Microsoft Entra Access Reviews: Governance für Benutzer- und Gastzugriffe
In Microsoft Entra ID entstehen Benutzer- und Gastzugriffe schrittweise im Laufe der Zeit, etwa durch Rollenwechsel, Projektzugehörigkeiten oder temporäre externe Zusammenarbeit. Einmal vergebene Berechtigungen bleiben dabei oft bestehen, obwohl der ursprüngliche fachliche Bedarf nicht mehr gegeben ist. Aus diesem Grund schaffen übliche Gegenmassnahmen wie manuelle Übersichten, Rückfragen bei Gruppenverantwortlichen oder gelegentliche Stichproben zwar punktuelle Transparenz, führen jedoch nicht zu einer konsistenten und regelmässigen Überprüfung von Zugriffen. Entscheidungen sind häufig nicht einheitlich dokumentiert und lassen sich im Nachgang nur schwer nachvollziehen.
Microsoft Entra Access Reviews sind Bestandteil der Identity-Governance in Microsoft Entra ID und ermöglichen die regelmässige Überprüfung bestehender Zugriffe. Zugriffsüberprüfungen werden als wiederkehrende Reviews definiert, zeitlich gesteuert ausgeführt und bestimmten Prüfern zugewiesen, beispielsweise Gruppenbesitzern oder für den Zugriff verantwortlichen Personen. Die Konfiguration und Auswertung erfolgt zentral im Microsoft Entra Admin Center. Microsoft Entra Access Reviews protokollieren getroffene Entscheidungen und dokumentieren diese nachvollziehbar.
Der Einsatz von Access Reviews unterstützt die Kontrolle von Benutzer- und Gastzugriffen und trägt dazu bei, überflüssige Berechtigungen zu entfernen. Dadurch reduzieren Microsoft Entra Access Reviews das Risiko, dass nicht mehr benötigte Zugriffsrechte unbeabsichtigt erhalten bleiben. Gleichzeitig stellen regelmässige Überprüfungen sicher, dass Zugriffe an aktuelle organisatorische und fachliche Anforderungen angepasst bleiben. Der Beitrag zeigt Schritt für Schritt die notwendigen Voraussetzungen für einstufige Zugriffsüberprüfungen, einschliesslich erforderlicher Benutzerrollen und Lizenzen und erläutert die Konfiguration im Microsoft Entra Admin Center.
Voraussetzungen und Lizenzierung
Lizenzen
Die Funktion Microsoft Entra Access Reviews ist Bestandteil der folgenden Pläne:
- Microsoft 365 E5
- Enterprise Mobility + Security E5
- Microsoft Entra Suite
- Microsoft Entra ID Governance
- u. v. m.
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Für Microsoft Entra Access Reviews ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet.
| Rolle | Berechtigung |
| Identity Governance-Administrator | Erstellen, Konfigurieren und Verwalten von Zugriffsüberprüfungen |
Zugriffsüberprüfungen verwalten
Zugriffsüberprüfungen erstellen
Die Erstellung von Zugriffsüberprüfungen (Access Reviews) erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter ID-Governance > Zugriffsüberprüfungen > Neue Zugriffsüberprüfung.
Überprüfung des Zugriffs auf einen Ressourcentyp auswählen
Im Abschnitt Wählen Sie aus, was zu überprüfen ist (1) wird Teams und Gruppen ausgewählt.
Im Bereich Überprüfungsbereich (2) stehen zwei Optionen zur Verfügung:
Alle Microsoft 365-Gruppen mit Gastbenutzern bezieht sich auf sämtliche Teams und Microsoft 365-Gruppen mit Gastzugriffen in der Organisation, ausgenommen dynamische Gruppen und Gruppen, denen Rollen zugewiesen werden können.
Teams und Gruppen auswählen ermöglicht die gezielte Auswahl einzelner Teams oder Gruppen.
In diesem Beispiel wird Teams und Gruppen auswählen verwendet.
Unter Gruppe lassen sich alle Gruppen auswählen, die in die Zugriffsüberprüfung einbezogen werden sollen.
Unter Bereich (1) wird festgelegt, welche Benutzergruppen in die Zugriffsüberprüfung einbezogen werden.
Nur Gastbenutzer beschränkt die Überprüfung auf Microsoft Entra B2B-Gastbenutzer.
Alle Benutzer erweitert die Überprüfung auf alle Benutzerobjekte.
Optional kann die Zugriffsüberprüfung auf inaktive Benutzer (2) eingeschränkt werden. Nach der Aktivierung dieser Option lässt sich die Anzahl der Tage der Inaktivität festlegen.
In diesem Beispiel kommt die Option Alle Benutzer ohne Filterung nach inaktiven Benutzern zum Einsatz.
Weiter: Überprüfungen anklicken
Im nächsten Schritt Prüfer auswählen wird festgelegt, wer die Zugriffsüberprüfung für die Gruppe durchführt.
Folgende Prüfer stehen zur Auswahl:
- Gruppenbesitzer
- ausgewählte Benutzer oder Gruppen
- Benutzer überprüfen eigenen Zugriff
- Vorgesetzte von Benutzern
Bei Auswahl von Vorgesetzte von Benutzern oder Gruppenbesitzer kann zusätzlich ein Fallbackprüfer angegeben werden, der einspringt, wenn kein Vorgesetzter oder kein Gruppenbesitzer hinterlegt ist.
Im Abschnitt Wiederholung der Überprüfung angeben wird festgelegt, wie lange und in welchem Zeitraum die Zugriffsüberprüfung durchgeführt wird.
Dauer (in Tagen) definiert den Zeitraum, in dem Prüfer ihre Entscheidung abgeben können.
Wiederholung der Überprüfung legt fest, in welchem Intervall die Zugriffsüberprüfung wiederholt wird. Zur Auswahl stehen Einmal, Wöchentlich, Monatlich, Vierteljährlich, Halbjährlich, Jährlich.
Über das Startdatum wird der Beginn der Überprüfungsreihe festgelegt.
Das Enddatum bestimmt, wann die Überprüfungsreihe endet. Zur Auswahl stehen Nie, An bestimmtem Datum beenden oder Nach Anzahl von Vorkommen beenden.
Weiter: Einstellungen anklicken
Unter Einstellungen nach Abschluss wird festgelegt, wie die Ergebnisse der Zugriffsüberprüfung verarbeitet werden.
Mit Ergebnisse automatisch auf Ressource anwenden werden die Entscheidungen nach Abschluss der Überprüfung automatisch umgesetzt. Bei deaktivierter Option dokumentiert die Zugriffsüberprüfung die Ergebnisse lediglich und nimmt keine unmittelbaren Änderungen an der Ressource vor. In diesem Fall müssen erforderliche Änderungen manuell umgesetzt werden.
Die Option Wenn Prüfer nicht reagieren legt fest, wie mit Zugriffen ohne Entscheidung umgegangen wird. Zur Auswahl stehen keine Änderung, Zugriff entfernen, Zugriff genehmigen oder Empfehlung annehmen. Die Empfehlung (Entscheidungshilfe) wird im nächsten Abschnitt definiert.
Mit Bei Abschluss der Überprüfung Benachrichtigung senden an können Benutzer oder Gruppen definiert werden, die nach Abschluss der Überprüfung informiert werden.
Unter Entscheidungshilfen für Prüfer aktivieren können zusätzliche Informationen eingeblendet werden, die Prüfer bei deren Entscheidung unterstützen.
Mit Keine Anmeldung innerhalb von 30 Tagen wird angezeigt, ob sich ein Benutzer in den letzten 30 Tagen nicht angemeldet hat. Diese Information dient als Hinweis auf möglicherweise nicht mehr benötigte Zugriffe.
Die Option Benutzer-zu-Gruppen-Zugehörigkeit zeigt dem Prüfer, in welchen weiteren Gruppen der Benutzer Mitglied ist. Dadurch lässt sich besser einschätzen, ob der Zugriff zur aktuellen Rolle oder Aufgabe des Benutzers passt.
Unter Erweiterte Einstellungen werden zusätzliche Steuerungs- und Benachrichtigungsoptionen für die Zugriffsüberprüfung konfiguriert.
Mit Begründung erforderlich wird festgelegt, dass Prüfer bei ihrer Entscheidung eine Begründung angeben müssen. Die Entscheidung kann ohne Angabe einer Begründung nicht abgeschlossen werden.
Die Option E-Mail-Benachrichtigungen steuert, ob Prüfer per E-Mail über den Start und den Abschluss einer Zugriffsüberprüfung informiert werden.
Über Erinnerungen werden automatische Erinnerungen an Prüfer gesendet, solange noch keine Entscheidung getroffen wurde.
Im Feld Zusätzlicher Inhalt für E-Mail an Prüfer kann ein individueller Text hinterlegt werden, der den automatischen Benachrichtigungs-E-Mails hinzugefügt wird, beispielsweise mit Hinweisen zum Kontext der Überprüfung.
Weiter: Überprüfen + erstellen auswählen
Zum Abschluss ein Name der Überprüfung (1) eingeben und mit Erstellen (2) die Zugriffsüberprüfung speichern.
Nach dem Speichern startet die Zugriffsüberprüfung zum festgelegten Datum.
Zugriffsüberprüfungen einsehen und verwalten
Das Microsoft Entra Admin Center zeigt Konfiguration, Status und Ergebnisse von Zugriffsüberprüfungen an.
Microsoft Entra Admin Center (https://entra.microsoft.com) unter ID-Governance > Zugriffsüberprüfungen > Zugriffsüberprüfung auswählen.
In der folgenden Übersicht können die Einstellungen der aktuell laufenden Zugriffsüberprüfung (1) angepasst sowie die Ergebnisse abgeschlossener und die Konfiguration zukünftiger Zugriffsüberprüfungen (2) eingesehen werden.
Ebenso wird der Fortschritt einer aktiven Zugriffsüberprüfung unter Ergebnisse angezeigt.
Nach Ablauf des definierten Zeitraums werden die getroffenen Entscheidungen gemäss der Konfiguration (automatisch oder manuell) umgesetzt. Alternativ kann die Zugriffsüberprüfung über Stop manuell abgeschlossen werden.
Zugriffsüberprüfungen aus Prüfersicht
Zu Beginn jeder Zugriffsüberprüfung erhalten die Prüfer eine E-Mail. Der Klick auf Start review öffnet die Prüfansicht.
Nach dem Öffnen der Zugriffsüberprüfung wird eine Übersicht angezeigt, die alle Mitglieder der zu überprüfenden Gruppe enthält. Unter Empfehlung (1) schlägt Microsoft Entra Access Reviews eine geeignete Massnahme für das jeweilige Benutzerkonto vor. Über Details (2) können zusätzliche Informationen zum Benutzerkonto eingesehen werden.
Ein oder mehrere Benutzer (1) anklicken und die Massnahme (2) auswählen.
Als Massnahmen stehen Genehmigen, Ablehnen, Nicht sicher, Entscheidungen zurücksetzen und Empfehlungen übernehmen zur Auswahl.
Begründung (1) eingeben und auf Senden (2) klicken.
Die umzusetzende Massnahme wird in der Spalte Entscheidung angezeigt.
Der Abschluss der Zugriffsüberprüfung wird dem Prüfer per E-Mail mitgeteilt.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.
