Freigeben über

Tutorial: Verwalten des Zugriffs auf Ressourcen in der Berechtigungsverwaltung

Das Verwalten des Zugriffs auf alle Ressourcen, die von Mitarbeitern benötigt werden, etwa Gruppen, Anwendungen und Websites, ist eine wichtige Aufgabe für Organisationen. Sie sollten Mitarbeitern das richtige Maß an Zugriff gewähren, das sie zur produktiven Arbeit benötigen, und Sie sollten den Zugriff entfernen, wenn er nicht mehr benötigt wird.

In diesem Tutorial arbeiten Sie als IT-Administrator für die Woodgrove Bank. Sie wurden gebeten, ein Paket von Ressourcen für eine Marketingkampagne zu erstellen, das interne Benutzer für Anforderungen per Self-Service verwenden können. Anforderungen bedürfen keiner Genehmigung, und der Zugriff eines Benutzer läuft nach 30 Tagen ab. Für dieses Tutorial gehören die Ressourcen der Marketingkampagne nur zu einer einzelnen Gruppe, sie könnten aber auch einer Sammlung von Gruppen, Anwendungen oder SharePoint Online-Websites angehören.

Diagramm, das die Szenarioübersicht zeigt.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines Zugriffspakets mit einer Gruppe als Ressource
  • Zulassen von Zugriffsanforderungen durch Benutzer in Ihrem Verzeichnis
  • Vorgehen, wie ein interner Benutzer das Zugriffspaket anfordern kann

Für eine schrittweise Demonstration des Bereitstellungsprozesses der Microsoft Entra-Berechtigungsverwaltung, einschließlich der Erstellung Ihres ersten Zugriffspakets, sehen Sie sich folgendes Video an:

Die verbleibenden Abschnitte dieses Artikels verwenden das Microsoft Entra Admin Center, um die Berechtigungsverwaltung zu konfigurieren und zu veranschaulichen.

Voraussetzungen

Um die Berechtigungsverwaltung verwenden zu können, benötigen Sie eine der folgenden Lizenzen:

  • Microsoft Entra ID P2 oder Microsoft Entra ID Governance
  • Enterprise Mobility + Security (EMS) E5-Lizenz

Weitere Informationen finden Sie unter Lizenzanforderungen.

Schritt 1: Einrichten von Benutzern und Gruppen

Ein Ressourcenverzeichnis hat mindestens eine Ressource, die freigegeben (geteilt) werden soll. In diesem Schritt erstellen Sie eine Gruppe namens Marketingressourcen im Woodgrove Bank-Verzeichnis, die die Zielressource für die Berechtigungsverwaltung darstellt. Außerdem richten Sie einen internen Anforderer ein.

Diagramm, das die Benutzer und Gruppen für dieses Lernprogramm zeigt.

  1. Melden Sie sich als mindestens ein Identitätsgovernance-Administrator im Microsoft Entra Admin Center an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspakete.

  3. Erstellen Sie zwei Benutzer. Verwenden Sie die folgenden Namen oder andere Namen.

    Name Verzeichnisrolle
    Administrator1 Mindestens ein Identity Governance-Administrator. Dieser Benutzer kann der Benutzer sein, mit dem Sie derzeit angemeldet sind.
    Anforderer1 Benutzer

  4. Erstellen Sie eine Microsoft Entra-Sicherheitsgruppe namens "Marketingressourcen " mit dem Mitgliedschaftstyp "Zugewiesen". Diese Gruppe ist die Zielressource für die Berechtigungsverwaltung. Die Gruppe darf zu Beginn keine Mitglieder haben.

Schritt 2: Erstellen eines Zugriffspakets

Ein Zugriffspaket ist ein Bündel von Ressourcen, die ein Team oder Projekt benötigt und mit Richtlinien gesteuert wird. Access-Pakete werden in Containern definiert, die als Kataloge bezeichnet werden. In diesem Schritt erstellen Sie ein Zugriffspaket für Marketingkampagnen im Katalog "Allgemein ".

Diagramm, das die Beziehung zwischen den Access-Paketelementen beschreibt.

  1. Melden Sie sich als mindestens ein Identitätsgovernance-Administrator im Microsoft Entra Admin Center an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wenn Sie Zugriff verweigert sehen, stellen Sie sicher, dass eine Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz in Ihrem Verzeichnis vorhanden ist, wenn Sie das Zugriffspaket öffnen.

  5. Wählen Sie "Neues Zugriffspaket" aus.

    Screenshots, die zeigen, wie Sie ein Zugriffspaket erstellen.

  6. Geben Sie auf der Registerkarte "Grundlagen" den Namen des Zugriffspakets "Marketingkampagne" und die Beschreibung "Zugriff auf Ressourcen für die Kampagne" ein.

  7. Lassen Sie die Dropdownliste "Katalog" auf "Allgemein" festgelegt.

    Screenshot, der zeigt, wie Sie die Grundlagen der Zugriffsrichtlinie festlegen.

  8. Wählen Sie "Weiter" aus, um die Registerkarte " Ressourcenrollen " zu öffnen. Wählen Sie auf dieser Registerkarte die Ressourcen und die Ressourcenrolle aus, die in das Zugriffspaket eingeschlossen werden sollen. Sie können den Zugriff auf Gruppen und Teams, Anwendungen und SharePoint Online-Websites verwalten. Wählen Sie in diesem Szenario "Gruppen" und "Teams" aus.

    Screenshot, der zeigt, wie Gruppen und Teams ausgewählt werden.

  9. Suchen Sie im Bereich "Gruppen auswählen " die Gruppe " Marketingressourcen ", die Sie zuvor erstellt haben, und wählen Sie sie aus.

    Standardmäßig werden Gruppen im Katalog „Allgemein“ angezeigt. Wenn Sie eine Gruppe außerhalb des Katalogs "Allgemein" auswählen, die Sie sehen können, wenn Sie das Kontrollkästchen "Alle anzeigen " aktivieren, wird sie dem Katalog "Allgemein" hinzugefügt.

    Screenshot, der zeigt, wie die Gruppen ausgewählt werden

  10. Wählen Sie "Auswählen" aus, um die Gruppe zur Liste hinzuzufügen.

  11. Wählen Sie in der Dropdownliste "Rolle" " Mitglied" aus. Wenn Sie die Rolle „Besitzer“ auswählen, können Benutzer andere Mitglieder oder Besitzer hinzufügen oder entfernen. Weitere Informationen zum Auswählen der entsprechenden Rollen für eine Ressource finden Sie unter Hinzufügen von Ressourcenrollen.

    Der Screenshot zeigt, wie man die Mitgliedsrolle auswählt.

    Wichtig

    Die rollenzuweisbaren Gruppen, die einem Zugriffspaket hinzugefügt wurden, werden mit dem Untertyp Zuweisbar zu Rollen angezeigt. Weitere Informationen finden Sie im Artikel Erstellen einer rollenzuweisbaren Gruppe. Beachten Sie Folgendes: Wenn eine Gruppe, der Rollen zugeordnet werden können, in einem Zugriffspaketkatalog vorhanden ist, können Administratoren, die Verwaltungsaufgaben in der Berechtigungsverwaltung ausführen können einschließlich Benutzer mit der Rolle „Globaler Administrator, Benutzer mit der Rolle Identity Governance-Administrator und Katalogbesitzer des Katalogs, die Zugriffspakete im Katalog steuern. So können sie auswählen, wer zu diesen Gruppen hinzugefügt werden kann. Wenn eine Gruppe, der Rollen zugewiesen werden können und die Sie hinzufügen möchten, nicht angezeigt wird, oder wenn Sie eine solche Gruppe nicht hinzufügen können, stellen Sie sicher, dass Sie über die erforderliche Microsoft Entra-Rolle und -Berechtigungsverwaltungsrolle zum Ausführen dieses Vorgangs verfügen. Möglicherweise müssen Sie jemanden mit den erforderlichen Rollen beauftragen, die Ressource Ihrem Katalog hinzuzufügen. Weitere Informationen finden Sie unter "Erforderliche Rollen", um einem Katalog Ressourcen hinzuzufügen.

    Hinweis

    Wenn Sie dynamische Mitgliedschaftsgruppen verwenden, werden neben dem Besitzer keine anderen Rollen zur Verfügung stehen. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Screenshots, die eine dynamische Gruppe verfügbarer Rollen zeigen.

  12. Wählen Sie "Weiter" aus, um die Registerkarte "Anforderungen " zu öffnen. Auf der Registerkarte "Anforderungen" erstellen Sie eine Anforderungsrichtlinie. Eine Richtlinie definiert die Regeln oder Leitplanken für den Zugriff auf ein Zugriffspaket. Sie erstellen eine Richtlinie, die es einem bestimmten Benutzer im Ressourcenverzeichnis ermöglicht, dieses Zugriffspaket anzufordern.

  13. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können " die Option "Für Benutzer in Ihrem Verzeichnis" aus, und wählen Sie dann " Bestimmte Benutzer und Gruppen" aus.

    Screenshot der Registerkarte

  14. Wählen Sie "Benutzer und Gruppen hinzufügen" aus.

  15. Wählen Sie im Bereich "Benutzer und Gruppen auswählen" den zuvor erstellten Benutzer "Requestor1 " aus.

    Screenshot der ausgewählten Benutzer und Gruppen.

  16. Wählen Sie "Auswählen" aus, um den Benutzer zur Liste hinzuzufügen.

  17. Scrollen Sie nach unten zu den Abschnitten "Genehmigung" und "Anforderungen aktivieren ".

  18. Lassen Sie die Einstellung Genehmigung erforderlich auf Nein festgelegt.

  19. Wählen Sie für "Anforderungen aktivieren" "Ja " aus, um dieses Zugriffspaket so zu aktivieren, dass es angefordert wird, sobald es erstellt wurde.

  20. Wenn Ihre Organisation so eingerichtet ist, dass überprüfte IDs empfangen werden, gibt es eine Option zum Konfigurieren eines Zugriffspakets, damit Anforderer eine verifizierte ID angeben müssen. Weitere Informationen finden Sie unter: Konfigurieren der überprüften ID-Einstellungen für ein Zugriffspaket in der Berechtigungsverwaltung (Vorschau)

    Screenshot der Auswahl

  21. Wählen Sie "Weiter" aus, um die Registerkarte " Requestor information " zu öffnen.

    Screenshots der Registerkarte

  22. Auf der Registerkarte " Antragstellerinformationen " können Sie Fragen stellen, um weitere Informationen vom Antragsteller zu sammeln. Diese Fragen werden im Anforderungsformular angezeigt und können als erforderlich oder optional festgelegt werden. Sie können auch angeben, ob die Managerin oder der Manager einer Person in deren Namen etwas anfordern kann und ob eine Genehmigung erforderlich ist. Wenn die Richtlinie es Managerinnen und Managern ermöglicht, im Namen einer Person anfragen zu können, beantwortet die Managerin bzw. der Manager Fragen im Namen der Person und nicht sie selbst. Weitere Informationen zu dieser Option finden Sie unter: Anfordern des Zugriffspakets im Auftrag anderer Benutzer(Vorschau). Da Sie im Rahmen dieses Szenarios nicht aufgefordert wurden, Informationen zum Anforderer für das Zugriffspaket anzugeben, können Sie diese Felder leer lassen. Wählen Sie "Weiter" aus, um die Registerkarte " Lebenszyklus " zu öffnen.

  23. Auf der Registerkarte "Lebenszyklus " geben Sie an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Im Abschnitt Ablauf :

    1. Stellen Sie ein, dass die Access-Paketzuweisungen nach Anzahl der Tage ablaufen.
    2. Legen Sie fest, dass die Zuordnungen nach30 Tagen ablaufen.
    3. Lassen Sie die Benutzer einen bestimmten Standardwert für die Zeitachse anfordern , ja.
    4. Stellen Sie Zugriffsüberprüfungen erforderlich auf Nein ein.

    Screenshot der Registerkarte

  24. Überspringen Sie den Schritt "Benutzerdefinierte Erweiterungen ".

  25. Wählen Sie "Weiter" aus, um die Registerkarte " Überprüfen + Erstellen " zu öffnen.

  26. Wählen Sie auf der Registerkarte "Überprüfen+ Erstellen " die Option "Erstellen" aus. Nach einigen Augenblicken sollte eine Benachrichtigung angezeigt werden, dass das Zugriffspaket erfolgreich erstellt wurde.

  27. Wählen Sie im linken Menü des Zugriffspakets "Marketingkampagne" die Option "Übersicht" aus.

  28. Kopieren Sie den Link "Mein Access-Portal".

    Sie verwenden diesen Link im nächsten Schritt.

    Screenshot, der veranschaulicht, wie der Link zur Zugriffsrichtlinie kopiert wird.

Schritt 3: Zugriff anfordern

In diesem Schritt führen Sie die Schritte als interner Anforderer aus und fordern den Zugriff auf das Zugriffspaket an. Anforderer senden ihre Anforderungen über eine Website, die als Portal „Eigener Zugriff“ (Mein Zugriff) bezeichnet wird. Über das Portal „Mein Zugriff“ können Anforderer Anforderungen für Zugriffspakete senden, die Zugriffspakete sehen, auf die sie bereits Zugriff haben, und ihre Anforderungsverläufe anzeigen. Wenn ein neuer Gast ein Zugangspaket in MyAccess anfordert, wird seine bevorzugte Sprache auf der Grundlage der Sprache des MyAccess-Browsers zum Zeitpunkt der Anforderung gespeichert. Dadurch können neue Gäste E-Mail-Kommunikation in einer Sprache empfangen, die sie verstehen.

Erforderliche Rolle: Interner Anforderer

  1. Melden Sie sich beim Microsoft Entra Admin Center ab.

  2. Navigieren Sie in einem neuen Browserfenster zu dem „Link zum Portal "Mein Zugriff"“, den Sie im vorherigen Schritt kopiert haben.

  3. Melden Sie sich beim Portal "Mein Zugriff" als Requestor1 an.

    Das Zugriffspaket " Marketingkampagne " sollte angezeigt werden.

  4. Geben Sie im Feld "Geschäftliche Begründung" die Begründung "Ich arbeite an der neuen Marketingkampagne" ein.

    Screenshot des Portals

  5. Wählen Sie "Absenden" aus.

  6. Wählen Sie im linken Menü "Anforderungsverlauf" aus, um zu überprüfen, ob Ihre Anforderung zugestellt wurde. Um weitere Details anzuzeigen, wählen Sie "Ansicht" aus.

    Screenshot des Anforderungsverlaufs des My Access-Portals.

Schritt 4: Überprüfen, ob der Zugriff zugewiesen wurde

In diesem Schritt bestätigen Sie, dass dem internen Anforderer das Zugriffspaket zugewiesen wurde und dass er jetzt Mitglied der Gruppe "Marketingressourcen " ist.

  1. Melden Sie sich vom Portal „Mein Zugriff“ ab.

  2. Melden Sie sich beim Microsoft Entra Admin Center als Admin1 an, der mindestens ein Identitätsverwaltungsadministrator ist.

    Tipp

    Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.

  3. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspakete.

  4. Suchen sie das Zugriffspaket für Marketingkampagnen , und wählen Sie es aus.

  5. Wählen Sie im linken Menü "Anforderungen" aus.

    Sie sollten Requestor1 und die Initialrichtlinie mit dem Status Übermittelt sehen.

  6. Wählen Sie die Anforderung aus, um die Anforderungsdetails anzuzeigen.

    Screenshot der Details der Zugriffspaketanforderung.

  7. Wählen Sie in der linken Navigation entra ID aus.

  8. Wählen Sie "Gruppen" aus, und öffnen Sie die Gruppe " Marketingressourcen ".

  9. Wählen Sie "Mitglieder" aus.

    Sie sollten "Requestor1 " als Mitglied aufgeführt sehen.

    Der Screenshot zeigt, dass der Anforderer Eins zu der Gruppe

Schritt 5: Bereinigen von Ressourcen

In diesem Schritt entfernen Sie die vorgenommenen Änderungen und löschen das Zugriffspaket " Marketingkampagne ".

  1. Gehen Sie im Microsoft Entra Admin Center als mindestens ein Identitätsgovernanceadministrator zu ID Governance.

  2. Öffnen Sie das Zugriffspaket für Marketingkampagnen .

  3. Wählen Sie "Aufgaben" aus.

  4. Wählen Sie für Requestor1 die Auslassungspunkte (...) und dann "Zugriff entfernen" aus. Wählen Sie in der angezeigten Nachricht "Ja" aus.

    Kurz darauf ändert sich der Status von „Übermittelt“ in „Abgelaufen“.

  5. Wählen Sie "Ressourcenrollen" aus.

  6. Wählen Sie für Marketingressourcen die Auslassungspunkte (...) und dann «Ressourcenrolle entfernen» aus. Wählen Sie in der angezeigten Nachricht "Ja" aus.

  7. Öffnen Sie die Liste der Zugriffspakete.

  8. Wählen Sie für Marketingkampagne die Auslassungspunkte (...) und dann Löschen aus. Wählen Sie in der angezeigten Nachricht "Ja" aus.

  9. Löschen Sie in "Identität" alle Benutzer, die Sie erstellt haben, z. B. Requestor1 und Admin1.

  10. Löschen Sie die Gruppe " Marketingressourcen ".

Nächste Schritte

Wechseln Sie zum nächsten Artikel, um mehr über gängige Szenarioschritte in der Berechtigungsverwaltung zu erfahren.

Häufige Szenarien