Access Reviews Access Reviews
Rezertifizierung für Gruppen, Apps, Rollen, Azure-Zugriffe und Access Packages mit Mehrstufigkeit, Empfehlungen und Graph/PowerShell-Referenz. Recertification for groups, apps, roles, Azure access, and access packages with multi-stage reviews, recommendations, and Graph/PowerShell reference.
Rezertifizierung
Recertification
Access Reviews zwingen regelmäßige Entscheidungen über fortbestehenden Zugriff auf Gruppen, Apps, Rollen und Pakete. Access reviews force recurring decisions on whether access to groups, apps, roles, and packages should continue.
Mehrstufig
Multi-stage
Bis zu drei Review-Stufen ermöglichen Eskalation von Selbstbestätigung zu Manager oder Sicherheitsverantwortlichen. Up to three review stages allow escalation from self-attestation to managers or security owners.
Gastkontrolle
Guest governance
Stale Guests, inaktive Benutzer und ML-Empfehlungen helfen, externen Zugriff zu bereinigen. Stale guests, inactive users, and ML recommendations help clean up external access.
Governance-Automation
Governance automation
Auto-Apply, No-Response-Regeln und Integration mit PIM oder Access Packages reduzieren manuellen Aufwand. Auto-apply, no-response rules, and integration with PIM or access packages reduce manual effort.
Überblick, Review-Typen und Reviewer Overview, review types, and reviewers
| Review-Typ Review type | Ressource Resource | Zweck Purpose |
|---|---|---|
| Gruppenmitgliedschaft Group membership | Sicherheitsgruppen oder M365-Gruppen. Security groups or M365 groups. | Überflüssige Gruppenmitgliedschaften entfernen. Remove unnecessary group memberships. |
| Applikationszugriff Application access | Enterprise App oder Service Principal. Enterprise app or service principal. | App-Zugriff rezertifizieren. Recertify app access. |
| Entra-Rollen Entra roles | Verzeichnisrollen inklusive PIM-Szenarien. Directory roles including PIM scenarios. | Privilegierte Rechte regelmäßig bestätigen. Regularly confirm privileged rights. |
| Azure-Rollen Azure roles | Azure-RBAC-Rollen auf Ressourcen oder Abos. Azure RBAC roles on resources or subscriptions. | Cloud-Resource-Zugriff bereinigen. Clean up cloud resource access. |
| Access Packages Access packages | Entitlement-Management-Zugriffe. Entitlement management grants. | Geschäftsrollen und Katalogzugriffe prüfen. Review business role and catalog access. |
| Reviewer-Typ Reviewer type | Wann sinnvoll When useful | Wichtig Important |
|---|---|---|
| Self-review Self-review | Bei niedrigem Risiko oder zur Vorbereitung einer zweiten Stufe. For lower risk or as preparation for a second stage. | Nicht allein für Hochprivilegierte vertrauen. Do not rely on it alone for high privilege. |
| Manager Manager | Wenn Zugriff am besten durch Linienverantwortliche bewertet wird. When line managers best understand the access need. | Manager-Attribute müssen gepflegt sein. Manager attributes must be maintained. |
| Specified reviewers Specified reviewers | Für Anwendungen, Rollen oder Sonderobjekte mit klaren Ownern. For apps, roles, or special objects with clear owners. | Vertretungsregeln definieren. Define delegation rules. |
| Group owners Group owners | Wenn Gruppeneigentümer den Kontext am besten kennen. When group owners best know the context. | Owner-Hygiene regelmäßig prüfen. Review owner hygiene regularly. |
Mehrstufige Reviews, Wiederholung und Entscheidungen Multi-stage reviews, recurrence, and decisions
| Einstellung Setting | Optionen Options | Kommentar Comment |
|---|---|---|
| Stages Stages | 1 bis 3 Review-Stufen. 1 to 3 review stages. | Stage 1 Self, Stage 2 Manager, Stage 3 Security ist ein gängiges Muster. Stage 1 self, stage 2 manager, stage 3 security is a common pattern. |
| Recurrence Recurrence | One-time, weekly, monthly, quarterly, semi-annual, annual. One-time, weekly, monthly, quarterly, semi-annual, annual. | Frequenz nach Risiko staffeln. Scale frequency by risk. |
| Auto-apply Auto-apply | Ergebnisse werden automatisch umgesetzt. Results are applied automatically. | Vor Produktivbetrieb mit Pilot und Rollback-Plan testen. Test with pilot and rollback plan before production. |
| No response action No response action | Approve, deny, take recommendation, no change. Approve, deny, take recommendation, no change. | Für privilegierte Rollen meist deny oder escalate. For privileged roles usually deny or escalate. |
| Recommendations Recommendations | ML- oder signalbasierte Vorschläge auf Basis Nutzung und Affiliation. ML or signal-based recommendations based on usage and affiliation. | Nicht blind anwenden; menschliche Kontrolle behalten. Do not apply blindly; keep human oversight. |
| Decision helper Decision helper | Nutzung Use | Beispiel Example |
|---|---|---|
| Inactive users Inactive users | Hebt seit längerer Zeit nicht genutzte Konten hervor. Highlights accounts not used for a long period. | Gast seit 90 Tagen ohne Anmeldung. Guest inactive for 90 days. |
| User-to-group affiliation User-to-group affiliation | Zeigt, ob Benutzer organisatorisch noch zur Gruppe passt. Shows whether the user still organizationally fits the group. | Abteilung stimmt nicht mehr mit Gruppenlogik überein. Department no longer matches group logic. |
| Last sign-in / app activity Last sign-in / app activity | Gibt Reviewern Aktivitätskontext. Provides activity context to reviewers. | Entscheidung über App-Zugriff auf Nutzungsbasis. Make application access decisions based on use. |
| Guest stale detection Guest stale detection | Hilft alte externe Konten zu entfernen. Helps remove old external accounts. | Typischer Quartalsreview für B2B-Gäste. Typical quarterly review for B2B guests. |
PIM, Ergebnisse, History und Audit PIM, results, history, and audit
| Bereich Area | Was möglich ist What is possible | Nutzen Benefit |
|---|---|---|
| PIM-Rollen PIM roles | Eligible und aktive Rollenzuweisungen können geprüft werden. Eligible and active assignments can be reviewed. | Entzieht überholte privilegierte Berechtigungen. Removes outdated privileged rights. |
| Review-History Review history | Instanzen, Entscheidungen, Stufen und Umsetzungsstatus bleiben nachvollziehbar. Instances, decisions, stages, and apply status remain traceable. | Wichtig für Audit und Nachweise. Important for audit and evidence. |
| Audit Logs Audit logs | Erstellung, Start, Entscheidung und Anwendung werden protokolliert. Creation, start, decision, and application are logged. | Mit Sentinel oder SIEM korrelieren. Correlate with Sentinel or another SIEM. |
| Access Packages Access packages | Rezertifizierung kann an Entitlement Management gekoppelt werden. Recertification can be tied to entitlement management. | Reduziert manuelle Paketpflege. Reduces manual package maintenance. |
Graph API, PowerShell und Best Practices Graph API, PowerShell, and best practices
| API / Cmdlet API / cmdlet | Zweck Purpose | Hinweis Note |
|---|---|---|
| POST /identityGovernance/accessReviews/definitions POST /identityGovernance/accessReviews/definitions | Erstellt eine neue Review-Definition. Creates a new review definition. | Settings und recurrence sauber modellieren. Model settings and recurrence carefully. |
| GET /identityGovernance/accessReviews/definitions/{id}/instances GET /identityGovernance/accessReviews/definitions/{id}/instances | Listet konkrete Review-Instanzen. Lists concrete review instances. | Grundlage für Reporting und Nachverfolgung. Basis for reporting and follow-up. |
| GET /identityGovernance/accessReviews/definitions/{id}/instances/{id}/decisions GET /identityGovernance/accessReviews/definitions/{id}/instances/{id}/decisions | Liest Reviewer-Entscheidungen. Reads reviewer decisions. | Für Audits und Auto-Apply-Validierung. For audits and auto-apply validation. |
| Invoke-MgGraphRequest Invoke-MgGraphRequest | Graph PowerShell für Access Reviews. Graph PowerShell for access reviews. | Praktisch für Beta-Features oder komplexe Body-Payloads. Useful for beta features or complex body payloads. |
JSON
JSON
{
"displayName": "Quarterly guest review - Finance Apps",
"scope": {
"query": "/groups/11111111-1111-1111-1111-111111111111/transitiveMembers",
"queryType": "MicrosoftGraph"
},
"reviewers": [
{
"query": "/groups/11111111-1111-1111-1111-111111111111/owners",
"queryType": "MicrosoftGraph"
}
],
"settings": {
"mailNotificationsEnabled": true,
"reminderNotificationsEnabled": true,
"autoApplyDecisionsEnabled": true,
"defaultDecisionEnabled": true,
"defaultDecision": "Deny"
}
}
PowerShell
PowerShell
Connect-MgGraph -Scopes "AccessReview.ReadWrite.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions"| Best Practice Best practice | Empfehlung Recommendation | Beispiel Example |
|---|---|---|
| Review frequency Review frequency | Privilegierte Rollen monatlich oder quartalsweise, Gäste mindestens quartalsweise. Review privileged roles monthly or quarterly, guests at least quarterly. | Guest access package every 90 days. Guest access package every 90 days. |
| Scoped reviews Scoped reviews | Kleine, verständliche Scopes statt Monster-Reviews. Use small understandable scopes instead of monster reviews. | Eine App oder eine Rolle pro Definition. One app or one role per definition. |
| Use recommendations Use recommendations | ML-Hinweise aktivieren, aber menschliche Entscheidung beibehalten. Enable ML suggestions but retain human decision making. | Stale guest als Deny-Vorschlag. Stale guest as a deny suggestion. |
| Auto-apply carefully Auto-apply carefully | Für standardisierte Gruppen und Pakete aktivieren, für kritische Adminrollen vorsichtig. Enable for standardized groups and packages; use caution for critical admin roles. | Pilot before applying to production roles. Pilot vor kritischen Adminrollen. |
| Reviewer hygiene Reviewer hygiene | Manager- und Owner-Daten aktuell halten. Keep manager and owner data current. | Leere Reviewer-Felder ruinieren Kampagnen. Empty reviewer fields ruin campaigns. |
Betriebscheckliste Operational checklist
| Checkpunkt Checkpoint | Erwarteter Zustand Expected state | Bewertung Assessment |
|---|---|---|
| Review-Katalog erstellt Review catalog created | Kritische Gruppen, Apps und Rollen definiert. Critical groups, apps, and roles defined. | Ja/Nein Yes/No |
| Mehrstufigkeit genutzt Multi-stage used | Hochrisiko-Reviews mit Eskalation ausgestattet. High-risk reviews use escalation. | Ja/Nein Yes/No |
| No-response-Regel passend No-response rule appropriate | Deny oder Empfehlung je nach Risiko. Deny or recommendation based on risk. | Ja/Nein Yes/No |
| Guests quartalsweise Guests quarterly | Externe Zugriffe regelmäßig bereinigt. External access cleaned up regularly. | Ja/Nein Yes/No |
| PIM integriert PIM integrated | Eligible/active Rollen werden rezertifiziert. Eligible/active roles are recertified. | Ja/Nein Yes/No |
| Auto-apply getestet Auto-apply tested | Nur wo Nebenwirkungen verstanden sind. Only where side effects are understood. | Ja/Nein Yes/No |
| Reviewer-Daten sauber Reviewer data clean | Manager und Owner sind gepflegt. Managers and owners are maintained. | Ja/Nein Yes/No |
| Audit exportiert Audit exported | Ergebnisse und Entscheidungen revisionssicher gesichert. Results and decisions stored for audit. | Ja/Nein Yes/No |
Glossar & Schnellreferenz Glossary & quick reference
| Begriff Term | Definition Definition |
|---|---|
| Review Definition Review Definition | Vorlage einer wiederkehrenden Access Review. Template of a recurring access review. |
| Review Instance Review Instance | Konkrete Ausführung einer Definition. Concrete execution of a definition. |
| Auto-Apply Auto-Apply | Automatische Umsetzung der Entscheidungen. Automatic enforcement of decisions. |
| Default Decision Default Decision | Entscheidung bei fehlender Antwort. Decision used when no one responds. |
| Recommendation Recommendation | Signalbasierter Vorschlag an Reviewer. Signal-based suggestion for reviewers. |
| Stale Guest Stale Guest | Lange inaktiver externer Benutzer. Long inactive external user. |
| Affiliation Affiliation | Beziehung eines Benutzers zur Gruppe oder Ressource. Relationship of a user to the group or resource. |
| Recurrence Recurrence | Wiederholungsintervall der Review. Recurrence interval of the review. |