Zusam­men­ar­beit in Micro­soft Teams / Office 365 – Berech­ti­gungs­ver­wal­tung mit Azure AD

Micro­soft stellt mit der Azure AD Berech­ti­gungs­ver­wal­tung eine mächtige Lösung zur Verfü­gung, mit der die meisten der im Teil 1 beschrie­benen Heraus­for­de­rungen automa­ti­siert werden können – nicht nur für Gäste, aber auch eben genau für Gastzugriffe.

Entit­le­menet Manage­ment befindet sich im Azure AD im Bereich Identity Governance.

2.1 Access Packages

Kern der Lösung von Micro­soft sind die sogenannten Access Packages. Access Packages müssen initial definiert werden. Nach Erstel­lung und Zuwei­sung des Access Packages können Anwender (auch Gäste) über das My Access Portal oder einen Link direkt Zugriff auf das Access Package beantragen und erhalten damit Zugriff auf definierte Ressourcen für einen definierten Zeitraum.

Folgende Infor­ma­tionen sind in einem Access Package definiert:

2.1.1 Ressour­cen­zu­griff

Auf welche Ressourcen sollen Nutzer des Access Packages automa­tisch Zugriff erhalten?

2.1.2 Antrag­steller

Wer kann die Nutzung des Access Packages beantragen? Je nach Konfi­gu­ra­tion sehen Mitar­beiter oder Gäste die Access Packages unter My Access und können Zugriff beantragen.

Es kann einge­stellt werden, welchen Organi­sa­tionen das Access Packages angezeigt wird und ob Mitar­beiter aus der jewei­ligen Organi­sa­tion automa­tisch Zugriff erhalten oder ob der Zugriff erst geneh­migt werden muss.

2.1.3 Zusatz­in­for­ma­tionen über den Antragsteller

Bei Bedarf können weitere Infor­ma­tionen vom Antrag­steller abgefragt werden. Diese Funktion ist noch in Preview. Diese Antworten könnten z.B. für eine fachliche Validie­rung des Antrages verwendet werden oder aber zur Klärung organi­sa­to­ri­scher Themen (Kenntnis von Richt­li­nien, Anwei­sungen, Voraus­set­zungen für Projekt­ar­beit, etc.) genutzt werden.

2.1.4 Ablauf und Prüfung der Rechte

Der Zugriff über Access Packages kann zeitlich befristet mit einem Ablauf­datum vorkon­fi­gu­riert werden, d.h. die Berech­ti­gung wird automa­tisch zum jewei­ligen Datum oder nach definierten Tagen entzogen. Optional kann konfi­gu­riert werden, dass Anwender den Zugriff selber verlän­gern können. Eine weitere Geneh­mi­gung kann aktiviert werden.

Zudem kann einge­stellt werden, ob ein regel­mä­ßiger Review der Berech­ti­gungen nötig ist und wie dieser durch­zu­führen ist.

2.2 Access Reviews

Access Reviews können unabhängig bzw. zusätz­lich zu den Einstel­lungen im Access Package konfi­gu­riert und durch­ge­führt werden.

• Review aller Groups / Teams / Appli­ca­tions – oder selektiv?
• Review alle Anwender oder nur Review der Gäste?
• Wer sind die Reviewer? Besitzer / Anwender (Self-Review), Manager, definierte Personen?
• Häufig­keit der Berechtigungsprüfung
• Automa­ti­sches Entfernen der Rechte bei negativem Access Review?
• Weitere Infor­ma­tionen für den Reviewer, z.B. Benut­zer­inter­ak­tion in letzten 30 Tagen?
• Wird eine Begrün­dung (Justi­fi­ca­tion) beim Access Review benötigt?
• und vieles mehr

2.3  Fazit

Mit dem Berech­ti­gungs­ma­nage­ment (Entit­le­ment Manage­ment) in Azure AD stellt Micro­soft eine Komplett­lö­sung bereit, um die Berech­ti­gungs­ver­wal­tung in Office 365 stark zu verein­fa­chen und in Teilen zu automa­ti­sieren. In Verbin­dung mit der Zwei Faktor Authen­ti­fi­zie­rung und ggf. den Azure Terms of Use verrin­gern sich damit Prozess­ri­siken bei externer Zusam­men­ar­beit mit Gästen.

Auf weitere Funktionen zum Schutz der Daten wie Azure Infor­ma­tion Protek­tion, Sensi­ti­vity Labels und Anwen­dungs­richt­li­nien gehe ich ein einem späteren Beitrag ein.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.