Steuern des Zugriffs für Anwendungen in Ihrer Umgebung
Microsoft Entra ID Governance ermöglicht es Ihnen, den Sicherheitsbedarf Ihrer Organisation und die Produktivität von Mitarbeitern mit den richtigen Prozessen und Transparenz in Einklang zu bringen. Diese Features stellen sicher, dass die richtigen Personen zur richtigen Zeit den richtigen Zugriff auf die richtigen Ressourcen in Ihrer Organisation haben.
Organisationen mit Konformitätsanforderungen oder Risikomanagementplänen verfügen über sensible oder geschäftskritische Anwendungen. Die Sensibilität der Anwendung kann auf ihrem Zweck oder den darin enthaltenen Daten basieren, wie z.B. Finanzinformationen oder persönliche Daten der Kunden der Organisation. Für diese Anwendungen wird in der Regel nur eine Teilmenge aller Benutzer in der Organisation zugriffsberechtigt sein, und der Zugriff sollte nur auf der Grundlage dokumentierter Geschäftsanforderungen gestattet werden. Als Teil der Kontrollmechanismen für die Zugriffssteuerung in Ihrer Organisation können Sie die Features von Microsoft Entra für folgende Zwecke nutzen:
- einen angemessenen Zugriff einzurichten
- Benutzer zu Anwendungen zuweisen
- Zugriffsüberprüfungen zu erzwingen
- zu zeigen, wie diese Steuerelemente genutzt werden, um Ihre Compliance- und Risikomanagementziele zu erreichen.
Zusätzlich zum Szenario der Governance für den Anwendungszugriff können Sie auch Microsoft Entra ID Governance-Features und die anderen Microsoft Entra-Features für weitere Szenarien verwenden, z. B. Überprüfen und Entfernen von Benutzern aus anderen Organisationen oder Verwalten von Benutzern, die von Richtlinien für bedingten Zugriff ausgeschlossen sind. Wenn Ihre Organisation mehrere Administrator*innen in Microsoft Entra ID oder Azure hat, B2B oder die Self-Service-Gruppenverwaltung verwendet, sollten Sie für diese Szenarien eine Zugriffsüberprüfungsbereitstellung planen.
Lizenzanforderungen
Die Nutzung dieser Funktion erfordert Microsoft Entra ID Governance Lizenzen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Erste Schritte zur Zugriffsverwaltung auf Anwendungen
Microsoft Entra ID Governance kann mithilfe von Standards wie OpenID Connect, SAML, SCIM, SQL und LDAP in viele Anwendungen integriert werden. Durch diese Standards können Sie Microsoft Entra ID mit vielen beliebten SaaS-Anwendungen und mit lokalen Anwendungen und Anwendungen, die Ihre Organisation entwickelt hat, verwenden. Nachdem Sie Ihre Microsoft Entra-Umgebung wie im folgenden Abschnitt beschrieben vorbereitet haben, umfasst der aus drei Schritten bestehende Plan die Verbindung einer Anwendung mit Microsoft Entra ID und die Aktivierung von Identity Governance-Features, die für diese Anwendung verwendet werden sollen.
- Definieren Sie die Richtlinien Ihrer Organisation für die Steuerung des Zugriffs auf die Anwendung
- Integrieren Sie die Anwendung in Microsoft Entra ID, um sicherzustellen, dass nur autorisierte Benutzer auf die Anwendung zugreifen können, und überprüfen Sie den bestehenden Benutzerzugriff auf die Anwendung, um eine Baseline aller überprüften Benutzer festzulegen. Dies ermöglicht die Authentifizierung und Benutzerbereitstellung
- Stellen Sie diese Richtlinien zur Steuerung von Single Sign-On (SSO) und zur Automatisierung von Zugriffszuweisungen für diese Anwendung bereit.
Voraussetzungen vor dem Konfigurieren von Microsoft Entra ID und Microsoft Entra ID Governance für Identitätsgovernance
Bevor Sie mit dem Steuern des Anwendungszugriffs über Microsoft Entra ID Governance beginnen, sollten Sie überprüfen, ob Ihre Microsoft Entra-Umgebung entsprechend konfiguriert ist.
Stellen Sie sicher, dass Ihre Microsoft Entra ID- und Microsoft Online Services-Umgebung die Complianceanforderungen für die zu integrierenden Anwendungen erfüllt und ordnungsgemäß lizenziert ist. Compliance ist eine gemeinsame Verantwortung von Microsoft, Clouddienstanbietern (Cloud Service Providers, CSPs) und Organisationen. Um Microsoft Entra ID zum Steuern des Zugriffs auf Anwendungen zu verwenden, benötigen Sie eine der folgenden Lizenzkombinationen in Ihrem Mandanten:
- Microsoft Entra ID Governance und zugehörige Voraussetzungen, Microsoft Entra ID P1
- Microsoft Entra ID Governance Step Up für Microsoft Entra ID P2 und zugehörige Voraussetzung, Microsoft Entra ID P2 oder Enterprise Mobility + Security (EMS) E5
Ihr Mandant benötigt mindestens so viele Lizenzen wie die Anzahl der Mitglieder (Nicht-Gäste), die gesteuert sind, darunter auch diese, die Zugang zu den Anwendungen haben oder beantragen können, die den Zugang zu den Anwendungen genehmigen oder überprüfen. Mit einer geeigneten Lizenz für diese Benutzer können Sie dann den Zugriff auf bis zu 1500 Anwendungen pro Benutzer steuern.
Wenn Sie den Zugriff von Gästen auf die Anwendung steuern möchten, verknüpfen Sie Ihren Microsoft Entra-Mandanten mit einem Abonnement für die MAU-Abrechnung (aktive Benutzer pro Monat). Dieser Schritt ist erforderlich, bevor ein Gast seinen Zugang beantragen oder überprüfen kann. Weitere Informationen finden Sie unter Abrechnungsmodell für Microsoft Entra External ID.
Überprüfen Sie, ob Microsoft Entra ID bereits das Überwachungsprotokoll und optional andere Protokolle an Azure Monitor sendet. Azure Monitor ist optional, aber nützlich für das Steuern des Zugriffs auf Apps, da Microsoft Entra Überwachungsereignisse nur bis zu 30 Tage lang im Überwachungsprotokoll speichert. Sie können die Überwachungsdaten wie unter How long does Microsoft Entra ID store reporting data? (Wie lange speichert Microsoft Entra ID Berichtsdaten?) beschrieben länger als den standardmäßigen Aufbewahrungszeitraum speichern und Azure Monitor-Arbeitsmappen sowie benutzerdefinierte Abfragen und Berichte zu historischen Überwachungsdaten verwenden. Sie können die Microsoft Entra-Konfiguration überprüfen, um zu ermitteln, ob Azure Monitor verwendet wird. Klicken Sie dazu im Microsoft Entra Admin Center unter Microsoft Entra ID auf Arbeitsmappen. Wenn diese Integration nicht konfiguriert ist und Sie ein Azure-Abonnement haben und der Rolle
Global AdministratoroderSecurity Administratorzugewiesen sind, können Sie Microsoft Entra ID zur Verwendung Azure Monitor konfigurieren.Stellen Sie sicher, dass nur autorisierte Benutzer*innen den Administratorrollen mit hohen Berechtigungen in Ihrem Microsoft Entra-Mandanten zugewiesen sind. Administratoren mit der Rolle Globaler Administrator, Identitätsverwaltungsadministrator, Benutzeradministrator, Anwendungsadministrator, Cloudanwendungsadministrator und Administrator für privilegierte Rollen können Änderungen an Benutzern und ihren Anwendungsrollenzuweisungen vornehmen. Wenn die Mitgliedschaften dieser Rollen noch nicht kürzlich überprüft wurden, benötigen Sie einen Benutzer, der sich im globalen Administrator oder privilegierten Rollenadministrator befindet, um sicherzustellen, dass die Zugriffsüberprüfung dieser Verzeichnisrollen gestartet wird. Sie sollten auch sicherstellen, dass Benutzer mit Azure-Rollen in Abonnements, die Azure Monitor, Logic Apps und andere Ressourcen enthalten, die für den Betrieb Ihrer Microsoft Entra-Konfiguration erforderlich sind, überprüft wurden.
Überprüfen Sie, ob Ihr Mandanten über eine entsprechende Isolation verfügt. Wenn Ihre Organisation ein lokales Active Directory verwendet und diese AD-Domänen mit Microsoft Entra ID verbunden sind, müssen Sie sicherstellen, dass Verwaltungsvorgänge mit umfassenden Berechtigungen für in der Cloud gehostete Dienste von lokalen Konten isoliert werden. Stellen Sie sicher, dass Sie Ihre Systeme so konfiguriert haben, dass Ihre Microsoft 365-Cloudumgebung vor lokalen Gefährdungen geschützt ist.
Nachdem Sie Ihre Microsoft Entra-Umgebung überprüft haben, definieren Sie die Governancerichtlinien für Ihre Anwendungen.