Referenzhandbuch für die Identitäts- und Zugriffsverwaltung in Microsoft Entra

In diesem Abschnitt des Referenzleitfadens zu Microsoft Entra-Vorgängen werden die Überprüfungen und Aktionen beschrieben, die Sie erwägen sollten, um den Lebenszyklus von Identitäten und den zugehörigen Zuweisungen zu schützen und zu verwalten.

Wichtige Betriebsabläufe

Zuweisen von Besitzern zu wichtigen Aufgaben

Die Verwaltung von Microsoft Entra ID erfordert die kontinuierliche Ausführung wichtiger Vorgänge und Prozesse, die möglicherweise nicht Teil eines Rolloutprojekts sind. Es ist weiterhin wichtig, dass Sie diese Aufgaben einrichten, um Ihre Umgebung zu unterhalten. Im Folgenden werden die wichtigen Aufgaben und empfohlene Besitzer für diese aufgeführt:

Wenn Sie Ihre Liste durchgehen, stellen Sie möglicherweise fest, dass Sie entweder einen Besitzenden für Aufgaben zuweisen müssen, für die kein Besitzender vorhanden ist, oder die Besitzenden für Aufgaben anpassen müssen, die nicht den Empfehlungen entsprechen.

Zuweisen von Leseempfehlungen zu Besitzern

• Zuweisen von Administratorrollen in Microsoft Entra ID

Lokale Identitätssynchronisierung

Identifizieren und Beheben von Synchronisierungsproblemen

Die Empfehlung von Microsoft lautet, dass Sie über gute Grundlagen verfügen und mit den Umständen in Ihrer lokalen Umgebung vertraut sein sollten, die zu Synchronisierungsproblemen für die Cloud führen können. Da automatisierte Tools wie IdFix und Microsoft Entra Connect Health eine hohe Anzahl an falsch positiven Ergebnissen generieren können, empfehlen wir Ihnen, Synchronisierungsfehler zu identifizieren, die seit mehr als 100 Tagen nicht behoben wurden, indem Sie diese fehlerhaften Objekte bereinigen. Wenn Synchronisierungsfehler längere Zeit nicht behoben werden, kann dies zur Generierung von Supportfällen führen. Unter Beheben von Fehlern während der Synchronisierung erhalten Sie einen Überblick über verschiedene Fehlertypen, die während der Synchronisierung auftreten können, über einige mögliche Szenarien, die solche Fehler verursachen, und über Möglichkeiten, diese Fehler zu beheben.

Konfiguration der Microsoft Entra Connect-Synchronisierung

Um alle hybriden Erfahrungen, die gerätebasierte Sicherheitslage und die Integration mit Microsoft Entra ID zu ermöglichen, müssen Sie die Benutzerkonten synchronisieren, die Ihre Mitarbeitenden für die Anmeldung bei ihren Desktops verwenden.

Wenn Sie die Gesamtstruktur, an der sich die Benutzer anmelden, nicht synchronisieren, sollten Sie die Synchronisierung so ändern, dass sie von der richtigen Gesamtstruktur durchgeführt wird.

Synchronisierungsbereich und Objektfilterung

Die Entfernung von bekannten Buckets, die nicht synchronisiert werden müssen, hat die folgenden Vorteile für den Betrieb:

• Weniger Quellen für Synchronisierungsfehler
• Schnellere Synchronisierungszyklen
• Weniger „Ausschuss“, der aus der lokalen Umgebung übernommen werden muss, z. B. Verunreinigung der globalen Adressliste für lokale Dienstkonten, die in der Cloud nicht relevant sind

Beispiele für auszuschließende Objekte:

• Dienstkonten, die nicht für Cloudanwendungen verwendet werden
• Gruppen, die nicht für die Verwendung in Cloudszenarien vorgesehen sind, z. B. zum Gewähren des Zugriffs auf Ressourcen
• Benutzer oder Kontakte in Form von externen Identitäten, die per Microsoft Entra B2B-Zusammenarbeit dargestellt werden sollen
• Computerkonten, von denen aus Mitarbeiter nicht auf Cloudanwendungen, z. B. Server, zugreifen sollen

Idealerweise sollten Sie versuchen, ein Gleichgewicht zwischen der Reduzierung der Anzahl der zu synchronisierenden Objekte und der Komplexität der Regeln anzustreben. Im Allgemeinen ist eine Kombination aus der Filterung von Organisationseinheiten bzw. Containern und einer einfachen Attributzuordnung zum „cloudFiltered“-Attribut ein effektiver Ansatz für die Filterung.

Synchronisieren des Failovers oder der Notfallwiederherstellung

Azure AD Connect spielt eine wichtige Rolle bei der Bereitstellung. Wenn der Synchronisierungsserver aus irgendeinem Grund offline geht, können lokale Änderungen nicht in der Cloud aktualisiert werden und zu Zugriffsproblemen für die Benutzer führen. Daher ist es wichtig, eine Failoverstrategie festzulegen, die es Administratoren ermöglicht, die Synchronisierung schnell fortzusetzen, nachdem der Synchronisierungsserver offline ist. Solche Strategien könnten in die folgenden Kategorien fallen:

• Bereitstellen von Microsoft Entra Connect-Servern im Stagingmodus: Ermöglicht einem Administrator das Höherstufen des Stagingservers in die Produktion, indem ein einfacher Konfigurationsschalter verwendet wird.
• Verwenden von Virtualisierung: Wenn Microsoft Entra Connect auf einem virtuellen Computer (VM) bereitgestellt wird, können Admins ihren Virtualisierungsstapel anwenden, um den virtuellen Computer zu aktivieren, zu migrieren oder schnell neu bereitzustellen und somit die Synchronisierung wieder aufzunehmen.

Falls Ihre Organisation nicht über eine Notfallwiederherstellungs- und Failoverstrategie für die Synchronisierung verfügt, sollten Sie nicht zögern, Microsoft Entra Connect im Stagingmodus bereitzustellen. Ebenso gilt Folgendes: Falls zwischen Ihrer Produktions- und Stagingkonfiguration ein Konflikt besteht, sollten Sie für den Microsoft Entra Connect-Stagingmodus die Baseline neu festlegen, damit sie mit der Produktionskonfiguration übereinstimmt, einschließlich Softwareversionen und -konfigurationen.

Auf dem Laufenden bleiben

Microsoft aktualisiert Microsoft Entra Connect regelmäßig. Bleiben Sie immer auf dem aktuellen Stand, um von Leistungsverbesserungen, Fehlerbehebungen und neuen Funktionen der neuen Versionen profitieren zu können.

Falls Ihre Microsoft Entra Connect-Version mehr als sechs Monate alt ist, sollten Sie ein Upgrade auf die aktuelle Version durchführen.

Quellanker

Die Nutzung von ms-DS-consistencyguid als Quellanker ermöglicht eine einfachere Migration von Objekten über Gesamtstrukturen und Domänen hinweg. Dies ist die übliche Vorgehensweise bei der Konsolidierung/Bereinigung von AD-Domänen, Fusionen, Übernahmen und Veräußerungen.

Wenn Sie derzeit ObjectGuid als Quellanker verwenden, empfehlen wir Ihnen die Umstellung auf ms-DS-ConsistencyGuid.

Benutzerdefinierte Regeln

Benutzerdefinierte Regeln von Microsoft Entra Connect ermöglichen es Ihnen, den Flow von Attributen zwischen lokalen Objekten und Cloud-Objekten zu steuern. Die übermäßige oder fehlerhafte Anwendung von benutzerdefinierten Regeln kann aber mit den folgenden Risiken verbunden sein:

• Komplexe Problembehandlung
• Beeinträchtigung der Leistung beim Durchführen von komplexen Vorgängen über mehrere Objekte hinweg
• Höhere Wahrscheinlichkeit einer Abweichung der Konfiguration zwischen Produktions- und Stagingserver
• Mehraufwand beim Aktualisieren von Microsoft Entra Connect, wenn benutzerdefinierte Regeln mit einem höheren Rangfolgenwert als 100 erstellt werden (wird von integrierten Regeln verwendet)

Wenn Sie übermäßig komplexe Regeln verwenden, sollten Sie die Gründe für die Komplexität untersuchen und Möglichkeiten zur Vereinfachung suchen. Ebenso sollten Sie benutzerdefinierte Regeln mit einem Vorrangwert über 100 so anpassen, dass sie nicht gefährdet sind oder mit dem Standardwert in Konflikt stehen.

Beispiele für die fehlerhafte Anwendung von benutzerdefinierten Regeln:

• Kompensieren von fehlerhaften Daten im Verzeichnis: In diesem Fall empfehlen wir Ihnen, mit den Besitzenden des AD-Teams zusammenzuarbeiten und die Daten im Verzeichnis als Korrekturmaßnahme zu bereinigen und die Prozesse anzupassen, um die erneute Eingabe fehlerhafter Daten zu vermeiden.
• Einmalige Wartung einzelner Benutzer – Es kommt häufiger vor, Regeln für spezielle Ausreißer zu finden, in der Regel aufgrund eines Problems mit einem bestimmten Benutzer.
• Überkompliziertes „CloudFiltering“: Die Reduzierung der Anzahl von Objekten ist zwar eine gute Vorgehensweise, es besteht jedoch die Gefahr, dass durch die Verwendung zu vieler Synchronisierungsregeln ein überkomplizierter Synchronisierungsbereich entsteht. Wenn Sie komplexe Logik verwenden, um Objekte über den OE-Filterprozess hinaus ein- oder auszuschließen, empfehlen wir, diese Logik außerhalb der Synchronisierung zu handhaben. Dies können Sie tun, indem Sie die Objekte mit einem einfachen „cloudFiltered“-Attribut kennzeichnen, das mit einer einfachen Synchronisierungsregel genutzt werden kann.

Microsoft Entra Connect-Konfigurationsdokumentierer

Der Microsoft Entra Connect-Konfigurationsdokumentierer ist ein Tool, mit dem Sie Dokumentationen einer Microsoft Entra Connect-Installation generieren können. Dieses Tool ermöglicht ein besseres Verständnis der Synchronisierungskonfiguration und hilft, Vertrauen in die korrekte Ausführung zu gewinnen. Das Tool zeigt Ihnen auch an, welche Änderungen vorgenommen wurden, wann Sie eine neue Version oder Konfiguration von Microsoft Entra Connect angewendet haben und welche benutzerdefinierten Synchronisierungsregeln hinzugefügt oder aktualisiert wurden.

Derzeit verfügt das Tool über die folgenden Funktionen:

• Dokumentation der vollständigen Konfiguration von Microsoft Entra Connects Sync.
• Dokumentation aller Änderungen der Konfiguration von zwei Microsoft Entra Connect-Synchronisierungsservern oder Änderungen einer bestimmten Konfigurationsbaseline.
• Generierung eines PowerShell-Bereitstellungsskripts zum Migrieren der Unterschiede oder Anpassungen von Synchronisierungsregeln von einem Server zum anderen.

Zuweisung zu Apps und Ressourcen

Gruppenbasierte Lizenzierung für Microsoft-Clouddienste

Mit Microsoft Entra ID wird die Verwaltung von Lizenzen per gruppenbasierter Lizenzierung für Microsoft-Clouddienste optimiert. Auf diese Weise wird die Gruppeninfrastruktur und die delegierte Verwaltung dieser Gruppen per IAM für die richtigen Teams von Organisationen bereitgestellt. Es gibt mehrere Möglichkeiten, die Gruppenmitgliedschaft in Microsoft Entra ID einzurichten, z. B.:

• Synchronisiert aus lokalen Verzeichnissen: Gruppen können aus lokalen Verzeichnissen stammen, was für Organisationen, die Gruppenverwaltungsprozesse eingerichtet haben, die auf die Zuweisung von Lizenzen in Microsoft 365 ausgedehnt werden können, eine gute Lösung sein kann.

• Gruppen mit dynamischer Mitgliedschaft: Attributbasierte Gruppen können in der Cloud auf der Grundlage eines Ausdrucks erstellt werden, der auf Benutzerattributen basiert, z. B. Abteilung ist gleich „Vertrieb“. Microsoft Entra ID verwaltet die Mitglieder der Gruppe und sorgt für Konsistenz mit dem definierten Ausdruck. Die Verwendung von Gruppen mit dynamischer Mitgliedschaft für die Lizenzvergabe ermöglicht eine attributbasierte Lizenzvergabe, die sich gut für Organisationen eignet, die eine hohe Datenqualität in ihrem Verzeichnis aufweisen.

• Delegierter Besitz: Gruppen können in der Cloud erstellt werden, und dabei können festgelegte Besitzer verwendet werden. So können Sie geschäftliche Besitzer, z. B. das Kollaborations- oder BI-Team, in die Lage versetzen, die Personen zu definieren, für die Zugriff gewährt werden soll.

Falls Sie derzeit einen manuellen Prozess nutzen, um Benutzern Lizenzen und Komponenten zuzuweisen, empfehlen wir Ihnen die Implementierung der gruppenbasierten Lizenzierung. Wenn Ihr aktueller Prozess keine Lizenzierungsfehler überwacht oder feststellt, welche Lizenzen zugewiesen und welche verfügbar sind, sollten Sie Verbesserungen des Prozesses definieren. Stellen Sie sicher, dass Ihr Prozess Lizenzierungsfehler behebt und Lizenzierungszuweisungen überwacht.

Ein weiterer Aspekt der Lizenzverwaltung ist die Definition von Dienstplänen (Komponenten der Lizenz), die basierend auf Auftragsfunktionen in der Organisation aktiviert werden sollten. Das Gewähren des Zugriffs auf Dienstpläne, die nicht erforderlich sind, kann dazu führen, dass Benutzende im Microsoft 365-Portal Tools angezeigt werden, für die sie nicht geschult sind oder die sie nicht verwenden sollten. Dies kann zu mehr Anfragen beim Helpdesk und unnötigen Bereitstellungen führen und die Erreichung von Konformität und Governance gefährden, z. B. bei der Bereitstellung von OneDrive für Personen, die ggf. nicht zum Freigeben von Inhalten berechtigt sind.

Verwenden Sie die folgenden Richtlinien zum Definieren von Dienstplänen für Benutzer:

• Die Administrierenden sollten „Bündel“ von Dienstplänen definieren, die den Benutzenden auf der Grundlage ihrer Rolle angeboten werden, z. B. Angestellte oder Arbeiter.
• Erstellen Sie Gruppen nach Cluster, und weisen Sie die Lizenz mit dem Dienstplan zu.
• Optional kann ein Attribut so definiert werden, dass es die Pakete für Benutzer enthält.

Lebenszyklusverwaltung

Wenn Sie derzeit ein Tool wie Microsoft Identity Manager oder ein System eines Drittanbieters verwenden, das sich auf eine lokale Infrastruktur stützt, empfehlen wir Ihnen, die Zuweisung von dem vorhandenen Tool zu verlagern. Stattdessen sollten Sie gruppenbasierte Lizenzierung implementieren und eine Gruppenlebenszyklusverwaltung basierend auf Gruppen mit dynamischer Mitgliedschaft definieren.

Wenn Ihr bestehender Prozess neue Mitarbeitende oder Mitarbeitende, die die Organisation verlassen, nicht berücksichtigt, sollten Sie eine gruppenbasierte Lizenzierung auf der Grundlage von Gruppen mit dynamischer Mitgliedschaft einsetzen und deren Lebenszyklus definieren. Und letztlich, falls die gruppenbasierte Lizenzierung für lokale Gruppen bereitgestellt wird, für die keine Lebenszyklusverwaltung vorhanden ist, sollten Sie die Verwendung von Cloudgruppen erwägen, um Funktionen wie delegierter Besitz oder attributbasierte Gruppen mit dynamischer Mitgliedschaft zu ermöglichen.

Zuweisung von Apps mit der Gruppe „Alle Benutzer“

Ressourcenbesitzer sind unter Umständen der Meinung, dass die Gruppe Alle Benutzende nur Mitarbeitende des Unternehmens enthält, während eigentlich sowohl Mitarbeitende des Unternehmens als auch Gäste enthalten sind. Daher sollten Sie beim Verwenden der Gruppe Alle Benutzer für die Anwendungszuweisung und beim Gewähren des Zugriffs auf Ressourcen wie SharePoint-Inhalte oder -Anwendungen mit Bedacht vorgehen.

Automatisierte Benutzerbereitstellung für Apps

Die automatisierte Benutzerbereitstellung für Anwendungen ist die beste Möglichkeit, um für Einheitlichkeit bei der Bereitstellung und Aufhebung der Bereitstellung sowie beim Lebenszyklus von Identitäten über mehrere Systeme hinweg zu sorgen.

Wenn Sie Apps derzeit per Ad-hoc-Ansatz bereitstellen oder CSV-Dateien, JIT oder eine lokale Lösung ohne Lebenszyklusverwaltung nutzen, empfehlen wir Ihnen die Implementierung der Anwendungsbereitstellung mit Microsoft Entra ID. Diese Lösung bietet unterstützte Anwendungen und definiert ein einheitliches Muster für Anwendungen, die noch nicht von Microsoft Entra ID unterstützt werden.

Microsoft Entra Delta-Synchronisierungszyklusbaseline "Connect

Es ist wichtig, den Umfang der Änderungen in Ihrer Organisation zu verstehen und sicherzustellen, dass es nicht zu lange dauert, um die Synchronisierungszeit vorhersagen zu können.

Standardmäßig wird die Deltasynchronisierung alle 30 Minuten durchgeführt. Falls die Deltasynchronisierung immer länger als 30 Minuten dauert oder erhebliche Unterschiede zwischen der Leistung der Deltasynchronisierung für Staging und Produktion bestehen, sollten Sie die Faktoren, die die Leistung von Microsoft Entra Connect beeinflussen, überprüfen.

Microsoft Entra Connect-Problembehandlung: Empfohlene Literatur

• Vorbereiten von Verzeichnisattributen für die Synchronisierung mit Microsoft 365 mithilfe des IdFix-Tools
• Microsoft Entra Connect: Beheben von Fehlern während der Synchronisierung

Zusammenfassung

Sichere Identitätsinfrastrukturen weisen fünf Aspekte auf. Diese Liste dient Ihnen als Hilfe beim schnellen Ermitteln und Ergreifen der erforderlichen Maßnahmen zum Schützen und Verwalten des Lebenszyklus von Identitäten und ihrer Berechtigungen in Ihrer Organisation.

• Zuweisen von Besitzern zu wichtigen Aufgaben
• Identifizieren und Beheben von Synchronisierungsproblemen
• Definieren einer Failoverstrategie für die Notfallwiederherstellung
• Optimieren der Verwaltung von Lizenzen und der Zuweisung von Apps
• Automatisieren der Benutzerbereitstellung für Apps

Nächste Schritte

Beginnen Sie mit den Überprüfungen und Aktionen für die Authentifizierungsverwaltung.