Steuern des Zugriffs durch Migrieren eines Organisationsrollenmodells zu Microsoft Entra ID Governance

Die rollenbasierte Zugriffssteuerung (RBAC) bietet ein Framework zum Klassifizieren von Benutzern und IT-Ressourcen. Dieses Framework ermöglicht es Ihnen, deren Beziehungen und die Zugriffsrechte, die gemäß dieser Klassifizierung geeignet sind, deutlich zu machen. Durch das Zuweisen eines Benutzerattributs, das die Position und die Projektzuweisungen eines Benutzers angibt, kann dem Benutzer beispielsweise Zugriff auf die Tools und Daten gewährt werden, die für dessen Auftrag und zum Mitwirken an einem bestimmten Projekt benötigt werden. Wenn der Benutzer einen anderen Auftrag und andere Projektzuweisungen annimmt, blockiert das Ändern der Attribute, die die Position und die Projekte des Benutzers angeben, automatisch den Zugriff auf die Ressourcen, die nur für die vorherigen Position des Benutzers erforderlich waren.

In Microsoft Entra ID können Sie Rollenmodelle auf verschiedene Arten verwenden, um den Zugriff im großen Stil über Identity Governance zu verwalten.

• Sie können Zugriffspakete verwenden, um Organisationsrollen in Ihrer Organisation darzustellen, z. B. „Vertriebsmitarbeiter“. Ein Zugriffspaket, das diese Organisationsrolle darstellt, enthält alle Zugriffsrechte, die ein Vertriebsmitarbeiter in der Regel benötigt, und zwar für mehrere Ressourcen.
• Anwendungen können ihre eigenen Rollen definieren. Wenn Sie beispielsweise über eine Vertriebsanwendung verfügen und diese Anwendung die App-Rolle „Vertriebsmitarbeiter“ enthält, können Sie diese Rolle aus dem App-Manifest in ein Zugriffspaket übernehmen. Anwendungen können auch Sicherheitsgruppen verwenden, z. B. in Szenarien, in denen Benutzer*innen mehrere anwendungsspezifische Rollen gleichzeitig innehaben könnten.
• Sie können Rollen zum Delegieren des Administratorzugriffs verwenden. Wenn Sie über einen Katalog für alle Zugriffspakete verfügen, die vom Vertrieb benötigt werden, können Sie einer Person die Verantwortung für diesen Katalog übertragen, indem Sie ihr eine katalogspezifische Rolle zuweisen.

In diesem Artikel wird erläutert, wie Sie Organisationsrollen mithilfe von Zugriffspaketen für die Berechtigungsverwaltung modellieren, um Ihre Rollendefinitionen zu Microsoft Entra ID zu migrieren und den Zugriff zu erzwingen.

Migrieren eines Organisationsrollenmodells

Die folgende Tabelle veranschaulicht, wie Konzepte in organisatorischen Rollendefinitionen, mit denen Sie möglicherweise in anderen Produkten vertraut sind, den Funktionen in der Berechtigungsverwaltung entsprechen.

Konzept in der Organisationsrollenmodellierung	Entsprechung in der Berechtigungsverwaltung
Delegierte Rollenverwaltung	Delegieren an Katalogersteller
Sammlung von Berechtigungen für eine oder mehrere Anwendungen	Erstellen eines Zugriffspakets mit Ressourcenrollen
Einschränken der Dauer des Zugriffs, den eine Rolle bereitstellt	Festlegen eines Ablaufdatums für die Einstellungen für den Richtlinienlebenszyklus eines Zugriffspakets
Individuelle Zuweisung zu einer Rolle	Erstellen einer direkten Zuweisung zu einem Zugriffspaket
Zuweisen von Rollen zu Benutzern basierend auf Eigenschaften (z. B. ihrer Abteilung)	Einrichten der automatischen Zuweisung zu einem Zugriffspaket
Benutzer können eine Rolle anfordern und für eine Rolle genehmigt werden	Konfigurieren von Richtlinieneinstellungen für Personen, die ein Zugriffspaket anfordern können
Neuzertifizierung des Zugriffs von Rollenmitgliedern	Festlegen von Einstellungen für wiederkehrende Zugriffsüberprüfungen in einer Zugriffspaketrichtlinie
Aufgabentrennung zwischen Rollen	Definieren von zwei oder mehr Zugriffspaketen als inkompatibel

Beispielsweise kann eine Organisation über ein Organisationsrollenmodell ähnlich der folgenden Tabelle verfügen.

Rollenname	Berechtigungen, die die Rolle bereitstellt	Automatische Zuweisung zur Rolle	Anforderungsbasierte Zuweisung zur Rolle	Überprüfung der Aufgabentrennung
Salesperson	Mitglied des Sales-Teams	Ja	Nein	Keine
Sales-Lösungsmanager	Die Berechtigungen der App-Rollen Vertriebsmitarbeiter und Lösungsmanager in der Sales-Anwendung	Keine	Ein Vertriebsmitarbeiter kann anfordern, erfordert die Genehmigung des Managers und eine vierteljährliche Überprüfung	Anforderer kann kein Sales-Kontomanager sein
Sales-Kontomanager	Die Berechtigungen der App-Rollen Vertriebsmitarbeiter und Kontomanager in der Sales-Anwendung	Keine	Ein Vertriebsmitarbeiter kann anfordern, erfordert die Genehmigung des Managers und eine vierteljährliche Überprüfung	Anforderung darf kein Sales-Lösungsmanager sein
Sales-Support	Dieselben Berechtigungen wie ein Vertriebsmitarbeiter	Keine	Ein Mitarbeiter, der kein Vertriebsmitarbeiter ist, kann anfordern, erfordert die Genehmigung des Managers und eine vierteljährliche Überprüfung	Anforderer kann kein Vertriebsmitarbeiter sein

Dies könnte in Microsoft Entra ID Governance als Zugriffspaketkatalog mit vier Zugriffspaketen dargestellt werden.

Zugriffspaket	Ressourcenrollen	Richtlinien	Inkompatible Zugriffspakete
Salesperson	Mitglied des Sales-Teams	Automatische Zuweisung
Sales-Lösungsmanager	App-Rolle Lösungsmanager in der Sales-Anwendung	Anforderungsbasiert	Sales-Kontomanager
Sales-Kontomanager	App-Rolle Kontomanager in der Sales-Anwendung	Anforderungsbasiert	Sales-Lösungsmanager
Sales-Support	Mitglied des Sales-Teams	Anforderungsbasiert	Salesperson

In den nächsten Abschnitten wird der Prozess für die Migration beschrieben, wobei die Microsoft Entra ID- und Microsoft Entra ID Governance-Artefakte erstellt werden, um den entsprechenden Zugriff eines Organisationsrollenmodells zu implementieren.

Verbinden von Apps, auf deren Berechtigungen in den Organisationsrollen verwiesen wird, mit Microsoft Entra ID

Wenn Ihre Organisationsrollen verwendet werden, um Berechtigungen zuzuweisen, die den Zugriff auf SaaS-Apps, die nicht von Microsoft stammen, auf lokale Apps oder auf Ihre eigenen Cloud-Apps steuern, müssen Sie Ihre Anwendungen mit Microsoft Entra ID verbinden.

Damit ein Zugriffspaket, das eine Organisationsrolle darstellt, auf die Rollen einer Anwendung als die in die Rolle aufzunehmenden Berechtigungen verweisen kann, sollten Sie für eine Anwendung, die über mehrere Rollen verfügt und moderne Standards wie SCIM unterstützt, die Anwendung in Microsoft Entra ID integrieren und sicherstellen, dass die Rollen der Anwendung im Anwendungsmanifest aufgeführt sind.

Auch wenn die Anwendung nur über eine einzelne Rolle verfügt, sollten Sie sie in Microsoft Entra ID integrieren. Für Anwendungen, die SCIM nicht unterstützen, kann Microsoft Entra ID Benutzer*innen in das vorhandene Verzeichnis oder die SQL-Datenbank einer Anwendung schreiben oder AD-Benutzer*innen zu einer AD-Gruppe hinzufügen.

Auffüllen des Microsoft Entra-Schemas, das von Apps und für Benutzerbereichsregeln in den Organisationsrollen verwendet wird

Wenn Ihre Rollendefinitionen Anweisungen in der Form „Alle Benutzer mit diesen Attributwerten werden der Rolle automatisch zugewiesen“ oder „Benutzer mit diesen Attributwerten dürfen anfordern“ enthalten, müssen Sie sicherstellen, dass diese Attribute in Microsoft Entra ID vorhanden sind.

Sie können das Microsoft Entra-Schema erweitern und diese Attribute dann entweder aus dem lokalen AD, über Microsoft Entra Connect oder über ein Personalsystem wie Workday oder SuccessFactors auffüllen.

Erstellen von Katalogen für die Delegierung

Wenn die fortlaufende Verwaltung von Rollen delegiert wird, können Sie die Verwaltung von Zugriffspaketen delegieren, indem Sie für jeden Teil der Organisation, an den Delegierungen erfolgen, einen Katalog erstellen.

Wenn Sie mehrere Kataloge erstellen müssen, können Sie ein PowerShell-Skript verwenden, um die einzelnen Kataloge zu erstellen.

Wenn Sie nicht planen, die Verwaltung der Zugriffspakete zu delegieren, können Sie die Zugriffspakete in einem einzelnen Katalog aufbewahren.

Hinzufügen von Ressourcen zu den Katalogen

Nachdem Sie nun die Kataloge identifiziert haben, fügen Sie den Katalogen die Anwendungen, Gruppen oder Standorte hinzu, die in den Zugriffspaketen enthalten sein werden, die die Organisationsrollen repräsentieren.

Wenn Sie über viele Ressourcen verfügen, können Sie ein PowerShell-Skript verwenden, um jede Ressource einem Katalog hinzuzufügen.

Erstellen von Zugriffspaketen für Organisationsrollendefinitionen

Jede Organisationsrollendefinition kann mit einem Zugriffspaket in diesem Katalog dargestellt werden.

Sie können ein PowerShell-Skript verwenden, um ein Zugriffspaket in einem Katalog zu erstellen.

Nachdem Sie ein Zugriffspaket erstellt haben, verknüpfen Sie mindestens eine der Rollen der Ressourcen im Katalog mit dem Zugriffspaket. Dies stellt die Berechtigungen der Organisationsrolle dar.

Darüber hinaus erstellen Sie eine Richtlinie für die direkte Zuweisung als Teil dieses Zugriffspakets, die verwendet werden kann, um die Benutzer nachzuverfolgen, die bereits über einzelne Organisationsrollenzuweisungen verfügen.

Erstellen von Zugriffspaketzuweisungen für vorhandene einzelne Organisationsrollenzuweisungen

Wenn einige Ihrer Benutzer bereits über Organisationsrollenmitgliedschaften verfügen, die sie nicht über die automatische Zuweisung erhalten würden, sollten Sie für diese Benutzer direkte Zuweisungen zu den entsprechenden Zugriffspaketen erstellen.

Wenn Sie viele Benutzer haben, die Zuweisungen benötigen, können Sie ein PowerShell-Skript verwenden, um jeden Benutzer einem Zugriffspaket zuzuweisen. Dadurch würden die Benutzer mit der Richtlinie für die direkte Zuweisung verknüpft.

Hinzufügen von Richtlinien zu diesen Zugriffspaketen für die automatische Zuweisung

Wenn Ihre Organisationsrollendefinition eine Regel enthält, die auf den Attributen des Benutzers basiert, um den Zugriff basierend auf diesen Attributen automatisch zuzuweisen und zu entfernen, können Sie dies mithilfe einer automatischen Zuweisungsrichtlinie darstellen. Ein Zugriffspaket kann höchstens über eine Richtlinie für die automatische Zuweisung verfügen.

Wenn Sie über viele Rollendefinitionen mit jeweils einer Rollendefinition verfügen, können Sie ein PowerShell-Skript verwenden, um in jedem Zugriffspaket die einzelnen automatischen Zuweisungsrichtlinien zu erstellen.

Festlegen von Zugriffspaketen als inkompatibel für die Aufgabentrennung

Wenn Sie über Einschränkungen für die Aufgabentrennung verfügen, die einen Benutzer daran hindern, eine Organisationsrolle zu übernehmen, wenn er bereits über eine andere verfügt, können Sie verhindern, dass der Benutzer Zugriff in der Berechtigungsverwaltung anfordert, indem Sie diese Zugriffspaketkombinationen als inkompatibel markieren.

Für jedes Zugriffspaket, das als inkompatibel mit einem anderen markiert werden soll, können Sie ein PowerShell-Skript verwenden, um Zugriffspakete als inkompatibel zu konfigurieren.

Hinzufügen von Richtlinien für den Zugriff auf Pakete, die von Benutzern angefordert werden dürfen

Wenn Sie Benutzern, die noch keine Organisationsrolle innehaben, erlauben möchten, eine Rolle anzufordern und genehmigt zu bekommen, können Sie die Berechtigungsverwaltung auch so konfigurieren, dass Benutzer ein Zugangspaket anfordern können. Sie können einem Zugriffspaket zusätzliche Richtlinien hinzufügen und in jeder Richtlinie angeben, welche Benutzer anfordern können und wer genehmigen muss.

Konfigurieren von Zugriffsüberprüfungen in Richtlinien für die Zugriffspaketzuweisung

Wenn Ihre Organisationsrollen eine regelmäßige Überprüfung ihrer Mitgliedschaft erfordern, können Sie wiederkehrende Zugriffsüberprüfungen in den anforderungsbasierten und direkten Zuweisungsrichtlinien konfigurieren.

Nächste Schritte

• Was ist Microsoft Entra-Berechtigungsverwaltung?
• Definieren Sie Governancerichtlinien
• Integrieren einer Anwendung in Microsoft Entra ID
• Stellen Sie Governancerichtlinien bereit