Freigeben über


Erstellen einer Zugriffsüberprüfung von PIM für Gruppen in Microsoft Entra ID (Vorschau)

In diesem Artikel wird beschrieben, wie Sie eine Zugriffsüberprüfung von PIM für Gruppen erstellen, die die aktiven Mitglieder der Gruppe und die berechtigten Mitglieder umfasst. Überprüfungen können sowohl für aktive Mitglieder der Gruppe ausgeführt werden – also diejenigen Mitglieder, die zum Zeitpunkt der Erstellung der Überprüfung aktiv sind – als auch für die berechtigten Mitglieder der Gruppe.

Voraussetzungen

Die Verwendung dieses Features erfordert Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Grundlagen der Microsoft Entra ID Governance-Lizenzierung.

Erstellen einer Zugriffsüberprüfung von PIM für Gruppen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bereich

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Browsen Sie zu Identitätsgovernance>Zugriffsüberprüfung>Verlauf überprüfen.

  3. Wählen Sie Neue Zugriffsüberprüfung aus, um eine neue Zugriffsüberprüfung zu erstellen.

    Screenshot: Bereich „Zugriffsüberprüfungen“ in Identity Governance.

  4. Wählen Sie im Feld Zu überprüfende Elemente auswählen die Option Teams + Gruppen aus.

    Screenshot: Erstellen einer Zugriffsüberprüfung.

  5. Wählen Sie Teams + Gruppen und dann Ausgewählte Teams + Gruppen unter Prüfbereich aus. Auf dem Bildschirm erscheint eine Liste von Gruppen, aus der Sie wählen können.

    Screenshot: Auswählen von Teams und Gruppen.

Hinweis

Wenn eine Instanz von PIM für Gruppen ausgewählt wird, werden alle berechtigten und alle aktiven Benutzer*innen in dieser Gruppe einer Überprüfung unterzogen.

  1. Jetzt können Sie einen Bereich für die Überprüfung auswählen. Folgende Optionen sind verfügbar:

    • Nur Gastbenutzer: Diese Option beschränkt die Zugriffsüberprüfung ausschließlich auf die Microsoft Entra B2B-Gastbenutzer in Ihrem Verzeichnis.
    • Jeder: Mit dieser Option wird die Zugriffsüberprüfung auf alle Benutzerobjekte angewendet, die der Ressource zugeordnet sind.
  2. Wenn Sie eine Überprüfung der Gruppenmitgliedschaft durchführen, können Sie Zugriffsüberprüfungen nur für die inaktiven Benutzer in der Gruppe erstellen. Aktivieren Sie im Abschnitt Benutzerbereich das Kontrollkästchen neben Inaktive Benutzer (auf Mandantenebene). Wenn Sie das Kontrollkästchen aktivieren, konzentriert sich die Überprüfung nur auf inaktive Benutzende, d. h. Benutzende, die sich weder interaktiv noch nicht interaktiv beim Mandanten angemeldet haben. Geben Sie dann in Tage inaktiv die Anzahl der Tage ohne Aktivität ein (max. 730 Tage = zwei Jahre). Benutzer in der Gruppe, die für die angegebene Anzahl von Tagen inaktiv waren, sind die einzigen Benutzer in der Überprüfung.

Hinweis

Zuletzt erstellte Benutzer sind von der Konfiguration der Inaktivitätszeit nicht betroffen. Bei der Zugriffsüberprüfung wird überprüft, ob ein Benutzer innerhalb des konfigurierten zeitlichen Rahmens erstellt wurde. Benutzer, die zumindest während dieser Zeit nicht vorhanden waren, werden nicht berücksichtigt. Wenn Sie die Inaktivitätszeit beispielsweise auf 90 Tage festgelegt haben und ein Gastbenutzer vor weniger als 90 Tagen erstellt oder eingeladen wurde, ist der Gastbenutzer nicht im Bereich der Zugriffsüberprüfung enthalten. Dadurch wird sichergestellt, dass sich ein Benutzer mindestens einmal anmelden kann, bevor er entfernt wird.

  1. Wählen Sie Weiter: Überprüfungen aus.

Nachdem Sie diesen Schritt erreicht haben, können Sie den Anweisungen unter Weiter: Überprüfungen im Artikel Zugriffsüberprüfung von Gruppen oder Anwendungen erstellen beschrieben werden, um Ihre Zugriffsüberprüfung abzuschließen.

Hinweis

Für Zugriffsüberprüfungen von PIM für Gruppen (Vorschau) muss bei der Auswahl der Gruppenbesitzenden als Prüfende mindestens eine Fallback-Prüfperson zugewiesen werden. Für die Überprüfung werden nur aktive Besitzer als Prüfer zugewiesen. Berechtigte Besitzer gehören nicht dazu. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, werden der Überprüfung die Fallbackprüfer zugewiesen.

Nächste Schritte