Freigeben über

Ändern von Ressourcenrollen für ein Zugriffspaket in der Berechtigungsverwaltung

Als Mitglied der Zugriffspaketverwaltung können Sie die Ressourcen innerhalb eines Zugriffspakets jederzeit ändern, ohne dass Sie Benutzerzugriff auf die neuen Ressourcen bereitstellen oder den Zugriff auf die bisherigen Ressourcen entfernen müssen. In diesem Artikel erfahren Sie, wie Sie die Ressourcenrollen für ein vorhandenes Zugriffspaket ändern.

Das folgende Video enthält eine Übersicht über das Ändern eines Zugriffspakets:

Überprüfen des Katalogs auf Ressourcen

Wenn Sie einem Zugriffspaket Ressourcen hinzufügen möchten, müssen Sie überprüfen, ob die benötigten Ressourcen im Katalog des Zugriffspakets verfügbar sind. Als Zugriffspaket-Manager können Sie einem Katalog keine Ressourcen hinzufügen, auch wenn Sie deren Besitzer sind. Sie können nur die im Katalog verfügbaren Ressourcen verwenden.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Identity Governance-Administrierende an.

    Tipp

    Zu anderen Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, gehören „Katalogbesitzende“ und „Zugriffspaketverwaltende“.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete das Zugriffspaket, das Sie überprüfen möchten, um sicherzustellen, dass der Katalog über die erforderlichen Ressourcen verfügt.

  4. Wählen Sie im linken Menü Katalog aus, und öffnen Sie den Katalog.

  5. Wählen Sie im linken Menü Ressourcen aus, um die Liste mit den Ressourcen in diesem Katalog anzuzeigen.

    Ressourcenliste eines Katalogs

  6. Wenn die Ressourcen noch nicht im Katalog enthalten sind und Sie eine Person mit Administrator- oder Katalogbesitzerberechtigungen sind, können Sie einem Katalog Ressourcen hinzufügen. Bei den Ressourcentypen, die Sie hinzufügen können, handelt es sich um Gruppen, in Ihr Verzeichnis integrierte Anwendungen und SharePoint Online-Websites. Beispiel:

    • Gruppen können in der Cloud erstellte Microsoft 365-Gruppen oder in der Cloud erstellte Microsoft Entra-Sicherheitsgruppen sein. Gruppen, die aus einer lokalen Active Directory-Instanz stammen, können nicht als Ressourcen zugewiesen werden, da ihre Besitzer- oder Mitgliedsattribute in Microsoft Entra ID nicht geändert werden können. Um Benutzenden Zugriff auf eine Anwendung zu gewähren, die AD-Sicherheitsgruppenmitgliedschaften verwendet, erstellen Sie eine neue Gruppe in Microsoft Entra ID, konfigurieren Sie das Gruppenrückschreiben in AD, und ermöglichen Sie das Schreiben dieser Gruppe in AD. Gruppen, die ursprünglich als Verteilergruppen in Exchange Online vorliegen, können in Microsoft Entra ID ebenfalls nicht geändert werden.
    • Anwendungen können Microsoft Entra-Unternehmensanwendungen sein. Diese beinhalten SaaS-Anwendungen (Software-as-a-Service), lokale Anwendungen, die ein anderes Verzeichnis oder eine andere Datenbank nutzen, sowie Ihre eigenen in Microsoft Entra ID integrierten Apps. Wenn Ihre Anwendung noch nicht in Ihr Microsoft Entra-Verzeichnis integriert wurde, lesen Sie die Informationen unter Steuern des Zugriffs für Anwendungen in Ihrer Umgebung und Integrieren einer Anwendung mit Microsoft Entra ID.
    • Websites können SharePoint Online-Websites oder SharePoint Online-Websitesammlungen sein.

  7. Falls Sie Mitglied der Zugriffspaketverwaltung sind und dem Katalog Ressourcen hinzufügen müssen, können Sie die Person, der der Katalog gehört, bitten, diese Ressourcen hinzuzufügen.

Ermitteln der Ressourcenrollen, die in ein Zugriffspaket aufgenommen werden sollen

Eine Ressourcenrolle ist eine Sammlung von Berechtigungen, die einer Ressource zugeordnet sind und durch diese definiert werden. Ressourcen können Benutzern zur Zuweisung verfügbar gemacht werden, wenn Sie Ihrem Zugriffspaket Ressourcenrollen aus jeder im Katalog enthaltenen Ressource hinzufügen. Sie können Ressourcenrollen hinzufügen, die von Gruppen, Teams, Anwendungen und SharePoint-Websites bereitgestellt werden. Wenn Benutzende eine Zuweisung zu einem Zugriffspaket erhalten, werden sie allen Ressourcenrollen im Zugriffspaket hinzugefügt.

Wenn ihnen eine Zuweisung zu einem Zugriffspaket entzogen wird, werden sie aus allen Ressourcenrollen im Zugriffspaket entfernt.

Hinweis

Wenn Benutzende den Ressourcen außerhalb der Berechtigungsverwaltung hinzugefügt wurden und sie Zugriff behalten müssen, auch wenn ihnen später Zugriffspakete zugewiesen werden und ihre Zugriffspaketzuweisungen ablaufen, fügen Sie einem Zugriffspaket keine Ressourcenrollen hinzu.

Wenn Sie einigen Benutzenden andere Ressourcenrollen zuweisen möchten als anderen Benutzenden, müssen Sie im Katalog mehrere Zugriffspakete mit separaten Zugriffspaketen für jede Ressourcenrolle erstellen. Sie können die Zugriffspakete auch als nicht miteinander kompatibel markieren, sodass Benutzende keinen Zugriff auf Zugriffspakete anfordern können, die ihnen übermäßigen Zugriff gewähren würden.

Insbesondere können Anwendungen über mehrere App-Rollen verfügen. Wenn Sie einem Zugriffspaket die App-Rolle einer Anwendung als Ressourcenrolle hinzufügen und diese Anwendung mehr als eine App-Rolle besitzt, müssen Sie für diese Benutzenden im Zugriffspaket die entsprechende Rolle angeben.

Hinweis

Wenn eine Anwendung über mehrere App-Rollen verfügt und mehrere Rollen dieser Anwendung in einem Zugriffspaket enthalten sind, erhalten Benutzende alle enthaltenen Rollen dieser Anwendung. Wenn Benutzende stattdessen nur einige der App-Rollen erhalten sollen, müssen Sie im Katalog mehrere Zugriffspakete mit separaten Zugriffspaketen für jede App-Rolle erstellen.

Darüber hinaus können auch Anwendungen Sicherheitsgruppen für das Ausdrücken von Berechtigungen verwenden. Beispielsweise verfügt eine Anwendung u. U. über die einzelne App-Rolle User und überprüft auch die Mitgliedschaft von zwei Gruppen: Gruppe Ordinary Users und Gruppe Administrative Access. Eine benutzende Person der Anwendung muss Mitglied genau einer dieser beiden Gruppen sein. Wenn Sie konfigurieren möchten, dass Benutzende eine der beiden Berechtigungen anfordern können, fügen Sie drei Ressourcen in einen Katalog ein: die Anwendung, die Gruppe Ordinary Users und die Gruppe Administrative Access. Anschließend erstellen Sie in diesem Katalog zwei Zugriffspakete und geben an, dass jedes Zugriffspaket nicht kompatibel mit dem anderen ist:

  • ein erstes Zugriffspaket mit zwei Ressourcenrollen, der App-Rolle User und der Mitgliedschaft der Gruppe Ordinary Users
  • ein zweites Zugriffspaket, das zwei Ressourcenrollen enthält: die Anwendungsrolle User der Anwendung und die Mitgliedschaft der Gruppe Administrative Access

Überprüfen, ob Benutzende bereits der Ressourcenrolle zugewiesen sind

Wenn einem Zugriffspaket von einem Admin eine Ressourcenrolle hinzugefügt wird, bleiben Benutzende, die sich bereits in dieser Ressourcenrolle befinden, aber dem Zugriffspaket nicht zugewiesen sind, weiterhin in der Ressourcenrolle, werden aber nicht dem Zugriffspaket zugewiesen. Beispiel: Wenn eine benutzende Person Mitglied einer Gruppe ist und dann ein Zugriffspaket erstellt und die Mitgliederrolle dieser Gruppe zu einem Zugriffspaket hinzugefügt wird, erhält die benutzende Person nicht automatisch eine Zuweisung zum Zugriffspaket.

Wenn die Benutzenden, die über eine Mitgliedschaft in der Ressourcenrolle verfügten, auch dem Zugriffspaket zugewiesen werden sollen, können Sie über das Microsoft Entra Admin Center oder per Massenvorgang über Graph oder PowerShell Benutzende direkt einem Zugriffspaket zuweisen. Die Benutzenden, die Sie dem Zugriffspaket zuweisen, erhalten dann auch Zugriff auf die anderen Ressourcenrollen im Zugriffspaket. Da jedoch Benutzende, die sich in der Ressourcenrolle befanden, bereits Zugriff hatten, bevor sie dem Zugriffspaket hinzugefügt wurden, werden sie aus dieser Ressourcenrolle entfernt, wenn ihre Zugriffspaketzuweisung aufgehoben wird.

Hinzufügen von Ressourcenrollen

Hinweis

Sie müssen ein globaler Administrator oder ein Privilegierter Rollenadministrator mit Katalogbesitzerberechtigungen sein, um einem Katalog Entra-Rollen hinzuzufügen. Sobald eine Entra-Rolle einem Katalog hinzugefügt wurde, können Identitäts-Governance-Administratoren und Zugriffspaket-Verwalter Zugriffspakete erstellen, die diese Entra-Rolle enthalten. Andere Benutzer mit Berechtigungen zum Verwalten von Zugriffspaketen können dieser Entra-Rolle dann Benutzer zuweisen. Ebenso können Anwendungen mit EntitlementManagement.RW.All-Berechtigungen keine Microsoft Entra-Rollen zu Katalogen hinzufügen, es sei denn, sie verfügen auch über die Rolle des Globalen Administrators oder des Privilegierten Rollenadministrators mit den erforderlichen Berechtigungsverwaltungsberechtigungen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Identity Governance-Administrierende an.

    Tipp

    Andere am wenigsten privilegierte Rollen, die diese Aufgabe ausführen können, sind der Katalogbesitzer und der Access-Paket-Manager.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete das Zugriffspaket, dem Sie Ressourcenrollen hinzufügen möchten.

  4. Wählen Sie im linken Menü Ressourcenrollen aus.

  5. Wählen Sie Ressourcenrollen hinzufügen, um die Seite „Ressourcenrollen zu Zugriffspaket hinzufügen“ zu öffnen.

    Zugriffspaket: Ressourcenrollen hinzufügen

  6. Je nachdem, ob Sie eine Mitgliedschaft in einer Gruppe oder einem Team oder den Zugriff auf eine Anwendung, eine SharePoint-Site oder eine Microsoft Entra-Rolle (Vorschau) hinzufügen möchten, führen Sie die Schritte in einem der folgenden Abschnitte zu Ressourcenrollen aus.

Hinzufügen einer Ressourcenrolle für eine Gruppe oder ein Team

Die Berechtigungsverwaltung kann Benutzende automatisch zu einer Gruppe oder einem Team in Microsoft Teams hinzufügen, wenn ihnen ein Zugriffspaket zugewiesen wird.

  • Ist die Mitgliedschaft einer Gruppe oder eines Teams eine Ressourcenrolle, die Teil eines Zugriffspakets ist, und wird eine benutzende Person diesem Zugriffspaket zugewiesen, wird diese Person automatisch als Mitglied zu dieser Gruppe oder diesem Team hinzugefügt (sofern noch nicht vorhanden).
  • Sobald die Zuweisung eines Benutzers zu einem Zugriffspaket abläuft, wird er aus der Gruppe oder dem Team entfernt, es sei denn, er verfügt aktuell über eine Zuweisung zu einem anderen Zugriffspaket, das dieselbe Gruppe oder dasselbe Team umfasst.

Sie können eine beliebige Microsoft Entra-Sicherheitsgruppe oder Microsoft 365-Gruppe auswählen. Benutzende in einer Administratorrolle, die Gruppen verwalten können, können einem Katalog jede beliebige Gruppe hinzufügen. Katalogbesitzende können dem Katalog jede beliebige Gruppe hinzufügen, wenn sie Besitzende der Gruppe sind. Beachten Sie beim Auswählen einer Gruppe die folgenden Microsoft Entra-Einschränkungen:

  • Wird eine benutzende Person als Gruppen- oder Teammitglied hinzugefügt, sind alle anderen Mitglieder dieser Gruppe oder dieses Teams für sie sichtbar. (Dies gilt auch für Gastbenutzende.)
  • In Microsoft Entra ID kann die Mitgliedschaft einer Gruppe, die über Windows Server Active Directory mit Microsoft Entra Connect synchronisiert oder in Exchange Online als Verteilergruppe erstellt wurde, nicht geändert werden. Wenn Sie den Zugriff auf Anwendungen verwalten möchten, die AD-Sicherheitsgruppen verwenden, lesen Sie den Artikel Einrichten des Gruppenrückschreibens in der Berechtigungsverwaltung.
  • Dynamische Mitgliedschaftsgruppen können nicht durch Hinzufügen oder Entfernen eines Mitglieds aktualisiert werden. Daher eignen sie sich nicht für die Berechtigungsverwaltung.
  • Für Microsoft 365-Gruppen gelten zusätzliche Einschränkungen, die in der Übersicht über Microsoft 365-Gruppen für Administrierende beschrieben werden. Dazu gehören z. B. ein Grenzwert von 100 Besitzenden pro Gruppe, Grenzwerte für die Anzahl von Mitgliedern, die gleichzeitig auf Gruppenunterhaltungen zugreifen können, und 7.000 Gruppen pro Mitglied.

Weitere Informationen finden Sie unter Vergleichen von Gruppen und Microsoft 365-Gruppen und Microsoft Teams.

  1. Wählen Sie auf der Seite Ressourcenrollen zu Zugriffspaket hinzufügen die Option Gruppen und Teams aus, um den Bereich „Gruppen auswählen“ zu öffnen.

  2. Wählen Sie die Gruppen und Teams aus, die Sie in das Zugriffspaket einschließen möchten.

    Zugriffspaket: Ressourcenrollen hinzufügen – Gruppen auswählen

  3. Wählen Sie Auswählen aus.

    Nachdem Sie die Gruppe oder das Team ausgewählt haben, wird in der Spalte Untertyp einer der folgenden Untertypen aufgelistet:

    Untertyp Beschreibung
    Sicherheit Wird verwendet, um Zugriff auf Ressourcen zu gewähren.
    Verteilung Senden von Benachrichtigungen an eine Gruppe von Personen
    Microsoft 365 Nicht Teams-fähige Microsoft 365-Gruppe. Wird für die Zusammenarbeit zwischen Benutzenden sowohl innerhalb als auch außerhalb des Unternehmens verwendet.
    Mannschaft Teams-fähige Microsoft 365-Gruppe. Wird für die Zusammenarbeit zwischen Benutzenden sowohl innerhalb als auch außerhalb des Unternehmens verwendet.

  4. Wählen Sie in der Rollenliste die Rolle aus, die Sie zuweisen möchten. Wenn die Gruppe von Privileged Identity Management verwaltet wird, sind berechtigte Mitgliedschaften wie "Berechtigter Besitzer" und "Berechtigtes Mitglied " auch Optionen, die ausgewählt werden können.

    In der Regel wählen Sie die Rolle „Mitglied“ aus. Wenn Sie die Rolle "Eigentümer" auswählen, werden Benutzer zu Eigentümern der Gruppe, was es ihnen ermöglicht, andere Mitglieder oder Eigentümer hinzuzufügen oder zu entfernen.

    Screenshot der verfügbaren Rollen, die PIM für Gruppenressourcen im Rahmen eines Zugriffspakets zugeordnet werden können.

  5. Wählen Sie Hinzufügen aus.

    Alle Benutzenden mit bestehenden Zuweisungen zu dem Zugriffspaket werden durch das Hinzufügen automatisch Mitglied (oder Besitzende) dieser Gruppe oder dieses Teams. Weitere Informationen finden Sie im Abschnitt zur Anwendung von Änderungen.

Hinweis

Wenn der Ablaufzeitraum für ein Zugriffspaket die Richtlinieneinstellung Berechtigte Zuweisungen laufen ab nach" in der verwalteten PIM-Gruppe überschreitet, kann dies zu Diskrepanzen zwischen der Berechtigungsverwaltung und dem Privileged Identity Management führen, wobei Benutzende den Zugriff verlieren, während die Berechtigungsverwaltung zeigt, dass sie noch zugewiesen sind. Weitere Informationen finden Sie unter: Verwenden von Gruppen, die von Privileged Identity Management mit Zugriffspaketen verwaltet werden.

Hinzufügen einer Anwendungsressourcenrolle

Sie können Microsoft Entra ID veranlassen, Benutzenden automatisch Zugriff auf eine Microsoft Entra-Unternehmensanwendung zuzuweisen, einschließlich SaaS-Anwendungen, lokaler Anwendungen und Anwendungen Ihrer Organisation, die in Microsoft Entra ID integriert sind, wenn Benutzenden ein Zugriffspaket zugewiesen wird. Für Anwendungen, die in Microsoft Entra ID über die einmalige Verbundanmeldung integriert sind, stellt Microsoft Entra ID Verbundtoken für Benutzende aus, die der Anwendung zugewiesen sind.

Wenn Ihre Anwendung noch nicht in Ihr Microsoft Entra-Verzeichnis integriert wurde, lesen Sie die Informationen unter Steuern des Zugriffs für Anwendungen in Ihrer Umgebung und Integrieren einer Anwendung mit Microsoft Entra ID.

Für Anwendungen können mehrere App-Rollen im Manifest definiert und über die Benutzeroberfläche der App-Rollen verwaltet werden. Wenn Sie einem Zugriffspaket die App-Rolle einer Anwendung als Ressourcenrolle hinzufügen und diese Anwendung mehr als eine App-Rolle besitzt, müssen Sie für diese Benutzenden in diesem Zugriffspaket die entsprechende Rolle angeben. Wenn Sie Anwendungen entwickeln, finden Sie weitere Informationen zum Hinzufügen dieser Rollen zu Ihren Anwendungen unter Gewusst wie: Konfigurieren von im SAML-Token ausgestellten Rollenansprüchen für Unternehmensanwendungen. Wenn Sie die Microsoft-Authentifizierungsbibliotheken verwenden, finden Sie dort auch ein Codebeispiel zum Verwenden von App-Rollen für die Zugriffssteuerung.

Hinweis

Wenn eine Anwendung über mehrere App-Rollen verfügt und mehrere Rollen dieser Anwendung in einem Zugriffspaket enthalten sind, erhalten Benutzende alle enthaltenen Rollen dieser Anwendung. Wenn Benutzende stattdessen nur einige der App-Rollen erhalten sollen, müssen Sie im Katalog mehrere Zugriffspakete mit separaten Zugriffspaketen für jede App-Rolle erstellen.

Sobald eine App-Rolle eine Ressource eines Zugriffspakets ist, gilt Folgendes:

  • Wird Benutzenden dieses Zugriffspaket zugewiesen, werden sie dieser App-Rolle hinzugefügt (sofern noch nicht vorhanden). Wenn die Anwendung Attribute erfordert, werden die Werte der Attribute aus der Anfrage auf den Benutzer geschrieben.
  • Läuft die Zuweisung eines Benutzers zu einem Zugangspaket ab, wird der Zugriff aus der Anwendung entfernt, es sei denn, er hat eine Zuweisung zu einem anderen Zugangspaket, das diese App-Rolle enthält. Wenn die Anwendung Attribute erfordert, werden diese Attribute von den Benutzenden entfernt.

Beachten Sie Folgendes, wenn Sie eine Anwendung auswählen:

  • Anwendungen können auch Gruppen besitzen, die ihren App-Rollen zugewiesen sind. Sie können wählen, ob Sie einem Zugriffspaket anstelle einer Anwendung und ihrer Rolle eine Gruppe hinzufügen möchten. In diesem Fall wird die Anwendung den Benutzenden jedoch nicht als Teil des Zugriffspakets im Portal „Mein Zugriff“ angezeigt.
  • Im Microsoft Entra Admin Center werden möglicherweise auch Dienstprinzipale für Dienste angezeigt, die nicht als Anwendungen ausgewählt werden können. Exchange Online und SharePoint Online sind beispielsweise keine Anwendungen, die über Ressourcenrollen im Verzeichnis verfügen, sondern Dienste. Daher können sie nicht in ein Zugriffspaket aufgenommen werden. Verwenden Sie stattdessen die gruppenbasierte Lizenzierung, um geeignete Lizenzen für Benutzende einzurichten, die Zugriff auf diese Dienste benötigen.
  • Anwendungen, die nur Benutzende mit persönlichem Microsoft-Konto für die Authentifizierung und keine Unternehmenskonten in Ihrem Verzeichnis unterstützen, verfügen nicht über Anwendungsrollen und können nicht zu Zugriffspaketkatalogen hinzugefügt werden.

  1. Wählen Sie auf der Seite Ressourcenrollen zu Zugriffspaket hinzufügen die Option Anwendungen aus, um den Bereich „Anwendungen auswählen“ zu öffnen.

  2. Wählen Sie die Anwendungen aus, die Sie in das Zugriffspaket einschließen möchten.

    Zugriffspaket: Ressourcenrollen hinzufügen – Anwendungen auswählen

  3. Wählen Sie Auswählen aus.

  4. Wählen Sie in der Liste Rolle eine App-Rolle aus.

    Zugriffspaket: Ressourcenrolle für eine Anwendung hinzufügen

  5. Wählen Sie Hinzufügen aus.

    Alle Benutzenden mit bestehenden Zuweisungen zu dem Zugriffspaket erhalten durch das Hinzufügen der Anwendung automatisch Zugriff auf diese Anwendung. Weitere Informationen finden Sie im Abschnitt zur Anwendung von Änderungen.

Hinzufügen einer Ressourcenrolle für eine SharePoint-Website

Mit Microsoft Entra ID kann Benutzern automatisch Zugriff auf eine SharePoint Online-Website oder Websitesammlung gewährt werden, wenn ihnen ein Zugriffspaket zugewiesen wird.

  1. Wählen Sie auf der Seite Ressourcenrollen zu Zugriffspaket hinzufügen die Option SharePoint-Websites aus, um den Bereich „SharePoint Online-Websites auswählen“ zu öffnen.

    Zugriffspaket: Ressourcenrollen hinzufügen – SharePoint-Websites auswählen – Portalansicht

  2. Wählen Sie die SharePoint Online-Websites aus, die Sie in das Zugriffspaket einschließen möchten.

    Zugriffspaket: Ressourcenrollen hinzufügen – SharePoint Online-Websites auswählen

  3. Wählen Sie Auswählen aus.

  4. Wählen Sie in der Liste Rolle eine Rolle für die SharePoint Online-Website aus.

    Zugriffspaket: Ressourcenrolle für eine SharePoint Online-Website hinzufügen

  5. Wählen Sie Hinzufügen aus.

    Alle Benutzenden mit bestehenden Zuweisungen zu dem Zugriffspaket erhalten durch das Hinzufügen der SharePoint Online-Website automatisch Zugriff auf diese Website. Weitere Informationen finden Sie im Abschnitt zur Anwendung von Änderungen.

Hinzufügen einer Microsoft Entra-Rollenzuweisung

Wenn Benutzer zusätzliche Berechtigungen für den Zugriff auf die Ressourcen Ihrer Organisation benötigen, können Sie diese Berechtigungen verwalten, indem Sie diesen Microsoft Entra-Rollen über Zugriffspakete zuweisen. Durch das Zuweisen von Microsoft Entra-Rollen zu Mitarbeitern und Gästen mithilfe des Berechtigungsmanagements können Sie die Berechtigungen einzelner Benutzer einsehen, um schnell zu bestimmen, welche Rollen diesem Benutzer zugewiesen sind. Wenn Sie eine Microsoft Entra-Rolle als Ressource in ein Zugriffspaket einschließen, können Sie darüber hinaus angeben, ob diese Rollenzuweisung berechtigt oder aktiv ist.

Durch das Zuweisen von Microsoft Entra-Rollen über Zugriffspakete können Rollenzuweisungen effizient im großen Stil verwaltet werden. Außerdem wird der Lebenszyklus der Rollenzuweisung optimiert.

Hinweis

Es wird empfohlen, Privileged Identity Management zu verwenden, um Benutzenden Just-In-Time-Zugriff bereitzustellen, wenn sie eine Aufgabe ausführen möchten, die erhöhte Berechtigungen erfordert. Diese Berechtigungen werden über die Microsoft Entra-Rollen bereitgestellt, die in unserer Dokumentation als "privilegierte" gekennzeichnet sind: Integrierte Microsoft Entra-Rollen. Die Berechtigungsverwaltung eignet sich besser für das Zuweisen eines Bündels von Ressourcen, die auch eine Microsoft Entra-Rolle einschließen können und für eine bestimmte Aufgabe erforderlich sind. Benutzer, denen Zugriffspakete zugewiesen werden, haben tendenziell über einen längeren Zeitraum Zugriff auf Ressourcen. Während wir empfehlen, dass Sie privilegierte Rollen über Privileged Identity Management verwalten, können Sie die Einrichtung von Berechtigungsvoraussetzungen für diese Rollen mithilfe von Zugriffspaketen in der Berechtigungsverwaltung vornehmen.

Befolgen Sie diese Schritte, um eine Microsoft Entra-Rolle als Ressource in ein Zugriffspaket einzuschließen:

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator oder Privilegierter Rollenadministrator mit Katalogbesitzerberechtigungen an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspakete.

  3. Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, dem Sie Ressourcenrollen hinzufügen möchten, und wählen Sie Ressourcenrollen aus.

  4. Wählen Sie auf der Seite Ressourcenrollen zu Zugriffspaket hinzufügen die Option Microsoft Entra-Rollen (Vorschau) aus, um den Bereich „Microsoft Entra-Rollen auswählen“ zu öffnen.

  5. Wählen Sie die Microsoft Entra-Rollen aus, die Sie in das Zugriffspaket einschließen möchten. Screenshot der Auswahl einer Rolle für das Zugriffspaket.

  6. Wählen Sie in der Liste Rolle die Option Berechtigtes Mitglied oder Aktives Mitglied aus. Screenshot: Auswählen der Rolle für eine Ressourcenrolle im Zugriffspaket

  7. Wählen Sie Hinzufügen aus.

Hinweis

Wenn Sie Berechtigt auswählen, gelten Benutzende als für diese Rolle berechtigt und können ihre Zuweisung mithilfe von Privileged Identity Management im Microsoft Entra Admin Center aktivieren. Wenn Sie Aktiv auswählen, erhalten die Benutzer eine aktive Rollenzuweisung, bis sie keinen Zugriff mehr auf das Zugriffspaket haben. Bei Entra-Rollen, die als privilegiert gekennzeichnet sind, können Sie nur Berechtigt auswählen. Eine Liste privilegierter Rollen finden Sie unter Integrierte Microsoft Entra-Rollen.

Informationen zum programmgesteuerten Hinzufügen einer Microsoft Entra-Rolle finden Sie unter Programmgesteuertes Hinzufügen einer Microsoft Entra-Rolle als Ressource in einem Zugriffspaket.

Programmgesteuertes Hinzufügen von Ressourcenrollen

Es gibt zwei Möglichkeiten, einem Zugriffspaket programmgesteuert eine Ressourcenrolle hinzuzufügen: über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph.

Hinzufügen von Ressourcenrollen zu einem Zugriffspaket mit Microsoft Graph

Sie können einem Zugriffspaket mithilfe von Microsoft Graph eine Ressourcenrolle hinzufügen. Benutzende in einer passenden Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All-Berechtigung verfügt, können die API aufrufen, um folgende Aktionen auszuführen:

  1. Auflisten der Ressourcen im Katalog und Erstellen eines accessPackageResourceRequest-Elements für alle Ressourcen, die noch nicht im Katalog enthalten sind
  2. Abrufen der Rollen und Bereiche der einzelnen Ressourcen im Katalog. Diese Rollenliste wird dann zum Auswählen einer Rolle verwendet, wenn anschließend ein resourceRoleScope-Element erstellt wird.
  3. Erstellen eines resourceRoleScope-Elements für jede Ressourcenrolle, die im Zugriffspaket benötigt wird.

Hinzufügen von Ressourcenrollen zu einem Zugriffspaket mit Microsoft PowerShell

Sie können einem Zugriffspaket in PowerShell auch mit den Cmdlets aus dem Modul PowerShell-Cmdlets für Identity Governance von Microsoft Graph (Version 2.1.x oder höhere Modulversionen) Ressourcenrollen hinzufügen.

Zunächst rufen Sie die ID des Katalogs sowie der Ressource in diesem Katalog und seine Bereiche und Rollen ab, die Sie in das Zugriffspaket aufnehmen möchten. Verwenden Sie ein Skript ähnlich dem folgenden Beispiel. Dies setzt voraus, dass im Katalog eine einzelne Anwendungsressource vorhanden ist.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Weisen Sie dann die Ressourcenrolle aus dieser Ressource dem Zugriffspaket zu. Wenn Sie beispielsweise die erste Ressourcenrolle der Ressource, die zuvor zurückgegeben wurde, als Ressourcenrolle eines Zugriffspakets einbeziehen möchten, verwenden Sie etwa folgendes Skript:

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Wenn die Rolle keine ID aufweist, schließen Sie den Parameter id der Struktur role nicht in die Anforderungsnutzdaten ein.

Weitere Informationen finden Sie unter Erstellen eines Zugriffspakets in der Berechtigungsverwaltung für eine Anwendung mit einer einzelnen Rolle mithilfe von PowerShell.

Entfernen von Ressourcenrollen

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Identity Governance-Administrierende an.

    Tipp

    Zu anderen Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, gehören „Katalogbesitzende“ und „Zugriffspaketverwaltende“.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete das Zugriffspaket, für das Sie Ressourcenrollen entfernen möchten.

  4. Wählen Sie im linken Menü Ressourcenrollen aus.

  5. Suchen Sie in der Liste der Ressourcenrollen nach der Ressourcenrolle, die Sie entfernen möchten.

  6. Wählen Sie die Auslassungspunkte (...) und dann Ressourcenrolle entfernen aus.

    Für alle Benutzenden mit bestehenden Zuweisungen zu dem Zugriffspaket wird durch das Entfernen der Ressourcenrolle automatisch der Zugriff darauf widerrufen.

Wann werden Änderungen angewendet?

In der Berechtigungsverwaltung verarbeitet Microsoft Entra ID Massenänderungen für Zuweisungen und Ressourcen in Zugriffspaketen mehrmals täglich. Daher gilt Folgendes: Wenn Sie eine Zuweisung vornehmen oder die Ressourcenrollen Ihres Zugriffspakets ändern, kann es bis zu 24 Stunden dauern, bis diese Änderungen in Microsoft Entra ID übernommen werden. Hinzu kommt die Zeit für die Weitergabe der Änderungen an andere Microsoft-Onlinedienste oder verbundene SaaS-Anwendungen. Betrifft Ihre Änderung nur wenige Objekte, wird sie wahrscheinlich innerhalb weniger Minuten in Microsoft Entra ID übernommen. Anschließend wird diese Änderung von anderen Microsoft Entra-Komponenten erkannt, und die SaaS-Anwendungen werden aktualisiert. Betrifft die Änderung hingegen Tausende von Objekten, dauert die Anwendung länger. Enthält ein Zugriffspaket beispielsweise 2 Anwendungen und 100 Benutzerzuweisungen und Sie möchten dem Zugriffspaket eine Rolle für eine SharePoint-Website hinzufügen, kann es möglicherweise eine Weile dauern, bis alle Benutzenden Teil dieser SharePoint-Websiterolle sind. Sie können den Fortschritt über das Microsoft Entra-Überwachungsprotokoll, das Microsoft Entra-Bereitstellungsprotokoll und die Überwachungsprotokolle der SharePoint-Website überwachen.

Wenn Sie ein Teammitglied entfernen, wird es auch aus der Microsoft 365-Gruppe entfernt. Das Entfernen aus der Chatfunktion des Teams kann etwas länger dauern. Weitere Informationen finden Sie unter Gruppenmitgliedschaft.

Nächste Schritte