Was ist Azure AD Identity Governance?What is Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance ermöglicht Ihnen, den Sicherheitsbedarf Ihrer Organisation und die Produktivität von Mitarbeitern mit den richtigen Prozessen sowie Transparenz in Einklang zu bringen.Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. Bereitgestellt werden Funktionen, die den richtigen Zugriff der richtigen Personen auf die richtigen Ressourcen gewährleisten.It provides you with capabilities to ensure that the right people have the right access to the right resources. Mit diesen und den zugehörigen Funktion von Azure AD und Enterprise Mobility + Security können Sie das Zugriffsrisiko minimieren, indem Sie kritische Ressourcen und den Zugriff darauf schützen und überwachen, gleichzeitig aber auch die Produktivität von Mitarbeitern und Geschäftspartnern sicherstellen.These and related Azure AD and Enterprise Mobility + Security features allows you to mitigate access risk by protecting, monitoring, and auditing access to critical assets -- while ensuring employee and business partner productivity.

Mit Identity Governance können Organisationen für Mitarbeiter, Geschäftspartner und Anbieter als auch für Dienste und Anwendungen, sowohl lokal als auch in Clouds, die folgenden Aufgaben ausführen:Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and across services and applications both on-premises and in clouds:

  • Steuern des IdentitätslebenszyklusGovern the identity lifecycle
  • Steuern des ZugriffslebenszyklusGovern access lifecycle
  • Sichern des privilegierten Zugriffs für die VerwaltungSecure privileged access for administration

Insbesondere soll Identity Governance Organisationen bei der Beantwortung der folgenden vier Schlüsselfragen unterstützen:Specifically, it is intended to help organizations address these four key questions:

  • Welche Benutzer sollen Zugriff auf welche Ressourcen haben?Which users should have access to which resources?
  • Wozu nutzen diese Benutzer den Zugriff?What are those users doing with that access?
  • Gibt es effektive organisatorische Kontrollen zum Verwalten des Zugriffs?Are there effective organizational controls for managing access?
  • Können Prüfer feststellen, ob die Kontrollen funktionieren?Can auditors verify that the controls are working?

IdentitätslebenszyklusIdentity lifecycle

Identity Governance hilft Organisationen, ein Gleichgewicht herzustellen zwischen der Produktivität – wie schnell eine Person auf die benötigten Ressourcen zugreifen kann (beispielsweise, wenn sie der Organisation beitritt) –Identity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? und der Sicherheit – wie sich der Zugriff im Laufe der Zeit ändern sollte (beispielsweise aufgrund von Änderungen des Beschäftigungsstatus einer Person).And security - How should their access change over time, such as due to changes to that person's employment status? Identity Lifecycle Management ist die Grundlage für Identity Governance, und eine effektive Governance in großem Maßstab erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen.Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

Identitätslebenszyklus

Bei vielen Organisationen ist der Identitätslebenszyklus für Mitarbeiter mit der Darstellung des Benutzers in einem Personalverwaltungssystem (Human Capital Management, HCM) verknüpft.For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. Bei Azure AD Premium werden Benutzeridentitäten für Personen, die in Workday und SuccessFactors enthalten sind, sowohl in Active Directory als auch in Azure Active Directory automatisch vorgehalten. Dies ist unter Planen der HR-Cloudanwendung für die Azure Active Directory-Benutzerbereitstellung beschrieben.Azure AD Premium automatically maintains user identities for people represented in Workday and SuccessFactors in both Active Directory and Azure Active Directory, as described in the cloud HR application to Azure Active Directory user provisioning planning guide. In Azure AD Premium ist zudem Microsoft Identity Manager enthalten. Dies ist eine Lösung, mit der Datensätze aus lokalen Personalverwaltungssystemen wie SAP HCM, Oracle eBusiness und Oracle PeopleSoft importiert werden können.Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP HCM, Oracle eBusiness, and Oracle PeopleSoft.

Immer mehr Szenarien erfordern heute die Kollaboration mit Personen außerhalb Ihrer Organisation.Increasingly, scenarios require collaboration with people outside your organization. Mithilfe der Azure AD B2B-Kollaboration (Business-to-Business) können Sie die Anwendungen und Dienste Ihrer Organisation für Gastbenutzer und externe Partner von beliebigen Organisationen sicher freigeben und dabei die Kontrolle über Ihre eigenen Unternehmensdaten behalten.Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data. Mit der Azure AD-Berechtigungsverwaltung können Sie auswählen, welche Benutzer der Organisation Zugriff anfordern dürfen und als B2B-Gäste dem Verzeichnis Ihrer Organisation hinzugefügt werden sollen. Außerdem können Sie sicherstellen, dass diese Gäste entfernt werden, wenn Sie keinen Zugriff mehr benötigen.Azure AD entitlement management enables you to select which organization's users are allowed to request access and be added as B2B guests to your organization's directory, and ensures that these guests are removed when they no longer need access.

ZugriffslebenszyklusAccess lifecycle

Organisationen benötigen einen Prozess, um den Zugriff über die anfänglich beim Erstellen der Identität eines Benutzers zugewiesenen Rechte hinaus zu verwalten.Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. Zudem müssen Unternehmensorganisationen in der Lage sein, ihre Systeme effizient zu skalieren, damit sie Zugriffsrichtlinien und -kontrollen kontinuierlich entwickeln und erzwingen können.Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

Zugriffslebenszyklus

In der Regel delegiert die IT-Abteilung Entscheidungen bezüglich der Zugriffsgenehmigung an Entscheidungsträger im Unternehmen.Typically, IT delegates access approval decisions to business decision makers. Darüber hinaus kann die IT die Benutzer selbst in den Prozess einbeziehen.Furthermore, IT can involve the users themselves. Beispielsweise müssen Benutzer, die in Europa auf vertrauliche Kundendaten in der Marketinganwendung eines Unternehmens zugreifen, die Richtlinien des Unternehmens kennen.For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. Gastbenutzer kennen die Anforderungen für die Behandlung von Daten in einer Organisation, zu der sie eingeladen wurden, möglicherweise nicht.Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

Organisationen können den Zugriffslebenszyklus mit Technologien wie dynamischen Gruppen in Verbindung mit der Benutzerbereitstellung in SaaS-Apps oder in SCIM integrierten Apps automatisieren.Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. Außerdem können Organisationen steuern, welche Gastbenutzer Zugriff auf lokale Anwendungen haben.Organizations can also control which guest users have access to on-premises applications. Diese Zugriffsrechte können dann regelmäßig mithilfe von wiederkehrenden Azure AD-Zugriffsüberprüfungen überprüft werden.These access rights can then be regularly reviewed using recurring Azure AD access reviews. Mit der Azure AD-Berechtigungsverwaltung können Sie außerdem definieren, wie Benutzer übergreifend über Pakete von Gruppen- und Teammitgliedschaften, Anwendungsrollen und SharePoint Online-Rollen Zugriff anfordern.Azure AD entitlement management also enables you to define how users request access across packages of group and team memberships, application roles, and SharePoint Online roles.

Wenn ein Benutzer auf Anwendungen zuzugreifen versucht, erzwingt Azure AD Richtlinien für bedingten Zugriff.When a user attempts to access applications, Azure AD enforces Conditional Access policies. Richtlinien für bedingten Zugriff können beispielsweise beinhalten, dass Nutzungsbedingungen angezeigt werden und der Benutzer diesen Bedingungen zustimmen muss, bevor er auf eine Anwendung zugreifen kann.For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

Privilegierter ZugriffslebenszyklusPrivileged access lifecycle

In der Vergangenheit wurde der privilegierte Zugriff von anderen Anbietern als eine von Identity Governance getrennte Funktion dargestellt.Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. Wir bei Microsoft denken jedoch, dass die Steuerung des privilegierten Zugriffs ein wichtiger Bestandteil von Identity Governance ist – insbesondere angesichts des mit diesen Administratorrechten einhergehenden möglichen Missbrauchs und Schadens für eine Organisation.However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. Die Mitarbeiter, Anbieter und Auftragnehmer, denen Administratorrechte gewährt werden, müssen gesteuert werden.The employees, vendors, and contractors that take on administrative rights need to be governed.

Privilegierter Zugriffslebenszyklus

Azure AD Privileged Identity Management (PIM) bietet zusätzliche Steuerungen für die Sicherung der Zugriffsrechte für Ressourcen in Azure AD, Azure und anderen Microsoft Online Services.Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. Zusätzlich zur mehrstufigen Authentifizierung und zum bedingten Zugriff stehen Ihnen mit den Funktionen für Just-In-Time-Zugriff und Warnungen für Rollenänderungen von Azure AD PIM umfassende Governancekontrollen zum Schützen der Ressourcen Ihres Unternehmens (Verzeichnis, Microsoft 365 und Azure-Ressourcenrollen) zur Verfügung.The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Microsoft 365, and Azure resource roles). Wie bei anderen Formen des Zugriffs können Organisationen mithilfe von Zugriffsüberprüfungen eine periodische erneute Zertifizierung für alle Benutzer mit Administratorrollen konfigurieren.As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

Governancefunktionen anderer Azure AD-FeaturesGovernance capabilities in other Azure AD features

Zusätzlich zu den obigen Features werden die folgenden weiteren Azure AD-Features häufig für Identity Governance-Szenarien genutzt:In addition to the features listed above, additional Azure AD features frequently used to provide identity governance scenarios include:

FunktionCapability SzenarioScenario FeatureFeature
Identitätslebenszyklus (Mitarbeiter)Identity lifecycle (employees) Administratoren können die Bereitstellung von Benutzerkonten aus Workday oder SuccessFactors über die HR-Cloudumgebung oder die lokale HR-Umgebung ermöglichen.Admins can enable user account provisioning from Workday or SuccessFactors cloud HR, or on-premises HR. Benutzerbereitstellung aus der HR-Cloudumgebung in Azure AD:cloud HR to Azure AD user provisioning
Identitätslebenszyklus (Gäste)Identity lifecycle (guests) Administratoren können das Self-Service-Onboarding für Gastbenutzer über einen anderen Azure AD-Mandanten, direkten Verbund, per Einmalkennung (One-Time Passcode, OTP) oder über Google-Konten ermöglichen.Admins can enable self-service guest user onboarding from another Azure AD tenant, direct federation, One Time Passcode (OTP) or Google accounts. Die Bereitstellung von Gastbenutzern wird gemäß den Lebenszyklusrichtlinien automatisch durchgeführt und aufgehoben.Guest users are automatically provisioned and deprovisioned subject to lifecycle policies. Berechtigungsverwaltung per B2BEntitlement management using B2B
BerechtigungsverwaltungEntitlement management Ressourcenbesitzer können Zugriffspakete erstellen, die Apps, Teams, Azure AD- und Microsoft 365-Gruppen sowie SharePoint Online-Websites enthalten.Resource owners can create access packages containing apps, Teams, Azure AD and Microsoft 365 groups, and SharePoint Online sites. BerechtigungsverwaltungEntitlement management
ZugriffsanforderungenAccess requests Endbenutzer können die Gruppenmitgliedschaft oder den Anwendungszugriff anfordern.End users can request group membership or application access. Endbenutzer, einschließlich der Gäste aus anderen Organisationen, können Zugriff auf Zugriffspakete anfordern.End users, including guests from other organizations, can request access to access packages. BerechtigungsverwaltungEntitlement management
WorkflowWorkflow Ressourcenbesitzer können die genehmigenden Personen und Eskalationsgenehmiger für Zugriffsanforderungen sowie die genehmigenden Personen für Rollenaktivierungsanforderungen definieren.Resource owners can define the approvers and escalation approvers for access requests and approvers for role activation requests. Berechtigungsverwaltung und PIMEntitlement management and PIM
Richtlinien- und RollenverwaltungPolicy and role management Der Administrator kann Richtlinien für bedingten Zugriff definieren, die für den Zugriff auf Anwendungen zur Laufzeit gelten.Admin can define conditional access policies for run-time access to applications. Ressourcenbesitzer können Richtlinien für den Benutzerzugriff über Zugriffspakete definieren.Resource owners can define policies for user's access via access packages. Richtlinien für bedingten Zugriff und BerechtigungsverwaltungConditional access and Entitlement management policies
ZugriffszertifizierungAccess certification Administratoren können die erneute Zertifizierung für wiederkehrende Zugriffe für folgende Komponenten ermöglichen: SaaS-Apps oder Cloudgruppenmitgliedschaften, Zuweisungen von Azure AD- oder Azure-Ressourcenrollen.Admins can enable recurring access re-certification for: SaaS apps or cloud group memberships, Azure AD or Azure Resource role assignments. Automatisches Entfernen des Ressourcenzugriffs, Blockieren des Gastzugriffs und Löschen von Gastkonten.Automatically remove resource access, block guest access and delete guest accounts. Zugriffsüberprüfungen, die auch unter PIM beschrieben wurdenAccess reviews, also surfaced in PIM
Erfüllung und BereitstellungFulfillment and provisioning Automatische Bereitstellung und Aufhebung der Bereitstellung in mit Azure AD verbundenen Apps, z. B. per SCIM und auf SharePoint Online-Websites.Automatic provisioning and deprovisioning into Azure AD connected apps, including via SCIM and into SharePoint Online sites. Benutzerbereitstellunguser provisioning
Berichterstellung und AnalyseReporting and analytics Administratoren können Überwachungsprotokolle der aktuellen Benutzerbereitstellung und Anmeldeaktivitäten abrufen.Admins can retrieve audit logs of recent user provisioning and sign on activity. Integration mit Azure Monitor und Zugriffserteilung über Zugriffspakete.Integration with Azure Monitor and 'who has access' via access packages. Azure AD-Berichte und ÜberwachungAzure AD reports and monitoring
Privilegierter ZugriffPrivileged access Just-In-Time- und geplanter Zugriff, Warnungen, Genehmigungsworkflows für Azure AD-Rollen (einschließlich benutzerdefinierte Rollen) und Azure-Ressourcenrollen.Just-in-time and scheduled access, alerting, approval workflows for Azure AD roles (including custom roles) and Azure Resource roles. Azure AD PIMAzure AD PIM
ÜberwachungAuditing Administratoren können über die Erstellung von Administratorkonten benachrichtigt werden.Admins can be alerted of creation of admin accounts. Azure AD PIM-WarnungenAzure AD PIM alerts

Erste SchritteGetting started

Öffnen Sie im Azure-Portal die Registerkarte „Erste Schritte“ von Identity Governance , um mit der Verwendung der Berechtigungsverwaltung, von Zugriffsüberprüfungen, Privileged Identity Management und Nutzungsbedingungen zu beginnen.Check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Identity Governance, Registerkarte „Erste Schritte“

Wenn Sie uns Feedback zu Identity Governance-Features geben möchten, klicken Sie im Azure-Portal auf Haben Sie Feedback für uns? , um Ihr Feedback zu senden.If you have any feedback about Identity Governance features, click Got feedback? in the Azure portal to submit your feedback. Das Team überprüft regelmäßig Ihr Feedback.The team regularly reviews your feedback.

Es gibt keine perfekte Lösung oder Empfehlung, die für alle Kunden geeignet ist. Die folgenden Konfigurationsleitfäden können jedoch als Anhaltspunkt für die Basisrichtlinien dienen, die Microsoft zum Verbessern der Sicherheit und Produktivität von Mitarbeitern empfiehlt.While there is no perfect solution or recommendation for every customer, the following configuration guides also provide the baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

Anhang: Die am wenigsten privilegierten Rollen für die Verwaltung von Identity Governance-FunktionenAppendix - least privileged roles for managing in Identity Governance features

Für die Ausführung administrativer Aufgaben in Identity Governance gilt die Verwendung der Rolle mit den geringsten Rechten als bewährte Methode.It's a best practice to use the least privileged role to perform administrative tasks in Identity Governance. Es wird empfohlen, Azure AD PIM zu verwenden, um nach Bedarf eine Rolle zum Ausführen dieser Aufgaben zu aktivieren.We recommend that you use Azure AD PIM to activate a role as needed to perform these tasks. Nachfolgend werden die Verzeichnisrollen mit den geringsten Rechten zum Konfigurieren von Identity Governance-Features aufgeführt:The following are the least privileged directory roles to configure Identity Governance features:

FunktionFeature Am wenigsten privilegierte RolleLeast privileged role
BerechtigungsverwaltungEntitlement management Benutzeradministrator (mit Ausnahme des Hinzufügens von SharePoint Online-Websites zu Katalogen, wofür die Rolle „Globaler Administrator“ erforderlich ist)User administrator (with the exception of adding SharePoint Online sites to catalogs, which requires Global administrator)
ZugriffsüberprüfungenAccess reviews Benutzeradministrator (mit Ausnahme von Zugriffsüberprüfungen für Azure- oder Azure AD-Rollen, wofür ein Administrator für privilegierte Rollen erforderlich ist)User administrator (with the exception of access reviews of Azure or Azure AD roles, which requires Privileged role administrator)
Privileged Identity ManagementPrivileged Identity Management Administrator für privilegierte RollenPrivileged role administrator
NutzungsbedingungenTerms of use Sicherheitsadministrator oder Administrator für bedingten ZugriffSecurity administrator or Conditional access administrator

Nächste SchritteNext steps