Die Berechtigungen für Microsoft 365 Gruppen oder Applikationen können sich ständig ändern. Damit wird der Aufwand für die Überprüfung der Berechtigungen zeitaufwändig und ineffizient.

Mit dem Azure Active Directory Feature „Access Review“ kann dieser Task weitgehend automatisiert werden und mit wenigen Klicks inaktive Benutzer und Gäste aus den Microsoft 365 Gruppen und Applikationen entfernt werden.

Voraussetzungen und Lizenzierung

Für das Feature ”Access Review” ist eine der folgenden Lizenzen notwendig:

  • Azure AD Premium P2
  • Enterprise Mobility + Security E5

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Zum Erstellen und Überprüfen muss dem Benutzer eine der folgenden Rollen zugewiesen werden:

  • Globaler Administrator
  • Benutzeradministrator
  • Identity Governance Administrator

Zugriffsüberprüfung erstellen

Die Zugriffsüberprüfung wird im Azure Portal (https://portal.azure.com) unter „Identity Governance“ > „Access Review“ angelegt.

Jetzt können die Eigenschaften der Überprüfung festgelegt werden:

  1. Was soll überprüft werden (Applikationen oder Microsoft 365 Gruppen)
  2. Bereich der Überprüfung
  3. Welche Gruppen sollen geprüft werden
  4. Welche Zugriffsgruppe soll geprüft werden (nur Gäste oder alle Benutzer)
  5. Benutzer als inaktiv betrachten, wenn diese den Zugriff länger als die angegebene Anzahl Tage nicht benötigt haben.

Als nächstes werden die Prüfer und Wiederholungen der Zugriffsüberprüfung festgelegt.

  • Wer soll die Einladung zur Zugrissüberprüfung per Email erhalten
  • Ist diese Zugriffsüberprüfung einmalig oder wiederkehrend

Als letztes werden die erweiterte Einstellungen und Entscheidungshilfen festgelegt.

  1. Wie sollen die Ergebnisse der Zugriffsüberprüfung umgesetzt werden
  2. Welche Angaben für die Festlegung der Zugriffsberechtigung sind zwingend notwendig

Die Überprüfung der Zugriffsberechtigung wird nach Klick auf „Create“ erstellt.

Die Zugriffsüberprüfung ist nun erstellt. Die Einladungen an die ausgewählten Personen werden nun versendet.

Die Eigenschaften und Status der Zugriffsüberprüfung können in den Details eingesehen werden.