Was sind Azure AD-Zugriffsüberprüfungen?What are Azure AD access reviews?

Mithilfe von Azure Active Directory-Zugriffsüberprüfungen (Azure AD-Zugriffsüberprüfungen) können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Das folgende Video bietet einen kurzen Überblick über Zugriffsüberprüfungen:Here's a video that provides a quick overview of access reviews:

Warum sind Zugriffsüberprüfungen wichtig?Why are access reviews important?

Azure AD ermöglicht Ihnen die interne Zusammenarbeit mit Mitarbeitern in Ihrer Organisation sowie die Zusammenarbeit mit Benutzern aus externen Organisationen, z. B. mit Partnern.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Benutzer können Gruppen beitreten, Gäste einladen, Verbindungen mit Cloud-Apps herstellen und mit ihren Firmen- oder persönlichen Geräten remote arbeiten.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Die Annehmlichkeit, die Möglichkeiten von Self-Service nutzen zu können, hat zur Notwendigkeit besserer Zugriffsverwaltungsfunktionen geführt.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Wie stellen Sie sicher, dass neue Mitarbeiter die richtigen Zugriffsrechte erhalten, damit sie produktiv arbeiten können?As new employees join, how do you ensure they have the right access to be productive?
  • Wie stellen Sie sicher, dass die alten Zugriffsrechte von Personen entfernt werden, die Teams wechseln oder das Unternehmen verlassen, insbesondere wenn es sich um Gäste handelt?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Zu viele Zugriffsrechte können zu Auditergebnissen und Sicherheitsrisiken führen, weil sie auf eine mangelnde Kontrolle über den Zugriff hinweisen.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Sie müssen sich proaktiv mit Ressourcenbesitzern austauschen, um sicherzustellen, dass sie regelmäßig überprüfen, wer Zugriff auf ihre Ressourcen hat.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

In welchen Fällen sollten Zugriffsüberprüfungen verwendet werden?When to use access reviews?

  • Zu viele Benutzer in privilegierten Rollen: Sie sollten überprüfen, wie viele Benutzer über Administratorzugriff verfügen, wie viele dieser Benutzer globale Administratoren sind und ob es eingeladene Gäste oder Partner gibt, die nicht entfernt wurden, nachdem ihnen eine administrative Aufgabe zugewiesen wurde.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Sie können die Rollenzuweisung für Benutzer in Azure AD-Rollen wie globale Administratoren oder in Azure-Ressourcenrollen wie Benutzerzugriffsadministratoren in Azure AD Privileged Identity Management (PIM) erneut bestätigen.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Wenn eine Automatisierung nicht möglich ist: Sie können Regeln für dynamische Mitgliedschaften für Sicherheits- oder Office 365-Gruppen erstellen. Was geschieht aber, wenn die Personaldaten nicht in Azure AD gespeichert sind oder die Benutzer nach dem Verlassen der Gruppe weiterhin Zugriff benötigen, um ihre Nachfolger einzuarbeiten?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Dann können Sie eine Überprüfung für diese Gruppe erstellen, um sicherzustellen, dass die Benutzer, die weiterhin Zugriff benötigen, auch weiterhin Zugriff haben.You can then create a review on that group to ensure those who still need access should have continued access.
  • Wenn eine Gruppe zu einem neuen Zweck verwendet wird: Wenn Sie über eine Gruppe verfügen, die mit Azure AD synchronisiert wird, oder wenn Sie die Salesforce-Anwendung für alle Benutzer in der Gruppe „Vertriebsteam“ aktivieren möchten, wäre es sinnvoll, den Besitzer der Gruppe zu bitten, die Gruppenmitgliedschaft zu überprüfen, bevor die Gruppe in einem anderen Risikokontext verwendet wird.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Zugriff auf unternehmenskritische Daten: Bei bestimmten Ressourcen kann es zu Überwachungszwecken erforderlich sein, die Mitarbeiter außerhalb der IT-Abteilung zu bitten, sich regelmäßig abzumelden und zu begründen, warum sie Zugriff benötigen.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Zum Verwalten einer Richtlinienausnahmeliste: Im Idealfall halten sich alle Benutzer an die Zugriffsrichtlinien, um den Zugriff auf die Ressourcen Ihrer Organisation zu schützen.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Es kann aber auch Geschäftsszenarien geben, in denen Ausnahmen erforderlich sind.However, sometimes there are business cases that require you to make exceptions. Als IT-Administrator können Sie diese Aufgabe verwalten, das Übersehen von Richtlinienausnahmen vermeiden und Prüfern den Nachweis erbringen, dass diese Ausnahmen regelmäßig überprüft werden.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Auffordern von Gruppenbesitzern zur Bestätigung, dass sie weiterhin Gäste in ihren Gruppen benötigen: Der Mitarbeiterzugriff kann mit lokalem Identity & Access Management (IAM) automatisiert werden. Dies trifft jedoch nicht auf die Zugriffsrechte eingeladener Gäste zu.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Wenn eine Gruppe Gästen Zugriff auf vertrauliche Unternehmensinhalte gewährt, muss der Besitzer der Gruppe bestätigen, dass für die Gäste immer noch eine berechtigte geschäftliche Notwendigkeit des Zugriffs besteht.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Regelmäßige Durchführung von Überprüfungen: Sie können die Häufigkeit der regelmäßigen Durchführung von Zugriffsüberprüfungen für Benutzer (z.B. wöchentlich, monatlich, vierteljährlich oder jährlich) einrichten. Die Prüfer werden zu Beginn jeder Überprüfung benachrichtigt.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Prüfer können den Zugriff über eine benutzerfreundliche Oberfläche und mithilfe intelligenter Empfehlungen genehmigen oder verweigern.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Wo erstellen Sie Überprüfungen?Where do you create reviews?

Je nachdem, was Sie überprüfen möchten, erstellen Sie Ihre Zugriffsüberprüfung in Azure AD-Zugriffsüberprüfungen, Azure AD-Unternehmens-Apps (in der Vorschauversion) oder Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Zugriffsrechte von BenutzernAccess rights of users PrüferReviewers can be Überprüfung erstellt inReview created in PrüferoberflächeReviewer experience
Mitglieder von SicherheitsgruppenSecurity group members
Mitglieder von Office-GruppenOffice group members
Angegebene PrüferSpecified reviewers
GruppenbesitzerGroup owners
SelbstüberprüfungSelf-review
Azure AD-ZugriffsüberprüfungenAzure AD access reviews
Azure AD-GruppenAzure AD groups
ZugriffsbereichAccess panel
Einer verbundenen App zugewiesenAssigned to a connected app Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD-ZugriffsüberprüfungenAzure AD access reviews
Azure AD-Unternehmens-Apps (in der Vorschauversion)Azure AD enterprise apps (in preview)
ZugriffsbereichAccess panel
Azure AD-RolleAzure AD role Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD PIMAzure AD PIM Azure-PortalAzure portal
Azure-RessourcenrolleAzure resource role Angegebene PrüferSpecified reviewers
SelbstüberprüfungSelf-review
Azure AD PIMAzure AD PIM Azure-PortalAzure portal

Zugriffsüberprüfungen integrierenOnboard access reviews

Führen Sie die folgenden Schritte aus, um das Onboarding für Zugriffsüberprüfungen auszuführen.To onboard access reviews, follow these steps.

  1. Melden Sie sich als globaler Administrator oder Benutzeradministrator beim Azure-Portal an, in dem Sie Zugriffsüberprüfungen verwenden möchten.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. Klicken Sie im linken Navigationsmenü auf Azure Active Directory.In the left navigation, click Azure Active Directory.

  3. Klicken Sie im linken Menü auf Identity Governance.In the left menu, click Identity Governance.

  4. Klicken Sie auf Zugriffsüberprüfungen.Click Access reviews.

    Startseite für Zugriffsüberprüfungen

  5. Klicken Sie auf der Seite auf die Schaltfläche Jetzt integrieren.On the page, click the Onboard now button.

    Zugriffsüberprüfungen integrieren

Informationen zu ZugriffsüberprüfungenLearn about access reviews

Schauen Sie sich das folgende kurze Demovideo an, um mehr über das Erstellen und Durchführen von Zugriffsüberprüfungen zu erfahren:To learn more about creating and performing access reviews, watch this short demo:

Wenn Sie Zugriffsüberprüfungen in Ihrer Organisation bereitstellen möchten, folgen Sie den im Video gezeigten Schritten, um Zugriffsüberprüfungen zu integrieren, Ihre Administratoren zu schulen und Ihre erste Zugriffsüberprüfung zu erstellen!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P2-Lizenz erforderlich.Using this feature requires an Azure AD Premium P2 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Basic und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Welche Benutzer benötigen Lizenzen?Which users must have licenses?

Jeder Benutzer, der mit Zugriffsüberprüfungen interagiert, benötigt eine kostenpflichtige Azure AD Premium P2-Lizenz.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Beispiele:Examples include:

  • Administratoren, die eine Zugriffsüberprüfung erstellenAdministrators who create an access review
  • Gruppenbesitzer, die eine Zugriffsüberprüfung durchführenGroup owners who perform an access review
  • Als Reviewer zugewiesene BenutzerUsers assigned as reviewers
  • Benutzer, die eine Selbstüberprüfung ausführenUsers who perform a self-review

Sie können Gastbenutzer auch bitten, ihren eigenen Zugriff zu überprüfen.You can also ask guest users to review their own access. Für jede kostenpflichtige Azure AD Premium P2-Lizenz, die Sie einem Benutzer Ihrer eigenen Organisation zuweisen, können Sie mit Azure AD B2B (Business-to-Business) unter dem Kontingent für externe Benutzer bis zu fünf Gastbenutzer einladen.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Diese Gastbenutzer können auch Azure AD Premium P2-Features nutzen.These guest users can also use Azure AD Premium P2 features. Weitere Informationen finden Sie unter Leitfaden zur Lizenzierung von Azure Active Directory B2B-Kollaboration.For more information, see Azure AD B2B collaboration licensing guidance.

Anhand der folgenden Beispielszenarien können Sie die Anzahl der benötigten Lizenzen bestimmen.Here are some example scenarios to help you determine the number of licenses you must have.

SzenarioScenario BerechnungCalculation Erforderliche Anzahl von LizenzenRequired number of licenses
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe A mit 500 Benutzern.An administrator creates an access review of Group A with 500 users. Er weist drei Gruppenbesitzer als Reviewer zu.Assigns 3 group owners as reviewers. 1 Lizenz für den Administrator + 3 Lizenzen für jeden Gruppenbesitzer als Reviewer.1 license for the administrator + 3 licenses for each group owner as reviewers. 44
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe A mit 500 Benutzern.An administrator creates an access review of Group A with 500 users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 1 Lizenz für den Administrator + 500 Lizenzen für jeden Benutzer als Selbstprüfer.1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe B mit 5 Benutzern und 25 Gastbenutzern.An administrator creates an access review of Group B with 5 users and 25 guest users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 1 Lizenz für den Administrator + 5 Lizenzen für jeden Benutzer als Selbstprüfer.1 license for the administrator + 5 licenses for each user as self-reviewers.
(Gastbenutzer sind im erforderlichen Verhältnis von 1:5 abgedeckt.)(guest users are covered in the required 1:5 ratio)
66
Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe C mit 5 Benutzern und 108 Gastbenutzern.An administrator creates an access review of Group C with 5 users and 108 guest users. Er legt sie als Selbstüberprüfung fest.Makes it a self-review. 1 Lizenz für den Administrator + 5 Lizenzen für jeden Benutzer als Selbstprüfer + 16 zusätzliche Lizenzen, um alle 108 Gastbenutzer im erforderlichen Verhältnis von 1:5 abzudecken.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 Lizenzen, die 5 * 6 = 30 Gastbenutzer abdecken.1+5=6 licenses, which cover 5*6=30 guest users. Für die restlichen (108 - 5 * 6) = 78 Gastbenutzer sind 78 : 5 = 16 zusätzliche Lizenzen erforderlich.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. Insgesamt sind also 6 + 16 = 22 Lizenzen erforderlich.Thus in total, 6+16=22 licenses are required.
2222

Weitere Informationen zum Zuweisen von Lizenzen zu Ihren Benutzern finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure Active Directory-Portal.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Nächste SchritteNext steps