Erstellen einer Zugriffsüberprüfung für Gruppen und Anwendungen in Azure AD-ZugriffsüberprüfungenCreate an access review of groups and applications in Azure AD access reviews

Der Zugriff auf Gruppen und Anwendungen für Mitarbeiter und Gäste ändert sich im Laufe der Zeit.Access to groups and applications for employees and guests changes over time. Zur Senkung der Risiken im Zusammenhang mit veralteten Zugriffszuweisungen können Administratoren mithilfe von Azure Active Directory (Azure AD) Zugriffsüberprüfungen für Gruppenmitglieder oder Anwendungszugriff erstellen.To reduce the risk associated with stale access assignments, administrators can use Azure Active Directory (Azure AD) to create access reviews for group members or application access. Für eine routinemäßige Überprüfung können bei Bedarf auch wiederkehrende Zugriffsüberprüfungen erstellt werden.If you need to routinely review access, you can also create recurring access reviews. Weitere Informationen zu diesen Szenarien finden Sie unter Verwalten des Benutzerzugriffs mit Azure AD-Zugriffsüberprüfungen sowie unter Verwalten des Gastzugriffs mit Azure AD-Zugriffsüberprüfungen.For more information about these scenarios, see Manage user access and Manage guest access.

Sehen Sie sich ein kurzes Video zum Aktivieren von Zugriffsüberprüfungen an:You can watch a quick video talking about enabling Access Reviews:

In diesem Artikel wird die Erstellung einer oder mehrerer Zugriffsüberprüfungen für Gruppenmitglieder oder Anwendungszugriff beschrieben.This article describes how to create one or more access reviews for group members or application access.

VoraussetzungenPrerequisites

  • Azure AD Premium P2Azure AD Premium P2
  • Globaler Administrator oder BenutzeradministratorGlobal administrator or User administrator

Weitere Informationen finden Sie unter Lizenzanforderungen.For more information, see License requirements.

Erstellen einer oder mehrerer ZugriffsüberprüfungenCreate one or more access reviews

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Seite Identity Governance.Sign in to the Azure portal and open the Identity Governance page.

  2. Klicken Sie im linken Menü auf Zugriffsüberprüfungen.In the left menu, click Access reviews.

  3. Klicken Sie auf Neue Zugriffsüberprüfung, um eine neue Zugriffsüberprüfung zu erstellen.Click New access review to create a new access review.

    Bereich „Zugriffsüberprüfungen“ in Identity Governance

  4. Wählen Sie in Schritt 1: Auswählen, was überprüft werden soll aus, welche Ressource Sie überprüfen möchten.In Step 1: Select what to review select which resource you would like to review.

    Erstellen einer Zugriffsüberprüfung – Name und Beschreibung der Überprüfung

  5. Wenn Sie in Schritt 1 Teams und Gruppen ausgewählt haben, stehen Ihnen in Schritt 2 zwei Optionen zur Auswahl.If you selected Teams + Groups in Step 1, you have two options in Step 2

    • All Microsoft 365 groups with guest users (Alle Microsoft 365-Gruppen mit Gastbenutzern):All Microsoft 365 groups with guest users. Wählen Sie diese Option aus, wenn Sie wiederkehrende Überprüfungen für alle Gastbenutzer in allen Microsoft Teams- und Microsoft 365-Gruppen in Ihrer Organisation einrichten möchten.Select this option if you would like to create recurring reviews on all your guest users across all your Microsoft Teams and M365 groups in your organization. Sie können bestimmte Gruppen ausschließen, indem Sie auf „Select group(s) to exclude“ (Auszuschließende Gruppen auswählen) klicken.You can choose to exclude certain groups by clicking on ‘Select group(s) to exclude’.

    • Select teams + groups (Teams und Gruppen auswählen):Select teams + groups. Wählen Sie diese Option aus, wenn Sie feste Teams und Gruppen für die Überprüfung angeben möchten.Select this option if you would like to specify a finite set of teams and/or groups to review. Nach dem Klicken auf diese Option wird auf der rechten Seite eine Liste mit Gruppen zur Auswahl angezeigt.After clicking on this option, you will see a list of groups to the right to pick from.

      Teams und Gruppen

      Ausgewählte Option „Teams + Groups“ (Teams und Gruppen) auf der Benutzeroberfläche

  6. Wenn Sie in Schritt 1 Anwendungen ausgewählt haben, können Sie in Schritt 2 eine oder mehrere Anwendungen auswählen.If you selected Applications in Step 1, you can then select one or more applications in Step 2.

    Hinweis

    Wenn Sie mehrere Gruppen oder Anwendungen auswählen, werden mehrere Zugriffsüberprüfungen erstellt.Selecting multiple groups and/or applications will result in multiple access reviews created. Wenn Sie z. B. fünf zu überprüfende Gruppen auswählen, werden auch fünf separate Zugriffsüberprüfungen erstellt.For example, if you select 5 groups to review, that will result in 5 separate access reviews

    Benutzeroberfläche bei Auswahl von „Anwendungen“ anstelle von Gruppen

  7. Als Nächstes können Sie in Schritt 3 einen Bereich für die Überprüfung auswählen.Next, in Step 3 you can select a scope for the review. Folgende Optionen sind verfügbar:Your options are

    • Nur Gastbenutzer:Guest users only. Wenn Sie diese Option auswählen, wird die Zugriffsüberprüfung ausschließlich auf die Azure AD B2B-Gastbenutzer in Ihrem Verzeichnis beschränkt.Selecting this option limits the access review to just the Azure AD B2B guest users in your directory.
    • Jeder:Everyone. Wenn Sie diese Option auswählen, wird die Zugriffsüberprüfung auf alle Benutzerobjekte angewandt, die der Ressource zugeordnet sind.Selecting this option scopes the access review to all user objects associated with the resource.

    Hinweis

    Wenn Sie in Schritt 2 „All Microsoft 365 groups with guest users“ (Alle Microsoft 365-Gruppen mit Gastbenutzern) ausgewählt haben, steht Ihnen in Schritt 3 als einzige Option die Überprüfung von Gastbenutzern zur Verfügung.If you selected All Microsoft 365 groups with guest users in Step 2, then your only option is to review Guest users in Step 3

  8. Klicken Sie auf „Weiter: ÜberprüfungenClick on Next: Reviews

  9. Wählen Sie im Abschnitt Prüfer auswählen mindestens eine Person für die Zugriffsüberprüfungen aus.In the Select reviewers section, select either one or more people to perform the access reviews. Es gibt folgende Auswahlmöglichkeiten:You can choose from:

    • Gruppenbesitzer (nur verfügbar, wenn eine Überprüfung für ein Team oder eine Gruppe durchgeführt wird)Group owner(s) (Only available when performing a review on a Team or group)
    • Ausgewählte Benutzer oder GruppenSelected user(s) or groups(s)
    • Users review own access (Benutzer überprüfen eigenen Zugriff)Users review own access
    • Vorgesetzte von BenutzernManagers of users. Wenn Sie Managers of users (Benutzermanager) oder Gruppenbesitzer auswählen, haben Sie auch die Möglichkeit, einen Fallbackprüfer anzugeben.If you choose either Managers of users or Group owners you also have the option to specify a fallback reviewer. Fallbackprüfer werden aufgefordert, eine Überprüfung durchzuführen, wenn für den Benutzer kein Manager im Verzeichnis angegeben ist oder die Gruppe keinen Besitzer hat.Fallback reviewers are asked to do a review when the user has no manager specified in the directory or the group does not have an owner.

    Neue Zugriffsüberprüfung

  10. Im Abschnitt Specify recurrence of review (Wiederholung für Überprüfung angeben) können Sie eine Häufigkeit angeben, z. B. wöchentlich, monatlich, vierteljährlich, halbjährlich, jährlich.In the Specify recurrence of review section, you can specify a frequency such as Weekly, Monthly, Quarterly, Semi-annually, Annually. Anschließend geben Sie eine Dauer an. Diese legt fest, wie lange eine Überprüfung für die Eingabe von Prüfern geöffnet bleiben soll.You then specify a Duration, which defines how long a review will be open for input from reviewers. Für eine monatliche Überprüfung kann beispielsweise eine maximale Dauer von 27 Tagen angegeben werden, um Überschneidungen zu vermeiden.For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews. Sie sollten die Dauer eventuell verkürzen, um sicherzustellen, dass die Eingaben Ihrer Prüfer früher angewandt werden.You might want to shorten the duration to ensure that your reviewers input is applied earlier. Als Nächstes können Sie ein Startdatum und ein Enddatum auswählen.Next, you can select a Start date, and End date.

    Auswählen der Häufigkeit von Überprüfungen

  11. Klicken Sie auf die Schaltfläche Weiter: Einstellungen unten auf der Seite.Click the Next: Settings button at the bottom of the page

  12. Unter Einstellungen nach Abschluss können Sie angeben, was nach Abschluss der Überprüfung geschehen soll.In the Upon completion settings you can specify what happens after the review completes

    Erstellen einer Zugriffsüberprüfung: „Einstellungen nach Abschluss“

Soll abgelehnten Benutzern automatisch der Zugriff entzogen werden, legen Sie Ergebnisse automatisch auf Ressource anwenden auf Aktivieren fest.If you want to automatically remove access for denied users, set Auto apply results to resource to Enable. Falls Sie die Ergebnisse nach Abschluss der Überprüfung manuell anwenden möchten, legen Sie die Einstellung auf Deaktivieren fest.If you want to manually apply the results when the review completes, set the switch to Disable. Geben Sie mithilfe der Liste If reviewers don‘t respond (Wenn die Prüfer nicht reagieren) an, was bei Benutzern geschehen soll, die vom Prüfer nicht innerhalb des vorgesehenen Zeitraums überprüft werden.Use the If reviewers don't respond list to specify what happens for users that are not reviewed by the reviewer within the review period. Diese Einstellung hat keine Auswirkungen auf Benutzer, die von den Prüfern manuell überprüft wurden.This setting does not impact users who have been reviewed by the reviewers manually. Lautet die Entscheidung des Prüfers letztlich „Verweigern“, wird dem Benutzer der Zugriff entzogen.If the final reviewer's decision is Deny, then the user's access will be removed.

  • Keine Änderung: Der Zugriff des Benutzers bleibt unverändert.No change - Leave user's access unchanged

  • Zugriff entfernen: Dem Benutzer wird der Zugriff entzogen.Remove access - Remove user's access

  • Zugriff genehmigen: Der Zugriff des Benutzers wird genehmigt.Approve access - Approve user's access

  • Empfehlungen annehmen: Die Systemempfehlungen hinsichtlich der Ablehnung oder Gewährung des weiteren Benutzerzugriffs werden verwendet.Take recommendations - Take the system's recommendation on denying or approving the user's continued access

    Optionen für „Einstellungen nach Abschluss“

Verwenden Sie Auf verweigerte Gastbenutzer anzuwendende Aktion, um festzulegen, was mit Gastbenutzern geschieht, wenn diese abgelehnt werden.Use the Action to apply on denied guest users to specify what happens to guest users if they are denied.

  • Mit „Remove user’s membership from the resource“ (Benutzermitgliedschaft für Ressource entfernen) können Sie den Zugriff des abgelehnten Benutzers auf die zu überprüfende Gruppe oder Anwendung deaktivieren. Der Benutzer kann sich allerdings weiterhin beim Mandanten anmelden.Remove user’s membership from the resource will remove denied user’s access to the group or application being reviewed, they will still be able to sign-in to the tenant.
  • Mit „Block user from signing-in for 30 days, then remove user from the tenant“ (Anmeldung des Benutzers für 30 Tage blockieren und den Benutzer anschließend aus Mandanten entfernen) können Sie verhindern, dass der abgelehnte Benutzer sich beim Mandanten anmeldet, unabhängig davon, ob er Zugriff auf andere Ressourcen hat.Block user from signing-in for 30 days, then remove user from the tenant will block the denied users from signing in to the tenant, regardless if they have access to other resources. Wenn ein Fehler aufgetreten ist oder ein Administrator beschließt, den Zugriff erneut zu aktivieren, kann das innerhalb von 30 Tagen nach der Deaktivierung des Benutzers geschehen.If there was a mistake or if an admin decides to re-enable one’s access, they can do so within 30 days after the user has been disabled. Wenn keine Aktionen mit dem deaktivierten Benutzer durchgeführt werden, wird dieser aus dem Mandanten gelöscht.If there is no action taken on the disabled users, they will be deleted from the tenant.

Weitere Informationen zu bewährten Methoden zum Entfernen von Gastbenutzern, die keinen Zugriff mehr auf Ressourcen in Ihrer Organisation haben sollen, finden Sie im Artikel Verwenden von Azure AD Identity Governance zum Überprüfen und Entfernen externer Benutzer, die keinen Zugriff mehr auf Ressourcen haben.To learn more about best practices for removing guest users who no longer have access to resources in your organization read the article titled Use Azure AD Identity Governance to review and remove external users who no longer have resource access.

Hinweis

Die auf abgelehnte Gastbenutzer anzuwendende Aktion kann nicht für Überprüfungen mit einem größeren Gültigkeitsbereich als Gastbenutzer konfiguriert werden.Action to apply on denied guest users is not configurable on reviews scoped to more than guest users. Sie kann auch nicht für die Überprüfung aller Microsoft 365-Gruppen mit Gastbenutzern konfiguriert werden.It is also not configurable for reviews of All M365 groups with guest users. Wenn diese Option nicht konfiguriert werden kann, wird für abgelehnte Benutzer die Standardoption (Entfernen der Benutzermitgliedschaft aus der Ressource) verwendet.When not configurable, the default option of removing user's membership from the resource is used on denied users.

  1. Wählen Sie unter Enable review decision helpers (Entscheidungshilfen für Überprüfungen aktivieren) aus, ob Ihre Prüfer während des Überprüfungsvorgangs Empfehlungen erhalten sollen.In the Enable review decision helpers choose whether you would like your reviewer to receive recommendations during the review process.

    Optionen für das Aktivieren von Entscheidungshilfen

  2. Sie können im Abschnitt Erweiterte Einstellungen Folgendes auswählen:In the Advanced settings section you can choose the following

    • Legen Sie Begründung erforderlich auf Aktivieren fest, damit Prüfer einen Grund für die Genehmigung angeben müssen.Set Justification required to Enable to require the reviewer to supply a reason for approval.

    • Legen Sie E-Mail-Benachrichtigungen auf Aktivieren fest, damit Azure AD beim Start einer Zugriffsüberprüfung E-Mail-Benachrichtigungen an die Prüfer und beim Abschluss einer Überprüfung Benachrichtigungen an Administratoren sendet.Set email notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

    • Legen Sie Erinnerungen auf Aktivieren fest, damit Azure AD Erinnerungen zu laufenden Zugriffsüberprüfungen an Prüfer sendet, die ihre Überprüfung noch nicht abgeschlossen haben.Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review. Diese Erinnerungen erfolgen nach Ablauf der Hälfte der Überprüfungsdauer automatisch.These reminders will be self half-way through the duration of the review.

    • Der Inhalt der an Prüfer gesendeten E-Mail wird automatisch basierend auf den Überprüfungsdetails generiert, z. B. Name der Überprüfung, Name der Ressource, Fälligkeitsdatum usw. Wenn Sie eine Möglichkeit benötigen, zusätzliche Informationen wie etwa weitere Anweisungen oder Kontaktinformationen mitzuteilen, können Sie diese Informationen im Abschnitt E-Mail mit zusätzlichen Inhalten für Prüfer angeben.The content of the email sent to reviewers is autogenerated based on the review details, such as review name, resource name, due date, etc. If you need a way to communicate additional information such as additional instructions or contact information, you can specify these details in the Additional content for reviewer email section. Die eingegebenen Informationen werden in die Einladungs- und Erinnerungs-E-Mails an die zugewiesenen Prüfer eingefügt.The information that you enter is included in the invitation and reminder emails sent to assigned reviewers. Der in der Abbildung unten hervorgehobene Abschnitt zeigt, wo diese Informationen angezeigt werden.The section highlighted in the image below shows where this information is displayed.

      Zusätzliche Inhalte für Prüfer

  3. Klicken Sie auf Weiter: Überprüfen und erstellen, um zur nächsten Seite zu wechseln.Click on Next: Review + Create to move to the next page

  4. Benennen Sie die Zugriffsüberprüfung.Name the access review. Wahlweise können Sie jeder Überprüfung eine Beschreibung hinzufügen.Optionally, give the review a description. Den Prüfern werden Name und Beschreibung angezeigt.The name and description are shown to the reviewers.

  5. Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.Review the information and select Create

    Bildschirm „Erstellen“ für Überprüfungen

Starten der ZugriffsüberprüfungStart the access review

Klicken Sie nach dem Festlegen der Einstellungen für eine Zugriffsüberprüfung auf Starten.Once you have specified the settings for an access review, click Start. Die Zugriffsüberprüfung wird in der Liste mit einer Angabe des Status angezeigt.The access review will appear in your list with an indicator of its status.

Liste der Zugriffsüberprüfungen mit jeweiligem Status

Standardmäßig sendet Azure AD kurz nach dem Start der Überprüfung eine E-Mail an die Prüfer.By default, Azure AD sends an email to reviewers shortly after the review starts. Wenn Sie nicht möchten, dass Azure AD die E-Mail sendet, stellen Sie sicher, dass die Prüfer darüber in Kenntnis gesetzt werden, dass sie eine ausstehende Zugriffsüberprüfung abschließen müssen.If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. Sie können ihnen die Anweisungen zum Überprüfen des Zugriffs auf Gruppen oder Anwendungen anzeigen.You can show them the instructions for how to review access to groups or applications. Wenn Ihre Überprüfung für Gäste gedacht ist, die ihren eigenen Zugriff überprüfen sollen, können Sie ihnen die Anweisungen zum Überprüfen des eigenen Zugriffs auf Gruppen oder Anwendungen anzeigen.If your review is for guests to review their own access, show them the instructions for how to review access for yourself to groups or applications.

Wenn Sie Gäste als Prüfer zugewiesen haben, diese die Einladung aber nicht angenommen haben, erhalten sie keine E-Mail zu Zugriffsüberprüfungen, da die Einladung zuerst akzeptiert werden muss, bevor Überprüfungen vorgenommen werden können.If you have assigned guests as reviewers and they have not accepted the invite, they will not receive an email from access reviews because they must first accept the invite prior to reviewing.

Zugriffsüberprüfungs-StatustabelleAccess review status table

StatusStatus DefinitionDefinition
NotStartedNotStarted Die Überprüfung wurde erstellt, die Benutzerermittlung wartet auf den Start.Review was created, user discovery is waiting to start.
Wird initialisiert...Initializing Die Benutzerermittlung ist dabei, alle Benutzer zu identifizieren, die Teil der Überprüfung sind.User discovery is in progress to identify all users that are part of the review.
Wird gestartetStarting Die Überprüfung wird gestartet.Review is starting. Wenn E-Mail-Benachrichtigungen erlaubt sind, werden E-Mails an Überprüfer gesendet.If email notifications are enabled, emails are being sent to reviewers.
InProgressInProgress Die Überprüfung hat begonnen.Review has started. Wenn E-Mail-Benachrichtigungen aktiviert sind, wurden E-Mails an Überprüfer gesendet.If email notifications are enabled emails have been sent to reviewers. Überprüfer können Entscheidungen bis zum Fälligkeitsdatum einreichen.Reviewers can submit decisions until the due date.
Wird abgeschlossenCompleting Die Überprüfung wird abgeschlossen, und E-Mails werden an den Besitzer der Überprüfung gesendet.Review is being completed and emails are being sent to the review owner.
Automatische ÜberprüfungAuto-Reviewing Die Überprüfung befindet sich in einer Systemüberprüfungsphase.Review is in a system reviewing stage. Das System zeichnet Entscheidungen für Benutzer auf, die auf der Grundlage von Empfehlungen oder vorkonfigurierten Entscheidungen nicht geprüft wurden.The system is recording decisions for users who were not reviewed based on recommendations or pre-configured decisions.
Automatisch überprüftAuto-Reviewed Für alle Benutzer, die nicht überprüft wurden, wurden Entscheidungen vom System aufgezeichnet.Decisions have been recorded by the system for all users who were not reviewed. Die Überprüfung ist bereit, zu Anwenden fortzuschreiten, wenn die automatische Übernahme aktiviert ist.Review is ready to proceed to Applying if Auto-Apply is enabled.
AnwendenApplying Für Benutzer, die genehmigt wurden, wird der Zugriff nicht geändert.There will be no change in access for users who were approved.
ÜbernommenApplied Abgelehnte Benutzer, sofern vorhanden, wurden aus der Ressource oder dem Verzeichnis entfernt.Denied users, if any, have been removed from the resource or directory.
FehlerFailed Die Überprüfung konnte nicht fortgesetzt werden.Review could not progress. Dieser Fehler kann auf das Löschen des Mandanten, eine Änderung an Lizenzen oder andere interne Mandantenänderungen zurückzuführen sein.This error could be related to the deletion of the tenant, a change in licenses, or other internal tenant changes.

Erstellen von Überprüfungen über APIsCreate reviews via APIs

Zugriffsüberprüfungen können auch unter Verwendung von APIs erstellt werden.You can also create access reviews using APIs. Die Aktionen, die Sie zur Verwaltung von Zugriffsüberprüfungen für Gruppen und Anwendungsbenutzer im Azure-Portal ausführen, können auch über Microsoft Graph-APIs ausgeführt werden.What you do to manage access reviews of groups and application users in the Azure portal can also be done using Microsoft Graph APIs. Weitere Informationen finden Sie unter Azure AD-Zugriffsüberprüfungen.For more information, see the Azure AD access reviews API reference. Ein Codebeispiel finden Sie unter Beispiel für das Abrufen von Azure AD-Zugriffsüberprüfungen über Microsoft Graph.For a code sample, see Example of retrieving Azure AD access reviews via Microsoft Graph.

Nächste SchritteNext steps