed yet, you can use the review as part of your discovery and enrich your next review and attestation cycle.

Deaktivieren und Löschen externer Identitäten mit Azure AD-ZugriffsüberprüfungenDisable and delete external identities with Azure AD Access Reviews

Neben der Option zum Entfernen unerwünschter externer Identitäten aus Ressourcen wie Gruppen oder Anwendungen haben Sie die Möglichkeit, externe Identitäten durch Azure AD-Zugriffsüberprüfungen daran zu hindern, dass sie sich bei Ihrem Mandanten anmelden, und nach 30 Tagen aus Ihrem Mandanten zu löschen.In addition to the option of removing unwanted external identities from resources such as groups or applications, Azure AD Access Reviews can block external identities from signing-in to your tenant and delete the external identities from your tenant after 30 days. Sobald Sie Anmeldung des Benutzers für 30 Tage blockieren und den Benutzer anschließend vom Mandanten entfernen aktiviert haben, gilt der Status „Wird übernommen“ für die Überprüfung 30 Tage lang.Once you select Block user from signing-in for 30 days, then remove user from the tenant, the review will stay in the “applying” state for 30 days. Während dieses Zeitraums können Einstellungen, Ergebnisse, Prüfer oder Überwachungsprotokolle, die Teil der aktuellen Prüfung sind, nicht angezeigt oder konfiguriert werden.During this period, settings, results, reviewers or Audit logs under the current review won't be viewable or configurable.

Einstellungen nach Abschluss

Beim Erstellen einer neuen Zugriffsüberprüfung können Sie im Abschnitt „Einstellungen nach Abschluss“ für Auf verweigerte Benutzer anzuwendende Aktion festlegen, dass die Benutzeranmeldung 30 Tage lang blockiert und der Benutzer dann aus dem Mandanten entfernt wird.When creating a new Access Review, in the “Upon completion settings” section, for Action to apply on denied users you can define Block users from signing-in for 30 days, then remove user from the tenant.

Diese Einstellung ermöglicht Ihnen das Identifizieren, Blockieren und Löschen externer Identitäten aus Ihrem Azure AD-Mandanten.This setting allows you to identify, block, and delete external identities from your Azure AD tenant. Externe Identitäten, die überprüft wurden und denen der zukünftige Zugriff durch den Prüfer verweigert wurde, werden unabhängig von ihrem Ressourcenzugriff und ihrer Gruppenmitgliedschaft blockiert und gelöscht.External identities who are reviewed and denied continued access by the reviewer will be blocked and deleted, irrespective of the resource access or group membership they have. Diese Einstellung wird am besten als letzter Schritt verwendet, nachdem Sie sich vergewissert haben, dass die überprüften externen Benutzer keinen Zugriff mehr auf Ressourcen haben und problemlos aus Ihrem Mandanten entfernt werden können, oder wenn Sie sie unabhängig vom aktuellen Zugriff in jedem Fall entfernen möchten.This setting is best used as a last step after you have validated that the external users in-review no longer carries resource access and can safely be removed from your tenant or if you want to make sure they are removed, irrespective of their standing access. Mit der Funktion „Deaktivieren und löschen“ wird der externe Benutzer zunächst blockiert, sodass er sich nicht mehr bei Ihrem Mandanten anmelden und auf keine Ressourcen mehr zugreifen kann.The “Disable and delete” feature blocks the external user first, taking away their ability to signing into your tenant and accessing resources. Der Zugriff auf Ressourcen wird in dieser Phase nicht widerrufen, und wenn Sie die Berechtigungen des externen Benutzers wiederherstellen möchten, kann die Anmeldungsberechtigung neu konfiguriert werden.Resource access is not revoked in this stage, and in case you wanted to reinstantiate the external user, their ability to log on can be reconfigured. Wenn Sie keine weitere Aktion durchführt, wird eine blockierte externe Identität nach 30 Tagen aus dem Verzeichnis gelöscht, wobei das Konto und der Zugriff entfernt werden.Upon no further action, a blocked external identity will be deleted from the directory after 30 days, removing the account as well as their access.

Nächste SchritteNext steps