Was sind Azure AD-Zugriffsüberprüfungen?What are Azure AD access reviews?

Mithilfe von Azure Active Directory-Zugriffsüberprüfungen (Azure AD-Zugriffsüberprüfungen) können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Das folgende Video bietet einen kurzen Überblick über Zugriffsüberprüfungen:Here's a video that provides a quick overview of access reviews:

Warum sind Zugriffsüberprüfungen wichtig?Why are access reviews important?

Mit Azure AD können Sie mit internen Benutzern Ihrer Organisation und mit externen Benutzern zusammenarbeiten.Azure AD enables you to collaborate with users from inside your organization and with external users. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und mit ihren Firmen- oder persönlichen Geräten remote arbeiten.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Die Möglichkeit zur komfortablen Nutzung von Self-Service hat dazu geführt, dass bessere Zugriffsverwaltungsfunktionen benötigt werden.The convenience of using self-service has led to a need for better access management capabilities.

  • Wie stellen Sie sicher, dass neue Mitarbeiter die erforderlichen Zugriffsrechte erhalten, damit sie produktiv arbeiten können?As new employees join, how do you ensure they have the access they need to be productive?
  • Wie stellen Sie sicher, dass alte Zugriffsrechte entzogen werden, wenn Personen das Team wechseln oder das Unternehmen verlassen?As people move teams or leave the company, how do you make sure that their old access is removed?
  • Zu weit reichende Zugriffsrechte können zu Kompromittierungen führen.Excessive access rights can lead to compromises.
  • Darüber hinaus können zu umfangreiche Zugriffsrechte auch zu negativen Ergebnissen bei Überprüfungen führen, da dies auf eine fehlende Kontrolle des Zugriffs hinweist.Excessive access right may also lead audit findings as they indicate a lack of control over access.
  • Sie müssen sich proaktiv mit Ressourcenbesitzern austauschen, um sicherzustellen, dass sie regelmäßig überprüfen, wer Zugriff auf ihre Ressourcen hat.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Wann sollten Sie Zugriffsüberprüfungen verwenden?When should you use access reviews?

  • Zu viele Benutzer in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer über Administratorzugriff verfügen, wie viele dieser Benutzer globale Administratoren sind und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Sie können die Rollenzuweisung für Benutzer in Azure AD-Rollen wie globale Administratoren oder in Azure-Ressourcenrollen wie Benutzerzugriffsadministratoren in Azure AD Privileged Identity Management (PIM) erneut bestätigen.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Falls die Automatisierung nicht möglich ist: Sie können Regeln für dynamische Mitgliedschaften für Sicherheits- oder Microsoft 365-Gruppen erstellen. Was geschieht aber, wenn die Personaldaten nicht in Azure AD gespeichert sind oder die Benutzer nach dem Verlassen der Gruppe weiterhin Zugriff benötigen, um ihre Nachfolger einzuarbeiten?When automation is not possible: You can create rules for dynamic membership on security groups or Microsoft 365 Groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Dann können Sie eine Überprüfung für diese Gruppe erstellen, um sicherzustellen, dass die Benutzer, die weiterhin Zugriff benötigen, auch weiterhin Zugriff haben.You can then create a review on that group to ensure those who still need access should have continued access.
  • Wenn eine Gruppe zu einem neuen Zweck verwendet wird: Wenn Sie über eine Gruppe verfügen, die mit Azure AD synchronisiert wird, oder wenn Sie die Salesforce-Anwendung für alle Benutzer in der Gruppe „Vertriebsteam“ aktivieren möchten, wäre es sinnvoll, den Besitzer der Gruppe zu bitten, die Gruppenmitgliedschaft zu überprüfen, bevor die Gruppe in einem anderen Risikokontext verwendet wird.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Zugriff auf unternehmenskritische Daten: Bei bestimmten Ressourcen kann es zu Überwachungszwecken erforderlich sein, die Mitarbeiter außerhalb der IT-Abteilung zu bitten, sich regelmäßig abzumelden und zu begründen, warum sie Zugriff benötigen.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Zum Verwalten einer Richtlinienausnahmeliste: Im Idealfall halten sich alle Benutzer an die Zugriffsrichtlinien, um den Zugriff auf die Ressourcen Ihrer Organisation zu schützen.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Es kann aber auch Geschäftsszenarien geben, in denen Ausnahmen erforderlich sind.However, sometimes there are business cases that require you to make exceptions. Als IT-Administrator können Sie diese Aufgabe verwalten, das Übersehen von Richtlinienausnahmen vermeiden und Prüfern den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Auffordern von Gruppenbesitzern zur Bestätigung, dass sie weiterhin Gäste in ihren Gruppen benötigen: Der Mitarbeiterzugriff kann per lokalem Identity & Access Management (IAM) automatisiert werden. Dies trifft aber nicht auf die Zugriffsrechte eingeladener Gäste zu.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises Identity and Access Management (IAM), but not invited guests. Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, muss der Besitzer der Gruppe bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Regelmäßige Durchführung von Überprüfungen: Sie können die Häufigkeit der regelmäßigen Durchführung von Zugriffsüberprüfungen für Benutzer (z.B. wöchentlich, monatlich, vierteljährlich oder jährlich) einrichten. Die Prüfer werden zu Beginn jeder Überprüfung benachrichtigt.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Prüfer können den Zugriff über eine benutzerfreundliche Oberfläche und mithilfe intelligenter Empfehlungen genehmigen oder verweigern.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Hinweis

Wenn Sie die Verwendung von Zugriffsüberprüfungen ausprobieren möchten, helfen Ihnen die Informationen unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen weiter.If you are ready to try Access reviews take a look at Create an access review of groups or applications

Wo erstellen Sie Überprüfungen?Where do you create reviews?

Je nachdem, was Sie überprüfen möchten, erstellen Sie Ihre Zugriffsüberprüfung in Azure AD-Zugriffsüberprüfungen, Azure AD-Unternehmens-Apps (in der Vorschauversion) oder Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Zugriffsrechte von BenutzernAccess rights of users PrüferReviewers can be Überprüfung erstellt inReview created in PrüferoberflächeReviewer experience
Mitglieder von SicherheitsgruppenSecurity group members
Mitglieder von Office-GruppenOffice group members
Angegebene PrüferSpecified reviewers
GruppenbesitzerGroup owners
SelbstüberprüfungSelf-review
Azure AD-ZugriffsüberprüfungenAzure AD access reviews
Azure AD-GruppenAzure AD groups
ZugriffsbereichAccess panel
Einer verbundenen App zugewiesenAssigned to a connected app Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD-ZugriffsüberprüfungenAzure AD access reviews
Azure AD-Unternehmens-Apps (in der Vorschauversion)Azure AD enterprise apps (in preview)
ZugriffsbereichAccess panel
Azure AD-RolleAzure AD role Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD PIMAzure AD PIM Azure-PortalAzure portal
Azure-RessourcenrolleAzure resource role Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD PIMAzure AD PIM Azure-PortalAzure portal

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P2-Lizenz erforderlich.Using this feature requires an Azure AD Premium P2 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Office 365-Apps und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

Wie viele Lizenzen benötigen Sie?How many licenses must you have?

Sie benötigen für Ihr Verzeichnis mindestens so viele Azure AD Premium P2-Lizenzen wie Mitarbeiter, die mit den folgenden Aufgaben betraut sind:Your directory needs at least as many Azure AD Premium P2 licenses as the number of employees who will be performing the following tasks:

  • Mitgliedsbenutzer, die als Prüfer zugewiesen sindMember users who are assigned as reviewers
  • Mitgliedsbenutzer, die eine Selbstüberprüfung durchführenMember users who perform a self-review
  • Als Gruppenbesitzer fungierende Mitgliedsbenutzer, die eine Zugriffsüberprüfung durchführenMember users as group owners who perform an access review
  • Als Anwendungsbesitzer fungierende Mitgliedsbenutzer, die eine Zugriffsüberprüfung durchführenMember users as application owners who perform an access review

Bei Gastbenutzern hängen die Lizenzierungsanforderungen vom verwendeten Lizenzierungsmodell ab.For guest users, licensing needs will depend on the licensing model you’re using. Die folgenden Gastbenutzeraktivitäten werden jedoch als Azure AD Premium P2-Nutzung betrachtet:However, the below guest users’ activities are considered Azure AD Premium P2 usage:

  • Gastbenutzer, die als Prüfer zugewiesen sindGuest users who are assigned as reviewers
  • Gastbenutzer, die eine Selbstüberprüfung durchführenGuest users who perform a self-review
  • Als Gruppenbesitzer fungierende Gastbenutzer, die eine Zugriffsüberprüfung durchführenGuest users as group owners who perform an access review
  • Als Anwendungsbesitzer fungierende Gastbenutzer, die eine Zugriffsüberprüfung durchführenGuest users as application owners who perform an access review

Azure AD Premium P2-Lizenzen sind nicht für Benutzer mit den Rollen „Globaler Administrator“ oder „Benutzeradministrator“ erforderlich, von denen Zugriffsüberprüfungen eingerichtet, Einstellungen konfiguriert oder die Entscheidungen aus den Überprüfungen umgesetzt werden.Azure AD Premium P2 licenses are not required for users with the Global Administrator or User Administrator roles who set up access reviews, configure settings, or apply the decisions from the reviews.

Der Zugriff von Azure AD-Gastbenutzern basiert auf einem Abrechnungsmodell für monatlich aktive Benutzer (Monthly Active Users, MAU). Dieses ersetzt das Abrechnungsmodell für das 1:5-Verhältnis.Azure AD guest user access is based on a monthly active users (MAU) billing model, which replaces the 1:5 ratio billing model. Weitere Informationen finden Sie unter Abrechnungsmodell für externe Identitäten in Azure AD.For more information, see Azure AD External Identities pricing.

Weitere Informationen zu Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure Active Directory-Portal.For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

Beispielszenarien für LizenzenExample license scenarios

Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.Here are some example license scenarios to help you determine the number of licenses you must have.

SzenarioScenario BerechnungCalculation Anzahl der LizenzenNumber of licenses
Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe A mit 75 Benutzern und 1 Gruppenbesitzer und weist den Gruppenbesitzer als Reviewer zu.An administrator creates an access review of Group A with 75 users and 1 group owner, and assigns the group owner as the reviewer. 1 Lizenz für den Gruppenbesitzer als Reviewer1 license for the group owner as reviewer 11
Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe B mit 500 Benutzern und 3 Gruppenbesitzern und weist die 3 Gruppenbesitzer als Reviewer zu.An administrator creates an access review of Group B with 500 users and 3 group owners, and assigns the 3 group owners as reviewers. 3 Lizenzen für jeden Gruppenbesitzer als Reviewer3 licenses for each group owner as reviewers 33
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe B mit 500 Benutzern.An administrator creates an access review of Group B with 500 users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 500 Lizenzen für jeden Benutzer als Selbstprüfer500 licenses for each user as self-reviewers 500500
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe C mit 50 Mitgliedsbenutzern und 25 Gastbenutzern.An administrator creates an access review of Group C with 50 member users and 25 guest users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 50 Lizenzen für jeden Benutzer als Selbstprüfer.*50 licenses for each user as self-reviewers.* 5050
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe D mit 6 Mitgliedsbenutzern und 108 Gastbenutzern.An administrator creates an access review of Group D with 6 member users and 108 guest users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 6 Lizenzen für jeden Benutzer als Selbstprüfer.6 licenses for each user as self-reviewers. Für Gastbenutzer erfolgt die Abrechnung basierend auf den monatlich aktiven Benutzern (Monthly Active Users, MAU).Guest users are billed on a monthly active user (MAU) basis. Es sind keine zusätzlichen Lizenzen erforderlich.No additional licenses are required. * 66

* Die Preise für Azure AD External Identities (Gastbenutzer) basieren auf den monatlich aktiven Benutzern (Monthly Active Users, MAU). Dies ist die Anzahl eindeutiger Benutzer mit Authentifizierungsaktivität innerhalb eines Kalendermonats.* Azure AD External Identities (guest user) pricing is based on monthly active users (MAU), which is the count of unique users with authentication activity within a calendar month. Dieses Modell ersetzt das Abrechnungsmodell im Verhältnis 1:5, das bis zu fünf Gastbenutzer pro Azure AD Premium-Lizenz in Ihrem Mandanten zuließ.This model replaces the 1:5 ratio billing model, which allowed up to five guest users for each Azure AD Premium license in your tenant. Wenn Ihr Mandant mit einem Abonnement verknüpft ist und Sie External Identities-Features für die Zusammenarbeit mit Gastbenutzern verwenden, erfolgt Ihre Abrechnung automatisch nach dem MAU-basierten Abrechnungsmodell.When your tenant is linked to a subscription and you use External Identities features to collaborate with guest users, you'll be automatically billed using the MAU-based billing model. Weitere Informationen finden Sie unter „Abrechnungsmodell für Azure AD External Identities“.For more information, see Billing model for Azure AD External Identities.

Nächste SchritteNext steps