Entra Security-Groups als Access-Profile in deinem IAM-Tool

Du hast bereits Gruppen in Entra ID für SharePoint-Berechtigungen eingerichtet. Diese Gruppen lassen sich 1:1 als AccessProfile nutzen — doppelte Arbeit gespart.

Wer M365 sauber einsetzt, hat Security-Groups — nach Rolle, Projekt oder Team. Diese Gruppen kannst du direkt als RBAC-Rollen in deinem Zugangsverwaltungs-Tool verwenden.

Das Muster

1. Dein AccessGuard-Tool verbindet sich über OAuth mit Entra (delegated User.Read.All + Directory.Read.All).
2. Das Tool ruft Security-Groups nächtlich ab.
3. Jede Group wird zu einem AccessProfile.
4. Mitglieder der Group werden Mitglieder des Profils.
5. Änderungen in Entra → nächste Synchronisierung → automatisch in AG übernommen.

Welche Gruppen eignen sich?

• Rollen-Groups („Sales Team", „Engineering", „HR").
• Security-Groups für SharePoint-Sites.
• Conditional-Access-Zielgruppen.

Nicht geeignet

• M365 Groups (diese sind für die Teams-Mitgliedschaft gedacht, nicht für IAM).
• Dynamische Groups mit komplexen Regeln — für IAM lieber explizite Mitgliedschaft.
• Groups mit Gastbenutzern (diese gehören in ein separates Guest-Review).

Apply-to-Members

Verknüpfe mit jedem AccessProfile, welche Systeme und Elemente dazugehören. Per Klick auf „Apply" wird jedes Mitglied der Group in den Systemen X, Y, Z mit dem richtigen Status hinzugefügt. Lies dazu Birthright Access, um zu sehen, wie sich das kombinieren lässt.

Siehe auch: M365-Pillar, RBAC.