Freigeben über

Ändern der Anforderungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung

Als Zugriffspaket-Manager können Sie die Benutzer, die ein Zugriffspaket anfordern können, jederzeit ändern, indem Sie eine Richtlinie für Zugriffspaket-Zuweisungsanfragen bearbeiten oder eine neue Richtlinie zu dem Zugriffspaket hinzufügen. In diesem Artikel wird beschrieben, wie die Anforderungseinstellungen für eine bestehende Richtlinie des Zugriffspakets geändert werden.

Wählen zwischen einer oder mehreren Richtlinien

Mit einer Richtlinie legen Sie fest, wer ein Zugriffspaket anfordern kann. Bevor Sie eine neue Richtlinie erstellen oder eine bestehende Richtlinie in einem Zugriffspaket bearbeiten, müssen Sie feststellen, wie viele Richtlinien das Zugriffspaket benötigt.

Wenn Sie ein Zugriffspaket erstellen, können Sie die Anforderungs-, Genehmigungs- und Lebenszykluseinstellungen angeben, die in der ersten Richtlinie des Zugriffspakets gespeichert werden. Die meisten Zugriffspakete haben eine einzige Richtlinie für die Beantragung des Benutzerzugriffs, aber ein einzelnes Zugriffspaket kann mehrere Richtlinien haben. Sie erstellen mehrere Richtlinien für ein Zugriffspaket, wenn Sie unterschiedlichen Benutzergruppen Zuweisungen mit unterschiedlichen Anforderungs- und Genehmigungseinstellungen erteilen möchten.

Beispielsweise ist es mit einer einzelnen Richtlinie nicht möglich, einem Zugriffspaket interne und externe Benutzer und Benutzerinnen zuzuweisen. Erstellen Sie hierfür in einem Zugriffspaket zwei separate Richtlinien für interne bzw. externe Benutzer. Wenn für anfordernde Benutzer oder Benutzerinnen mehrere Richtlinien gelten, werden sie zum Zeitpunkt ihrer Anfrage aufgefordert, die Richtlinie auszuwählen, der zugewiesen werden soll. Im folgenden Diagramm ist ein Zugriffspaket mit zwei Richtlinien dargestellt.

Diagramm, das mehrere Richtlinien zusammen mit mehreren Ressourcenrollen veranschaulicht, kann in einem Zugriffspaket enthalten sein.

Zusätzlich zu Richtlinien für Benutzer zum Anfordern des Zugriffs können Sie auch Richtlinien für die automatische Zuweisung und Richtlinien für die direkte Zuweisung von Administratoren oder Katalogbesitzern haben.

Wie viele Richtlinien werden benötigt?

Szenario Anzahl von Richtlinien
Für alle Benutzer in meinem Verzeichnis sollen die gleichen Anforderungs- und Genehmigungseinstellungen für ein Zugriffspaket gelten. Eine
Alle Benutzer in bestimmten verbundenen Organisationen sollen ein Zugriffspaket anfordern können. Eine
Sowohl die Benutzer in meinem Verzeichnis als auch Benutzer außerhalb meines Verzeichnisses sollen ein Zugriffspaket anfordern können. Zwei
Ich möchte für einige Benutzer andere Genehmigungseinstellungen angeben. Eine für jede Gruppe von Benutzern
Ich möchte, dass die Zugriffspaketzuweisungen einiger Benutzer ablaufen, während andere Benutzer ihren Zugriff verlängern können. Eine für jede Gruppe von Benutzern
Ich möchte, dass einige Benutzer den Zugriff anfordern und anderen Benutzern der Zugriff von einem Administrator zugewiesen wird Zwei
Ich möchte, dass einige Benutzer in meiner Organisation automatisch Zugriff erhalten, andere Benutzer in meiner Organisation Anfragen stellen können und anderen Benutzern Zugriff von einem Administrator zugewiesen wird drei

Informationen zur Prioritätslogik, die verwendet wird, wenn mehrere Richtlinien angewendet werden, finden Sie unter "Mehrere Richtlinien".

Öffnen eines vorhandenen Zugriffspaket und Hinzufügen einer neue Richtlinie mit unterschiedlichen Anforderungseinstellungen

Wenn Sie über eine Gruppe von Benutzern verfügen, für die unterschiedliche Anforderungs- und Genehmigungseinstellungen gelten sollen, müssen Sie wahrscheinlich eine neue Richtlinie erstellen. Führen Sie die folgenden Schritte aus, um einem vorhandenen Zugriffspaket eine neue Richtlinie hinzuzufügen:

  1. Melden Sie sich im Microsoft Entra Verwaltungszentrum als mindestens ein Identitätsgovernance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, das Sie bearbeiten möchten.

  4. Wählen Sie "Richtlinien" und dann "Richtlinie hinzufügen" aus.

  5. Geben Sie auf der Registerkarte " Grundlagen " einen Namen und eine Beschreibung für die Richtlinie ein.

    Erstellen einer Richtlinie mit Name und Beschreibung

  6. Wählen Sie "Weiter" aus, um die Registerkarte "Anforderungen " zu öffnen.

  7. Ändern Sie die Benutzer, die die Zugriffseinstellung anfordern können . Befolgen Sie die Schritte in den folgenden Abschnitten, um die Einstellung in eine der folgenden Optionen zu ändern:

Für Benutzer in Ihrem Verzeichnis

Gehen Sie folgendermaßen vor, wenn Sie möchten, dass Benutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Beim Definieren der Anforderungsrichtlinie können Sie einzelne Benutzer oder Gruppen von Benutzern angeben. Beispielsweise könnte Ihre Organisation bereits eine Gruppe wie "Alle Mitarbeiter" haben. Wenn diese Gruppe in die Richtlinie für Benutzer eingefügt wird, die Zugriff anfordern können, können alle Mitglieder dieser Gruppe Zugriff anfordern.

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können " die Option "Für Benutzer in Ihrem Verzeichnis" aus.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt, um weiter zu verfeinern, wer in Ihrem Verzeichnis dieses Zugriffspaket anfordern kann.

    Access-Paket – Anforderungen – Für Benutzer in Ihrem Verzeichnis

  2. Wählen Sie eine der folgenden Optionen aus:

    BESCHREIBUNG
    Bestimmte Benutzer und Gruppen Wählen Sie diese Option aus, wenn Sie möchten, dass nur die von Ihnen angegebenen Benutzer und Gruppen in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.
    Alle Mitglieder (mit Ausnahme von Gästen) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Diese Option umfasst keine Gastbenutzer, die Sie möglicherweise in Ihr Verzeichnis eingeladen haben.
    Alle Benutzer (einschließlich Gäste) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer und Gastbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.

    Gastbenutzer verweisen auf externe Benutzer, die mit Microsoft Entra B2B in Ihr Verzeichnis eingeladen wurden. Weitere Informationen zu den Unterschieden zwischen Mitgliedsbenutzern und Gastbenutzern finden Sie unter Was sind die Standardbenutzerberechtigungen in Microsoft Entra ID?.

  3. Wenn Sie bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie "Benutzer und Gruppen hinzufügen" aus.

  4. Wählen Sie im Bereich „Benutzer und Gruppen auswählen“ die Benutzer und Gruppen aus, die Sie hinzufügen möchten.

    Access-Paket – Anforderungen – Auswählen von Benutzern und Gruppen

  5. Wählen Sie "Auswählen" aus, um die Benutzer und Gruppen hinzuzufügen.

  6. Wenn Sie eine Genehmigung anfordern möchten, verwenden Sie die Schritte unter Ändern der Genehmigungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung , um Genehmigungseinstellungen zu konfigurieren.

  7. Wechseln Sie zum Abschnitt "Anforderungen aktivieren ".

Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden

Benutzer, die sich nicht in Ihrem Verzeichnis befinden, beziehen sich auf Benutzer, die sich in einem anderen Microsoft Entra-Verzeichnis oder einer anderen Domäne befinden. Diese Benutzer wurden möglicherweise noch nicht zu Ihrem Verzeichnis eingeladen. Microsoft Entra-Verzeichnisse müssen so konfiguriert werden, dass Einladungen in Einschränkungen für die Zusammenarbeit zulässig sind. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die externe Zusammenarbeit.

Hinweis

Für einen sich noch nicht in Ihrem Verzeichnis befindenden Benutzer, dessen Anforderung genehmigt oder automatisch genehmigt wird, wird ein Gastbenutzerkonto erstellt. Der Gast wird eingeladen, erhält jedoch keine Einladungs-E-Mail. Stattdessen erhält er eine E-Mail, wenn seine Zugriffspaketzuweisung bereitgestellt wird. Wenn dieser Gastbenutzer zu einem späteren Zeitpunkt keine Zugriffspaketzuweisungen mehr besitzt, weil die letzte Zuweisung abgelaufen ist oder abgebrochen wurde, wird das Gastbenutzerkonto standardmäßig für die Anmeldung blockiert und anschließend gelöscht. Wenn Gastbenutzer dauerhaft in Ihrem Verzeichnis bleiben sollen, auch wenn sie keine Zugriffspaketzuweisungen haben, können Sie die Einstellungen für Ihre Berechtigungsverwaltungskonfiguration ändern. Weitere Informationen zum Gastbenutzerobjekt finden Sie unter Eigenschaften eines Microsoft Entra B2B-Benutzer für die Zusammenarbeit.

Gehen Sie folgendermaßen vor, wenn Sie Benutzern, die sich nicht in Ihrem Verzeichnis befinden, die Möglichkeit geben möchten, dieses Zugriffspaket anzufordern:

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können " die Option "Für Benutzer" aus, die sich nicht in Ihrem Verzeichnis befinden.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt.

    Access-Paket – Anforderungen – Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden

  2. Wählen Sie aus, ob die Benutzer*innen, die Zugriff anfordern können, einer vorhandenen verbundenen Organisation zugeordnet sein müssen oder ob es sich um beliebige Personen im Internet handeln darf. Eine verbundene Organisation ist eine Organisation, mit der bereits eine Beziehung besteht und die möglicherweise über ein externes Microsoft Entra-Verzeichnis oder einen anderen Identitätsanbieter verfügt. Wählen Sie eine der folgenden Optionen aus:

    BESCHREIBUNG
    Bestimmte verbundene Organisationen Wählen Sie diese Option aus, wenn Sie aus einer Liste mit Organisationen auswählen möchten, die Ihr Administrator zuvor hinzugefügt hat. Alle Benutzer aus den ausgewählten Organisationen können dieses Zugriffspaket anfordern.
    Alle konfigurierten verbundenen Organisationen Wählen Sie diese Option aus, wenn alle Benutzer aus allen Ihren konfigurierten verbundenen Organisationen dieses Zugriffspaket anfordern können. Nur Benutzer aus konfigurierten verbundenen Organisationen können Zugriffspakete anfordern. Wenn Benutzer also nicht aus einem Microsoft Entra-Mandanten, einer Domäne oder einem Identitätsanbieter stammen, der einer vorhandenen verbundenen Organisation zugeordnet ist, können sie keinen Zugriff anfordern.
    Alle Benutzer (alle verbundenen Organisationen + alle neuen externen Benutzer) Wählen Sie diese Option aus, wenn beliebige Benutzer im Internet die Möglichkeit haben sollen, dieses Zugriffspaket anzufordern. Falls sie nicht zu einer verbundenen Organisation in Ihrem Verzeichnis gehören, wird für sie automatisch eine verbundene Organisation erstellt, wenn Sie das Paket anfordern. Die automatisch erstellte verbundene Organisation befindet sich in einem vorgeschlagenen Zustand. Weitere Informationen zum vorgeschlagenen Zustand finden Sie unter Status-Eigenschaft von verbundenen Organisationen.

  3. Wenn Sie "Bestimmte verbundene Organisationen" ausgewählt haben, wählen Sie " Verzeichnisse hinzufügen" aus einer Liste der verbundenen Organisationen aus, die Ihr Administrator zuvor hinzugefügt hat.

  4. Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.

    Access-Paket – Anforderungen – Verzeichnisse auswählen

    Wenn die Organisation, mit der Sie zusammenarbeiten möchten, nicht in der Liste enthalten ist, können Sie Ihren Administrator bitten, sie als verbundene Organisation hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation.

  5. Nachdem Sie alle verbundenen Organisationen ausgewählt haben, wählen Sie "Auswählen" aus.

    Hinweis

    Alle Benutzer*innen aus den ausgewählten verbundenen Organisationen können dieses Zugriffspaket anfordern. Bei einer verbundenen Organisation, die über ein Microsoft Entra-Verzeichnis verfügt, können Benutzer*innen aus allen überprüften Domänen, die dem Microsoft Entra-Verzeichnis zugeordnet sind, Anforderungen stellen. Dies gilt jedoch nicht, wenn diese Domänen von Azure B2B-Positiv- oder -Negativlisten blockiert werden. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer aus bestimmten Organisationen.

  6. Führen Sie als Nächstes die Schritte unter Ändern der Genehmigungseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung aus, um Genehmigungseinstellungen zu konfigurieren, um anzugeben, wer Anforderungen von Benutzern genehmigen soll, die sich nicht in Ihrer Organisation befinden.

  7. Wechseln Sie zum Abschnitt "Anforderungen aktivieren ".

Keine (nur direkte Administratorzuweisungen)

Gehen Sie folgendermaßen vor, wenn Sie Zugriffsanforderungen umgehen und Administratoren ermöglichen soll, bestimmte Benutzer direkt diesem Zugriffspaket zuzuweisen. Benutzer müssen das Zugriffspaket nicht anfordern. Sie können weiterhin Lebenszykluseinstellungen festlegen, aber es gibt keine Anforderungseinstellungen.

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können" "Keine" aus (nur Administrator-direkte Zuweisungen).

    Access-Paket – Anforderungen – Nur keine Administratorzuweisungen

    Nach der Erstellung des Zugriffspakets können Sie direkt bestimmte interne und externe Benutzer dem Zugriffspaket zuweisen. Wenn Sie einen externen Benutzer angeben, wird ein Gastbenutzerkonto in Ihrem Verzeichnis erstellt. Informationen zum direkten Zuweisen eines Benutzers finden Sie unter Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket.

  2. Überspringen Sie zum Abschnitt "Anforderungen aktivieren".

Hinweis

Beim Zuweisen von Benutzern zu einem Zugriffspaket müssen Administratoren überprüfen, ob die Benutzer basierend auf den vorhandenen Richtlinienanforderungen für dieses Zugriffspaket berechtigt sind. Andernfalls werden die Benutzer dem Zugriffspaket nicht erfolgreich zugewiesen. Wenn das Zugriffspaket eine Richtlinie enthält, die erfordert, dass Benutzeranforderungen genehmigt werden, können Benutzer dem Paket nicht direkt zugewiesen werden, ohne dass diese Zuweisung von den festgelegten genehmigenden Benutzern genehmigt wurde.

Öffnen und Bearbeiten einer vorhandenen Richtlinie mit Anforderungseinstellungen

Wenn Sie die Anforderungs- und Genehmigungseinstellungen für ein Zugriffspaket ändern möchten, müssen Sie die entsprechende Richtlinie mit diesen Einstellungen öffnen. Führen Sie die folgenden Schritte aus, um die Anforderungseinstellungen für eine Richtlinie zur Zuweisung von Zugangspaketen zu öffnen und zu bearbeiten:

  1. Melden Sie sich im Microsoft Entra Verwaltungszentrum als mindestens ein Identitätsgovernance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, dessen Anforderungseinstellungen für die Richtlinie Sie bearbeiten möchten.

  4. Wählen Sie "Richtlinien" und dann die Richtlinie aus, die Sie bearbeiten möchten.

    Der Bereich „Richtliniendetails“ wird unten auf der Seite geöffnet.

    Access-Paket – Bereich

  5. Wählen Sie "Bearbeiten" aus, um die Richtlinie zu bearbeiten.

    Access-Paket – Richtlinie bearbeiten

  6. Wählen Sie die Registerkarte "Anforderungen " aus, um die Anforderungseinstellungen zu öffnen.

  7. Führen Sie die Schritte in den vorherigen Abschnitten aus, um die Anforderungseinstellungen nach Bedarf zu ändern.

  8. Wechseln Sie zum Abschnitt "Anforderungen aktivieren ".

Ermöglichen von Anforderungen

  1. Wenn das Zugriffspaket sofort für Benutzer in den Anforderungsoptionen verfügbar sein soll, verschieben Sie den Schalter "Aktivieren" auf "Ja".

    Sie können sie in der Zukunft immer aktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.

    Wenn Sie "Keine" ausgewählt haben (nur administratorgesteuerte Zuweisungen), und Sie die Option " Nein" festlegen, können Administratoren dieses Zugriffspaket nicht direkt zuweisen.

    Access-Paket – Richtlinieneinstellungen aktivieren

  2. Wählen Sie "Weiter" aus.

  3. Wenn Sie anfordern möchten, dass Anforderer zusätzliche Informationen bereitstellen, wenn Sie Zugriff auf ein Zugriffspaket anfordern, verwenden Sie die Schritte unter Ändern der Genehmigungs- und Anforderungsinformationeneinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung , um Anfordererinformationen zu konfigurieren.

  4. Konfigurieren Sie Lebenszykluseinstellungen.

  5. Wenn Sie eine Richtlinie bearbeiten, wählen Sie "Aktualisieren" aus. Wenn Sie eine neue Richtlinie hinzufügen, wählen Sie "Erstellen" aus.

Programmgesteuertes Erstellen einer Zuweisungsrichtlinie für Zugriffspakete

Es gibt zwei Möglichkeiten, programmgesteuert eine Zuweisungsrichtlinie für Zugriffspakete zu erstellen: über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph.

Erstellen einer Zuweisungsrichtlinie für Zugriffspakete über Graph

Sie können eine Richtlinie mit Microsoft Graph erstellen. Ein Benutzer in einer geeigneten Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All Berechtigung verfügt, oder eine Anwendung in einer Katalogrolle oder mit der EntitlementManagement.ReadWrite.All Berechtigung, kann die Create an assignmentPolicy API aufrufen.

Erstellen einer Zuweisungsrichtlinie für Zugriffspakete über PowerShell

Sie können auch ein Zugriffspaket in PowerShell mit den Cmdlets aus dem Modul Microsoft Graph PowerShell für Identity Governance ab der Modulversion 2.1.x oder später erstellen.

Das folgende Skript veranschaulicht das Erstellen einer Richtlinie für die direkte Zuweisung zu einem Zugriffspaket. In dieser Richtlinie kann nur der Administrator einen Zugriff zuweisen, und es gibt keine Genehmigungen oder Zugriffsüberprüfungen. Sehen Sie Erstellen einer automatischen Zuweisungsrichtlinie für ein Beispiel zur Erstellung einer automatischen Zuweisungsrichtlinie und Erstellen einer Zuweisungsrichtlinie für weitere Beispiele.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Verhindern von Anforderungen von Benutzer*innen mit inkompatiblem Zugriff

Zusätzlich zu den Richtlinienüberprüfungen, die steuern, welche Benutzer Anforderungen übermitteln können, möchten Sie möglicherweise den Zugriff weiter einschränken, um zu verhindern, dass ein Benutzer, der bereits über gewisse Zugriffsberechtigungen (über eine Gruppe oder ein anderes Zugriffspaket) verfügt, übermäßigen Zugriff erhält.

Wenn Sie konfigurieren möchten, dass ein Benutzer kein Zugriffspaket anfordern kann, wenn er bereits über eine Zuweisung zu einem anderen Zugriffspaket verfügt oder Mitglied einer Gruppe ist, führen Sie die Schritte unter Konfigurieren der Aufgabentrennungsprüfungen für ein Zugriffspaket aus.

Nächste Schritte