Verwalten des Gastzugriffs mit Azure AD-ZugriffsüberprüfungenManage guest access with Azure AD access reviews

Mit Azure Active Directory (Azure AD) können Sie problemlos die Zusammenarbeit über Organisationsgrenzen hinweg ermöglichen, indem Sie das Feature Azure AD B2B verwenden.With Azure Active Directory (Azure AD), you can easily enable collaboration across organizational boundaries by using the Azure AD B2B feature. Gastbenutzer von anderen Mandanten können von Administratoren oder anderen Benutzern eingeladen werden.Guest users from other tenants can be invited by administrators or by other users. Dies gilt auch für soziale Identitäten wie z.B. Microsoft-Konten.This capability also applies to social identities such as Microsoft accounts.

Sie können auch auf einfache Weise sicherstellen, dass Gastbenutzer über entsprechenden Zugriff verfügen.You also can easily ensure that guest users have appropriate access. Hierzu können Sie die Gäste selbst oder einen Entscheidungsträger bitten, an einer Zugriffsüberprüfung teilzunehmen und den Zugriff des Gasts erneut zu zertifizieren (oder zu „bescheinigen“).You can ask the guests themselves or a decision maker to participate in an access review and recertify (or attest) to the guests' access. Basierend auf Vorschlägen von Azure AD können die Prüfer die Notwendigkeit des weiteren Zugriffs der einzelnen Benutzer abwägen.The reviewers can give their input on each user's need for continued access, based on suggestions from Azure AD. Nach Abschluss einer Zugriffsüberprüfung können Sie dann Änderungen vornehmen und Zugriffsrechte für Gäste entfernen, die diese nicht mehr benötigen.When an access review is finished, you can then make changes and remove access for guests who no longer need it.

Hinweis

Dieses Dokument beschäftigt sich mit der Überprüfung des Zugriffs von Gastbenutzern.This document focuses on reviewing guest users' access. Wenn Sie den Zugriff aller Benutzer überprüfen möchten (und nicht nur den von Gästen), lesen Sie Verwalten des Benutzerzugriffs mit Azure AD-Zugriffsüberprüfungen.If you want to review all users' access, not just guests, see Manage user access with access reviews. Wenn Sie die Benutzermitgliedschaft in Administratorrollen wie „Globaler Administrator“ überprüfen möchten, finden Sie entsprechende Informationen unter Starten einer Zugriffsüberprüfung in Azure AD Privileged Identity Management.If you want to review users' membership in administrative roles, such as global administrator, see Start an access review in Azure AD Privileged Identity Management.

VoraussetzungenPrerequisites

  • Azure AD Premium P2Azure AD Premium P2

Weitere Informationen finden Sie unter Welche Benutzer benötigen Lizenzen?For more information, see Which users must have licenses?.

Erstellen und Durchführen einer Zugriffsüberprüfung für GästeCreate and perform an access review for guests

Navigieren Sie zuerst als globaler Administrator oder Benutzeradministrator zur Seite „Identity Governance“, um sicherzustellen, dass Ihre Organisation Zugriffsüberprüfungen verwenden kann.First, as a global administrator or user administrator, go to the Identity Governance page to ensure that access reviews is ready for your organization.

Azure AD ermöglicht mehrere Szenarien für die Überprüfung von Gastbenutzern.Azure AD enables several scenarios for reviewing guest users.

Sie können Folgendes überprüfen:You can review either:

  • Eine Gruppe in Azure AD mit mindestens einem Gast als MitgliedA group in Azure AD that has one or more guests as members.
  • Eine mit Azure AD verbundene Anwendung, der mindestens ein Gastbenutzer zugewiesen istAn application connected to Azure AD that has one or more guest users assigned to it.

Sie können dann entscheiden, ob Sie jeden Gast bitten, seinen eigenen Zugriff zu überprüfen, oder ob Sie einen oder mehrere Benutzer bitten, den Zugriff von jedem Gast zu überprüfen.You can then decide whether to ask each guest to review their own access or to ask one or more users to review every guest's access.

Diese Szenarien werden in den folgenden Abschnitten behandelt.These scenarios are covered in the following sections.

Auffordern von Gästen zur Überprüfung ihrer eigenen Mitgliedschaft in einer GruppeAsk guests to review their own membership in a group

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die eingeladen und einer Gruppe hinzugefügt wurden, weiterhin Zugriff benötigen.You can use access reviews to ensure that users who were invited and added to a group continue to need access. Sie können Gäste ganz einfach darum bitten, ihre eigene Mitgliedschaft in dieser Gruppe zu überprüfen.You can easily ask guests to review their own membership in that group.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst und die Mitglieder sich selbst überprüfen.To create an access review for the group, select the review to include guest user members only and that members review themselves. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Create an access review of groups or applications.

  2. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen.Ask each guest to review their own membership. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Azure AD mit einem Link zu einer Zugriffsüberprüfung.By default, each guest who accepted an invitation receives an email from Azure AD with a link to the access review. Azure AD stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.Azure AD has instructions for guests on how to review access to groups or applications.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden.After the reviewers give input, stop the access review and apply the changes. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Complete an access review of groups or applications.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Benutzer entfernen, die nicht reagiert haben.In addition to those users who denied their own need for continued access, you can also remove users who didn't respond. Benutzer, die nicht reagieren, erhalten möglicherweise keine E-Mails mehr.Non-responding users potentially no longer receive email.

  5. Wenn die Gruppe nicht für die Zugriffsverwaltung verwendet wird, können Sie auch Benutzer entfernen, die nicht ausgewählt wurden, an der Überprüfung teilzunehmen, weil sie ihre Einladung nicht angenommen haben.If the group isn't used for access management, you also can remove users who weren't selected to participate in the review because they didn't accept their invitation. Ein solches Versäumnis kann darauf hindeuten, dass die E-Mail-Adresse des eingeladenen Benutzers einen Tippfehler enthielt.Not accepting might indicate that the invited user's email address had a typo. Wenn eine Gruppe als Verteilerliste verwendet wird, wurden einige Gastbenutzer vermutlich nicht für eine Teilnahme ausgewählt, weil es sich bei ihnen um Kontaktobjekte handelt.If a group is used as a distribution list, perhaps some guest users weren't selected to participate because they're contact objects.

Auffordern eines Sponsors zum Überprüfen der Mitgliedschaft eines Gasts in einer GruppeAsk a sponsor to review a guest's membership in a group

Sie können einen Sponsor (z.B. den Besitzer einer Gruppe) bitten, die Notwendigkeit einer weitergehenden Mitgliedschaft eines Gasts in einer Gruppe zu überprüfen.You can ask a sponsor, such as the owner of a group, to review a guest's need for continued membership in a group.

  1. Um eine Zugriffsüberprüfung für die Gruppe zu erstellen, geben Sie an, dass die Überprüfung nur Gastbenutzermitglieder umfasst.To create an access review for the group, select the review to include guest user members only. Geben Sie dann mindestens einen Prüfer an.Then specify one or more reviewers. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Create an access review of groups or applications.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben.Ask the reviewers to give input. Standardmäßig erhalten alle Prüfer eine E-Mail von Azure AD mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.By default, they each receive an email from Azure AD with a link to the access panel, where they review access to groups or applications.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden.After the reviewers give input, stop the access review and apply the changes. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Complete an access review of groups or applications.

Auffordern von Gästen zum Überprüfen ihres eigenen Zugriffs auf eine AnwendungAsk guests to review their own access to an application

Mithilfe von Zugriffsüberprüfungen können Sie sicherstellen, dass Benutzer, die für eine bestimmte Anwendung eingeladen wurden, weiterhin Zugriff benötigen.You can use access reviews to ensure that users who were invited for a particular application continue to need access. Sie können die Gäste ganz einfach bitten, ihren eigenen Zugriffsbedarf selbst zu überprüfen.You can easily ask the guests themselves to review their own need for access.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst und die Benutzer ihren eigenen Zugriff überprüfen.To create an access review for the application, select the review to include guests only and that users review their own access. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Create an access review of groups or applications.

  2. Bitten Sie Gäste, ihren eigenen Zugriff auf die Anwendung zu überprüfen.Ask each guest to review their own access to the application. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Azure AD.By default, each guest who accepted an invitation receives an email from Azure AD. Diese E-Mail enthält einen Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation.That email has a link to the access review in your organization's access panel. Azure AD stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.Azure AD has instructions for guests on how to review access to groups or applications.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden.After the reviewers give input, stop the access review and apply the changes. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Complete an access review of groups or applications.

  4. Zusätzlich zu den Benutzern, die angegeben haben, dass sie keinen weiteren Zugriff benötigen, können Sie auch Gastbenutzer entfernen, die nicht reagiert haben.In addition to users who denied their own need for continued access, you also can remove guest users who didn't respond. Benutzer, die nicht reagieren, erhalten möglicherweise keine E-Mails mehr.Non-responding users potentially no longer receive email. Sie können auch Gastbenutzer entfernen, die nicht für eine Teilnahme ausgewählt wurden, insbesondere, wenn diese in letzter Zeit nicht eingeladen wurden.You also can remove guest users who weren't selected to participate, especially if they weren't recently invited. Diese Benutzer haben ihre Einladung nicht angenommen und hatten daher keinen Zugriff auf die Anwendung.Those users didn't accept their invitation and so didn't have access to the application.

Auffordern eines Sponsors zum Überprüfen des Zugriffs eines Gasts auf eine AnwendungAsk a sponsor to review a guest's access to an application

Sie können einen Sponsor – z.B. den Besitzer einer Anwendung – bitten, den Bedarf eines Gasts für den weiteren Zugriff auf die Anwendung zu überprüfen.You can ask a sponsor, such as the owner of an application, to review guest's need for continued access to the application.

  1. Um eine Zugriffsüberprüfung für die Anwendung zu erstellen, geben Sie an, dass die Überprüfung nur Gäste umfasst.To create an access review for the application, select the review to include guests only. Geben Sie dann mindestens einen Benutzer als Prüfer an.Then specify one or more users as reviewers. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Create an access review of groups or applications.

  2. Bitten Sie die Prüfer, ihre Einschätzung abzugeben.Ask the reviewers to give input. Standardmäßig erhalten alle Prüfer eine E-Mail von Azure AD mit einem Link zu dem Zugriffsbereich, in dem sie den Zugriff auf Gruppen oder Anwendungen überprüfen.By default, they each receive an email from Azure AD with a link to the access panel, where they review access to groups or applications.

  3. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden und die Änderungen anwenden.After the reviewers give input, stop the access review and apply the changes. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Complete an access review of groups or applications.

Auffordern von Gästen zur Überprüfung ihres allgemeinen ZugriffsbedarfsAsk guests to review their need for access, in general

In einigen Organisationen sind Gästen ihre Gruppenmitgliedschaften möglicherweise nicht bekannt.In some organizations, guests might not be aware of their group memberships.

Hinweis

In früheren Versionen des Azure-Portals war ein Administratorzugriff durch Benutzer mit dem UserType-Wert „Guest“ nicht zulässig.Earlier versions of the Azure portal didn't permit administrative access by users with the UserType of Guest. In einigen Fällen hat ein Administrator in Ihrem Verzeichnis möglicherweise den UserType-Wert eines Gasts mithilfe von PowerShell in „Member“ geändert.In some cases, an administrator in your directory might have changed a guest's UserType value to Member by using PowerShell. Wenn diese Änderung zuvor in Ihrem Verzeichnis vorgenommen wurde, enthält die vorherige Abfrage möglicherweise nicht alle Gastbenutzer, die in der Vergangenheit über Administratorrechte verfügten.If this change previously occurred in your directory, the previous query might not include all guest users who historically had administrative access rights. In diesem Fall müssen Sie entweder den UserType-Wert des Gasts ändern oder den Gast manuell in die Gruppenmitgliedschaft aufnehmen.In this case, you need to either change the guest's UserType or manually include the guest in the group membership.

  1. Erstellen Sie eine Sicherheitsgruppe mit den Gästen als Mitgliedern in Azure AD, wenn noch keine geeignete Gruppe vorhanden ist.Create a security group in Azure AD with the guests as members, if a suitable group doesn't already exist. Sie können z.B. eine Gruppe mit einer manuell verwalteten Mitgliedschaft von Gästen erstellen.For example, you can create a group with a manually maintained membership of guests. Oder Sie können eine dynamische Gruppe mit einem Namen wie „Gäste von Contoso“ für Benutzer im Contoso-Mandanten erstellen, deren UserType-Attributwert „Guest“ lautet.Or, you can create a dynamic group with a name such as "Guests of Contoso" for users in the Contoso tenant who have the UserType attribute value of Guest. Stellen Sie aus Gründen der Effizienz sicher, dass die Gruppe vorwiegend aus Gästen besteht. Wählen Sie keine Gruppe mit Mitgliedsbenutzern aus, da Mitgliedsbenutzer nicht überprüft werden müssen.For efficiency, ensure the group is predominately guests - don't select a group that has member users, as member users don't need to be reviewed. Beachten Sie außerdem, dass einem Gastbenutzer, der ein Mitglied der Gruppe ist, die anderen Mitglieder der Gruppe angezeigt werden.Also, keep in mind that a guest user who is a member of the group can see the other members of the group.

  2. Um eine Zugriffsüberprüfung für diese Gruppe zu erstellen, geben Sie an, dass die Prüfer selbst Mitglieder sind.To create an access review for that group, select the reviewers to be the members themselves. Weitere Informationen finden Sie unter Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Create an access review of groups or applications.

  3. Bitten Sie jeden Gast, seine eigene Mitgliedschaft zu überprüfen.Ask each guest to review their own membership. Standardmäßig erhält jeder Gast, der eine Einladung angenommen hat, eine E-Mail von Azure AD mit einem Link zu der Zugriffsüberprüfung im Zugriffsbereich Ihrer Organisation.By default, each guest who accepted an invitation receives an email from Azure AD with a link to the access review in your organization's access panel. Azure AD stellt Anweisungen für Gastbenutzer bereit, mit denen sie den Zugriff auf Gruppen oder Anwendungen überprüfen können.Azure AD has instructions for guests on how to review access to groups or applications. Gäste, die ihre Einladung nicht angenommen haben, werden in den Überprüfungsergebnissen als „nicht benachrichtigt“ angezeigt.Those guests who didn't accept their invite will appear in the review results as "Not Notified".

  4. Nachdem die Prüfer ihre Einschätzung abgegeben haben, können Sie die Zugriffsüberprüfung beenden.After the reviewers give input, stop the access review. Weitere Informationen finden Sie unter Abschließen einer Zugriffsüberprüfung von Gruppen oder Anwendungen.For more information, see Complete an access review of groups or applications.

  5. Entfernen Sie den Gastzugriff für Gäste, die abgelehnt wurden, die Überprüfung nicht abgeschlossen haben oder ihre Einladung zuvor nicht angenommen haben.Remove guest access for guests who were denied, didn't complete the review, or didn't previously accept their invitation. Wenn einige der Gäste Kontakte sind, die für die Teilnahme an der Überprüfung ausgewählt wurden oder die eine Einladung zuvor nicht angenommen haben, können Sie deren Konten über das Azure-Portal oder mit PowerShell deaktivieren.If some of the guests are contacts who were selected to participate in the review or they didn't previously accept an invitation, you can disable their accounts by using the Azure portal or PowerShell. Wenn ein Gast keinen Zugriff mehr benötigt und kein Kontakt ist, können Sie das zugehörige Benutzerobjekt aus dem Verzeichnis entfernen, indem Sie das Gastbenutzerobjekt über das Azure-Portal oder mit PowerShell löschen.If the guest no longer needs access and isn't a contact, you can remove their user object from your directory by using the Azure portal or PowerShell to delete the guest user object.

Nächste SchritteNext steps

Erstellen einer Zugriffsüberprüfung von Gruppen oder AnwendungenCreate an access review of groups or applications