Zusammenarbeit in Microsoft Teams / Office 365 – Berechtigungsverwaltung mit Azure AD
Microsoft stellt mit der Azure AD Berechtigungsverwaltung eine mächtige Lösung zur Verfügung, mit der die meisten der im Teil 1 beschriebenen Herausforderungen automatisiert werden können – nicht nur für Gäste, aber auch eben genau für Gastzugriffe.
Entitlemenet Management befindet sich im Azure AD im Bereich Identity Governance.
Access Packages
Kern der Lösung von Microsoft sind die sogenannten Access Packages. Access Packages müssen initial definiert werden. Nach Erstellung und Zuweisung des Access Packages können Anwender (auch Gäste) über das My Access Portal oder einen Link direkt Zugriff auf das Access Package beantragen und erhalten damit Zugriff auf definierte Ressourcen für einen definierten Zeitraum.
Folgende Informationen sind in einem Access Package definiert:
Ressourcenzugriff
Auf welche Ressourcen sollen Nutzer des Access Packages automatisch Zugriff erhalten?
Antragsteller
Wer kann die Nutzung des Access Packages beantragen? Je nach Konfiguration sehen Mitarbeiter oder Gäste die Access Packages unter My Access und können Zugriff beantragen.
Es kann eingestellt werden, welchen Organisationen das Access Packages angezeigt wird und ob Mitarbeiter aus der jeweiligen Organisation automatisch Zugriff erhalten oder ob der Zugriff erst genehmigt werden muss.
Zusatzinformationen über den Antragsteller
Bei Bedarf können weitere Informationen vom Antragsteller abgefragt werden. Diese Funktion ist noch in Preview. Diese Antworten könnten z.B. für eine fachliche Validierung des Antrages verwendet werden oder aber zur Klärung organisatorischer Themen (Kenntnis von Richtlinien, Anweisungen, Voraussetzungen für Projektarbeit, etc.) genutzt werden.
Ablauf und Prüfung der Rechte
Der Zugriff über Access Packages kann zeitlich befristet mit einem Ablaufdatum vor konfiguriert werden, d.h. die Berechtigung wird automatisch zum jeweiligen Datum oder nach definierten Tagen entzogen. Optional kann konfiguriert werden, dass Anwender den Zugriff selber verlängern können. Eine weitere Genehmigung kann aktiviert werden.
Zudem kann eingestellt werden, ob ein regelmäßiger Review der Berechtigungen nötig ist und wie dieser durchzuführen ist.
Access Reviews
Access Reviews können unabhängig bzw. zusätzlich zu den Einstellungen im Access Package konfiguriert und durchgeführt werden.
- Review aller Groups / Teams / Applications – oder selektiv?
- Review alle Anwender oder nur Review der Gäste?
- Wer sind die Reviewer? Besitzer / Anwender (Self-Review), Manager, definierte Personen?
- Häufigkeit der Berechtigungsprüfung
- Automatisches Entfernen der Rechte bei negativem Access Review?
- Weitere Informationen für den Reviewer, z.B. Benutzerinteraktion in letzten 30 Tagen?
- Wird eine Begründung (Justification) beim Access Review benötigt?
- und vieles mehr
Fazit
Mit dem Berechtigungsmanagement (Entitlement Management) in Azure AD stellt Microsoft eine Komplettlösung bereit, um die Berechtigungsverwaltung in Office 365 stark zu vereinfachen und in Teilen zu automatisieren. In Verbindung mit der Zwei Faktor Authentifizierung und ggf. den Azure Terms of Use verringern sich damit Prozessrisiken bei externer Zusammenarbeit mit Gästen.
Auf weitere Funktionen zum Schutz der Daten wie Azure Information Protektion, Sensitivity Labels und Anwendungsrichtlinien gehe ich ein einem späteren Beitrag ein.
