Freigeben über


Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

Gruppen sind ein Bestandteil einer Strategie für die Zugriffssteuerung. Sie können Microsoft Entra-Sicherheitsgruppen und Microsoft 365-Gruppen als Grundlage für das Schützen des Zugriffs auf Ressourcen verwenden. Verwenden Sie Gruppen für die folgenden Zugriffssteuerungsmechanismen:

Gruppen verfügen über die folgenden Rollen:

  • Gruppenbesitzer: Gruppenbesitzer verwalten die Gruppeneinstellungen und die Mitgliedschaften.
  • Mitglieder: Mitglieder erben die Berechtigungen und die Zugriffsrechte, die der Gruppe zugewiesen sind.
  • Gäste: Gäste sind Mitglieder von außerhalb Ihrer Organisation.

Voraussetzungen

Dieser Artikel ist der vierte in einer Serie von zehn Artikeln. Sie sollten die Artikel der Reihe nach lesen. Im Abschnitt Nächste Schritte finden Sie die gesamte Serie.

Gruppenstrategie

Um eine Gruppenstrategie zum Schützen des externen Zugriffs auf Ihre Ressourcen zu entwickeln, berücksichtigen Sie den gewünschten Sicherheitsstatus.

Weitere Informationen: Ermitteln des Sicherheitsstatus für externen Zugriff

Gruppenerstellung

Bestimmen Sie, wer Berechtigungen zum Erstellen von Gruppen erhält: Administratoren, Mitarbeiter und/oder externe Benutzer. Betrachten Sie die folgenden Szenarien:

Einladungen an Gruppen

Berücksichtigen Sie im Rahmen der Gruppenstrategie, wer Personen einladen oder zu Gruppen hinzufügen kann. Gruppenmitglieder können andere Mitglieder hinzufügen, oder Gruppenbesitzer können Mitglieder hinzufügen. Sie können entscheiden, wer eingeladen werden kann. Standardmäßig können den Gruppen externe Benutzer hinzugefügt werden.

Zuweisen von Benutzern zu Gruppen

Benutzer werden Gruppen manuell anhand der Benutzerattribute im Benutzerobjekt oder anhand von anderen Kriterien zugewiesen. Benutzer werden Gruppen dynamisch basierend auf ihren Attributen zugewiesen. Für die Zuweisung von Benutzern zu Gruppen können beispielsweise die folgenden Attribute verwendet werden:

  • Position oder Abteilung
  • Partnerorganisation, der sie angehören
    • Manuell oder über verbundene Organisationen
  • Benutzertyp „Mitglied“ oder „Gast“
  • Teilnahme an einem Projekt
    • Manuell
  • Standort

Dynamische Gruppen enthalten Benutzer oder Geräte, aber nicht beides. Sie fügen basierend auf Benutzerattributen Abfragen hinzu, um der dynamischen Gruppe Benutzer zuzuweisen. Der folgende Screenshot enthält Abfragen, die Benutzer zur Gruppe hinzufügen, wenn sie Mitglied der Finanzabteilung sind:

Screenshot: Optionen und Einträge unter „Dynamische Mitgliedschaftsregeln“

Weitere Informationen: Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

Verwenden von Gruppen für eine Funktion

Bei Verwendung von Gruppen ist es wichtig, dass diese eine einzelne Funktion haben. Falls eine Gruppe zum Gewähren des Zugriffs auf Ressourcen verwendet wird, setzen Sie sie nicht noch für weitere Zwecke ein. Wir empfehlen Ihnen, eine Namenskonvention für Sicherheitsgruppen zu nutzen, die den Zweck deutlich macht:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Gruppentypen

Microsoft Entra-Sicherheitsgruppen und Microsoft 365-Gruppen können im Azure-Portal oder im Microsoft 365-Verwaltungsportal erstellt werden. Beide Gruppentypen können zum Schützen des externen Zugriffs verwendet werden.

Überlegungen Manuelle und dynamische Microsoft Entra-Sicherheitsgruppen Microsoft 365-Gruppen
Was enthält die Gruppe? Benutzer
Gruppen
Dienstprinzipale
Geräte
Nur Benutzer
Wo wird die Gruppe erstellt? Azure-Portal
Microsoft 365-Portal, falls E-Mail-Aktivierung vorliegt
PowerShell
Microsoft Graph
Endbenutzerportal
Microsoft 365-Portal
Azure-Portal
PowerShell
Microsoft Graph
In Microsoft 365-Anwendungen
Von wem wird standardmäßig die Erstellung durchgeführt? Administrators
Benutzer
Administrators
Benutzer
Wer wird standardmäßig hinzugefügt? Interne Benutzer (Mandantenmitglieder) und Gastbenutzer Mandantenmitglieder und Gäste einer Organisationen
Wem wird Zugriff gewährt? Ressourcen, für die die Zuweisung durchgeführt wurde Gruppenbezogenen Ressourcen:
(Gruppenpostfach, Website, Team, Chats und andere Microsoft 365-Ressourcen)
Andere Ressourcen, denen die Gruppe hinzugefügt wird
Nutzung möglich mit Bedingter Zugriff
Berechtigungsverwaltung
Gruppenlizenzierung
Bedingter Zugriff
Berechtigungsverwaltung
Vertraulichkeitsbezeichnungen

Hinweis

Verwenden Sie Microsoft 365-Gruppen zum Erstellen und Verwalten von bestimmten Microsoft 365-Ressourcen, z. B. eines Teams und der zugehörigen Websites und Inhalte.

Microsoft Entra-Sicherheitsgruppen

Microsoft Entra-Sicherheitsgruppen können Benutzer*innen oder Geräte enthalten. Verwenden Sie diese Gruppen, um den Zugriff auf Folgendes zu verwalten:

  • Azure-Ressourcen
    • Microsoft 365-Apps
    • Custom apps (Benutzerdefinierte Apps)
    • SaaS-Apps (Software-as-a-Service) wie Dropbox und ServiceNow
  • Azure-Daten und -Abonnements
  • Azure-Dienste

Verwenden Sie Microsoft Entra-Sicherheitsgruppen, um Folgendes zuzuweisen:

Weitere Informationen:

Hinweis

Verwenden Sie Sicherheitsgruppen, um bis zu 1.500 Anwendungen zuzuweisen.

Screenshot: Einträge und Optionen unter „Neue Gruppe“

Sicherheitsgruppe mit E-Mail-Unterstützung

Navigieren Sie zum Erstellen einer E-Mail-fähigen Sicherheitsgruppe zum Microsoft 365 Admin Center. Aktivieren Sie während der Erstellung eine Sicherheitsgruppe für E-Mails. Zu einem späteren Zeitpunkt ist die Aktivierung nicht mehr möglich. Sie können die Gruppe nicht im Azure-Portal erstellen.

Hybridorganisationen und Microsoft Entra-Sicherheitsgruppen

Hybridorganisationen verfügen über eine Infrastruktur für die lokale Umgebung und eine Microsoft Entra ID-Instanz. Hybridorganisationen, die Active Directory nutzen, können Sicherheitsgruppen lokal erstellen und mit der Cloud synchronisieren. Daher können den Sicherheitsgruppen nur Benutzer aus der lokalen Umgebung hinzugefügt werden.

Wichtig

Schützen Sie Ihre lokale Infrastruktur vor Kompromittierungen. Siehe Schützen von Microsoft 365 vor lokalen Angriffen

Microsoft 365-Gruppen

Microsoft 365-Gruppen stellen den Mitgliedschaftsdienst für den gesamten Microsoft 365-Zugriff dar. Diese Gruppen können im Azure-Portal oder im Microsoft 365 Admin Center erstellt werden. Wenn Sie eine Microsoft 365-Gruppe erstellen, gewähren Sie Zugriff auf eine Gruppe von Ressourcen für die Zusammenarbeit.

Weitere Informationen:

Rollen von Microsoft 365-Gruppen

  • Gruppenbesitzer
    • Hinzufügen oder Entfernen von Mitgliedern
    • Löschen von Unterhaltungen aus dem freigegebenen Posteingang
    • Ändern von Gruppeneinstellungen
    • Umbenennen der Gruppe
    • Aktualisieren der Beschreibung oder des Bilds
  • Mitglieder
  • Guests
    • Sind Mitglieder von außerhalb Ihrer Organisation
    • Für Gäste sind einige Teams-Funktionen eingeschränkt.

Microsoft 365-Gruppeneinstellungen

Wählen Sie den E-Mail-Alias und die Datenschutzeinstellungen aus, und geben Sie an, ob die Gruppe für Teams aktiviert werden soll.

Nach Abschluss der Einrichtung können Sie Mitglieder hinzufügen, Einstellungen für die E-Mail-Nutzung konfigurieren usw.

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

  1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

  2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

  3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

  4. Sichern des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365 (dieser Artikel)

  5. Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit

  6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

  7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

  8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

  9. Schützen des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID

  10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten