Erstellen einer Zugriffsüberprüfung für ein Zugriffspaket in der Berechtigungsverwaltung

  • Artikel

Um das Risiko eines veralteten Zugriffs zu verringern, sollten Sie regelmäßige Überprüfungen von Benutzern aktivieren, die in der Berechtigungsverwaltung über aktive Zuweisungen für ein Zugriffspaket verfügen. Sie können Überprüfungen aktivieren, wenn Sie ein neues Zugriffspaket erstellen oder eine bestehende Richtlinie für die Zuweisung von Zugriffspaketen bearbeiten. In diesem Artikel wird beschrieben, wie Sie Zugriffsüberprüfungen für Zugriffspakete aktivieren.

Voraussetzungen

Um Überprüfungen von Zugriffspaketen aktivieren zu können, müssen Sie die Voraussetzungen für das Erstellen eines Zugriffspakets erfüllen:

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance
  • Globaler Administrator, Identity-Governance-Administrator, Katalogbesitzer oder Zugriffspaket-Manager

Weitere Informationen finden Sie unter Lizenzanforderungen.

Erstellen einer Zugriffsüberprüfung für ein Zugriffspaket

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Sie können Zugriffsüberprüfungen aktivieren, wenn Sie ein neues Zugriffspaket erstellen oder eine bestehende Richtlinie für die Zuweisung von Zugriffspaketen bearbeiten. Wenn Sie mehrere Richtlinien für verschiedene Benutzergruppen haben, die Zugriff beantragen, können Sie für jede Richtlinie unabhängige Zeitpläne für die Zugriffsprüfung erstellen. Führen Sie diese Schritte aus, um die Zugriffsüberprüfung der Zuweisungen eines Zugriffspakets zu aktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitäts-Governance>Zugriffsüberprüfungen>Zugriffspaket.

  3. Um eine neue Zugriffsrichtlinie zu erstellen, wählen Sie das Paket Neuer Zugriff aus.

  4. Um eine vorhandene Zugriffsrichtlinie zu bearbeiten, wählen Sie im linken Menü Zugriffspakete aus, und öffnen Sie das Zugriffspaket, das Sie bearbeiten möchten. Wählen Sie dann im linken Menü Richtlinien, und wählen Sie die Richtlinie mit den Lebenszykluseinstellungen aus, die Sie bearbeiten möchten.

  5. Öffnen Sie die Registerkarte Lebenszyklus für eine Richtlinie zur Zuweisung von Zugriffspaketen, um festzulegen, wann die Zuweisung eines Benutzers zu dem Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können.

  6. Legen Sie im Abschnitt Ablauf die Option Zugriffspaket läuft ab auf An Datum, Anzahl Tage, Anzahl der Stunden oder Nie fest.

    Wählen Sie für An Datum ein Ablaufdatum in der Zukunft aus.

    Geben Sie für Anzahl Tage eine Zahl zwischen 0 und 3.660 Tagen an.

    Geben Sie unter Anzahl der Stunden die Stundenzahl an.

    Anhand Ihrer Auswahl läuft die Zuweisung eines Benutzers zum Zugriffspaket an einem bestimmten Datum, nach einer bestimmten Anzahl von Tagen nach der Genehmigung oder nie ab.

    Zugriffspaket – Lebenszyklusablaufeinstellungen

  7. Wählen Sie „Erweiterte Ablaufeinstellungen anzeigen“ aus, um weitere Einstellungen anzuzeigen.

  8. Um Benutzern zu erlauben, ihre Zuweisungen zu erweitern, setzen Sie Benutzern die Verlängerung des Zugriffs erlauben auf Ja.

    Wenn Verlängerungen in der Richtlinie zulässig sind, erhält der Benutzer 14 Tage und auch einen Tag vor Ablauf seiner Zugriffspaketzuweisung eine E-Mail-Nachricht, in der er aufgefordert wird, die Zuweisung zu verlängern. Der Benutzer muss sich noch immer im Gültigkeitsbereich der Richtlinie befinden, wenn er eine Verlängerung anfordert. Wenn die Richtlinie ein explizites Enddatum für Zuweisungen umfasst und der Benutzer eine Anforderung zum Verlängern des Zugriffs sendet, muss das Verlängerungsdatum in der Anforderung vor dem Ablauf der Zuweisungen liegen, der in der Richtlinie definiert ist, durch die dem Benutzer Zugriff auf das Zugriffspaket gewährt wurde. Wenn die Richtlinie beispielsweise angibt, dass Zuweisungen am 30. Juni ablaufen sollen, ist die maximale Verlängerung, die ein Benutzer anfordern kann, der 30. Juni.

    Wenn der Zugriff eines Benutzers verlängert wird, kann er das Zugriffspaket nach dem angegebenen Verlängerungsdatum (Datum, das in der Zeitzone des Benutzers festgelegt ist, der die Richtlinie erstellt hat) nicht mehr anfordern.

  9. Wenn eine Genehmigung zum Gewähren einer Verlängerung erforderlich sein soll, legen Sie Genehmigung erforderlich, um Verlängerung zu gewähren auf Ja fest.

    Es werden die auf der Registerkarte Anforderungen festgelegten Genehmigungseinstellungen verwendet.

  10. Schieben Sie als Nächstes den Schalter Zugangsüberprüfungen verlangen auf Ja.

    Hinzufügen der Zugriffsüberprüfung

  11. Geben Sie neben Startet am das Datum für den Beginn der Überprüfungen an.

  12. Legen Sie als Nächstes die Häufigkeit der Überprüfung auf Jährlich, Halbjährlich, Vierteljährlich oder Monatlich fest. Mit dieser Einstellung wird festgelegt, wie oft Zugriffsüberprüfungen erfolgen.

  13. Legen Sie die Dauer fest, um zu definieren, wie viele Tage Prüfer Eingaben für jede Überprüfung der Serie vornehmen können. Sie können beispielsweise eine jährliche Überprüfung planen, die am 1. Januar beginnt und 30 Tage lang zur Überprüfung geöffnet ist, sodass Prüfer bis zum Ende des Monats Zeit für die Bearbeitung haben.

  14. Wählen Sie neben Prüfer die Option Selbstüberprüfung aus, wenn Sie möchten, dass Benutzer ihre eigene Zugriffsüberprüfung durchführen, oder wählen Sie Bestimmte Prüfer aus, wenn Sie einen Prüfer angeben möchten. Sie können auch Manager auswählen, wenn der Manager des Prüfers als Prüfer festgelegt werden soll. Wenn Sie diese Option auswählen, müssen Sie einen alternativen Prüfer für die Weiterleitung der Überprüfung hinzufügen, falls der Manager im System nicht gefunden werden kann.

  15. Wenn Sie Bestimmte Prüfer ausgewählt haben, geben Sie an, welche Benutzer die Zugriffsüberprüfung durchführen sollen:

    Wählen Sie Prüfer hinzufügen aus.

    1. Wählen Sie Prüfer hinzufügen aus.
    2. Suchen Sie im Bereich Prüfer auswählen nach dem/den Benutzer(n), den/die Sie als Prüfer festlegen möchten, und wählen Sie diese(n) aus.
    3. Wählen Sie nach der Auswahl des/der gewünschten Prüfer(s) die Schaltfläche Auswählen aus.

    Prüfer angeben

  16. Wenn Sie Verwalter ausgewählt haben, geben Sie den Fallbackprüfer an:

    1. Wählen Sie Fallbackprüfer hinzufügen aus.
    2. Suchen Sie im Bereich „Alternative Prüfer auswählen“ nach den Benutzern, die als alternative Prüfer für den Manager des Prüfers fungieren sollen, und wählen Sie sie aus.
    3. Wählen Sie nach der Auswahl der alternativen Prüfer die Schaltfläche Auswählen aus.

    Hinzufügen der Fallbackprüfer

  17. Es gibt andere erweiterte Einstellungen, die Sie konfigurieren können. Wählen Sie zum Konfigurieren weiterer erweiterter Zugriffsüberprüfungseinstellungen Erweiterte Zugriffsüberprüfungseinstellungen anzeigen aus:

    1. Falls Sie angeben möchten, was mit dem Benutzerzugriff geschehen soll, wenn ein Prüfer nicht reagiert, aktivieren Sie Wenn Prüfer nicht reagieren, und wählen Sie eine der folgenden Optionen aus:

      • Keine Änderung, wenn Sie keine Entscheidung über den Benutzerzugriff treffen möchten.
      • Zugriff entfernen, wenn Sie möchten, dass der Benutzerzugriff entfernt wird.
      • Empfehlungen annehmen, wenn Sie eine Entscheidung treffen möchten, die auf Empfehlungen von MyAccess basiert.

      Erweiterte Einstellungen für die Zugriffsüberprüfung hinzufügen

    2. Wenn Sie Systemempfehlungen anzeigen möchten, wählen Sie Entscheidungshilfen für Prüfer anzeigen aus. Die Systemempfehlungen basieren auf der Benutzeraktivität. Den Prüfern wird eine der folgenden Empfehlungen angezeigt:

      • genehmigen Sie die Überprüfung, wenn sich der Benutzer während der letzten 30 Tage mindestens einmal angemeldet hat.
      • verweigern Sie die Überprüfung, wenn sich der Benutzer während der letzten 30 Tage nicht angemeldet hat.

    3. Wenn der Prüfer die Gründe für seine Genehmigungsentscheidung mitteilen soll, wählen Sie Begründung des Prüfers erforderlich aus. Diese Begründung ist für andere Prüfer und die anfordernde Person sichtbar.

  18. Wählen Sie Überprüfen + Erstellen aus, oder wählen Sie Weiter aus, wenn Sie ein neues Zugriffspaket erstellen. Wählen Sie unten auf der Seite Aktualisieren aus, wenn Sie ein Zugriffspaket bearbeiten.

Anzeigen des Status der Zugriffsüberprüfung

Nach dem Startdatum wird eine Zugriffsüberprüfung im Abschnitt Zugriffsüberprüfungen aufgeführt. Führen Sie die folgenden Schritte aus, um den Status einer Zugriffsüberprüfung anzuzeigen:

  1. Wählen Sie unter Identity Governance die Option Zugriffspakete und dann das Zugriffspaket mit dem Zugriffsüberprüfungsstatus aus, den Sie überprüfen möchten.

  2. Wenn die Zugriffspaketübersicht angezeigt wird, wählen Sie im linken Menü Zugriffsüberprüfungen aus.

    Zugriffsüberprüfungen auswählen

  3. Es wird eine Liste angezeigt, die alle Richtlinien enthält, denen Zugriffsüberprüfungen zugeordnet sind. Wählen Sie eine Überprüfung aus, um den zugehörigen Bericht anzuzeigen.

    Liste der Zugriffsüberprüfungen

  4. Im angezeigten Bericht sehen Sie die Anzahl der überprüften Benutzer und die vom Prüfer ausgeführten Aktionen.

    Überprüfungsstatus anzeigen

E-Mail-Benachrichtigungen über Zugriffsüberprüfungen

Sie können Prüfer festlegen, oder die Benutzer können ihren Zugriff selbst überprüfen. Standardmäßig sendet Microsoft Entra ID kurz nach dem Start der Überprüfung eine E-Mail an die Prüfer oder an die eine Selbstüberprüfung vornehmenden Benutzer.

Die E-Mail enthält Anweisungen zum Überprüfen des Zugriffs auf Zugriffspakete. Wenn die Überprüfung für Benutzer vorgesehen ist, die den eigenen Zugriff überprüfen sollen, geben Sie die Anweisungen zum Durchführen einer Selbstüberprüfung ihrer Zugriffspakete an.

Wenn Sie Gastbenutzer als Prüfer zugewiesen haben und diese ihre Microsoft Entra-Gasteinladung nicht angenommen haben, erhalten diese Benutzer keine E-Mails von Zugriffsüberprüfungen. Die Benutzer müssen zuerst die Einladung annehmen und ein Konto mit Microsoft Entra ID erstellen, bevor sie die E-Mails empfangen können.

Nächste Schritte