Mitgliedschaft

Die Mitgliedschaftsverwaltung verbindet Benutzer mit Sicherheitsgruppen und bestimmt dadurch deren Zugriffsrechte im System. Aenderungen werden mit Microsoft 365 synchronisiert.

Grundkonzept

+-------------------+       +-------------------+       +-------------------+
|     Benutzer      |       |  Sicherheits-     |       |  Berechtigungen   |
|                   |       |  gruppe           |       |                   |
+-------------------+       +-------------------+       +-------------------+
| Max Mustermann    |<----->| Admin             |------>| admin             |
| Anna Schmidt      |<----->| Buchhaltung       |------>| manage_invoices   |
| Tom Mueller       |<----->| Entwicklung       |------>| view_files        |
+-------------------+       +-------------------+       +-------------------+

Ein Benutzer kann mehreren Gruppen angehoeren.
Berechtigungen werden aus allen Gruppen zusammengefuehrt.

Benutzer-Gruppen-Beziehung

Many-to-Many Beziehung

Ein Benutzer kann in mehreren Gruppen sein
Eine Gruppe kann mehrere Benutzer haben
Berechtigungen werden kumuliert (Vereinigungsmenge)

Effektive Berechtigungen

Benutzer: Max Mustermann
    |
    +-- Gruppe: Benutzer
    |       +-- view_dashboard
    |       +-- view_files
    |       +-- browse_files
    |
    +-- Gruppe: Buchhaltung
            +-- manage_invoices
            +-- view_invoices
            +-- manage_accounting

Effektive Berechtigungen:
    - view_dashboard
    - view_files
    - browse_files
    - manage_invoices
    - view_invoices
    - manage_accounting

Admin-Override

Wenn ein Benutzer Mitglied einer Gruppe mit admin-Berechtigung ist, hat er automatisch alle Rechte:

Benutzer: Admin-User
    |
    +-- Gruppe: Admin
            +-- admin  <-- Ueberschreibt alles

Effektive Berechtigungen:
    - ALLE Berechtigungen

Mitglieder zu Gruppe hinzufuegen

Ueber die Gruppen-Bearbeitung

Navigieren Sie zu Sicherheitsgruppen
Oeffnen Sie die gewuenschte Gruppe
Klicken Sie auf "Bearbeiten"
Im Abschnitt "Mitglieder":
- Waehlen Sie einen Benutzer aus der Dropdown-Liste
- Klicken Sie auf "Hinzufuegen"

+------------------------------------------------------------------+
|  Mitglieder verwalten                                             |
+------------------------------------------------------------------+
|                                                                   |
|  Mitglied hinzufuegen                                             |
|  +------------------------------------------+  +-------------+   |
|  | Benutzer auswaehlen...              v   |  | Hinzufuegen |   |
|  +------------------------------------------+  +-------------+   |
|                                                                   |
|  Aktuelle Mitglieder (3)                                          |
|  +------------------------------------------------------------+  |
|  | Max Mustermann        | max@contoso.com    | [Entfernen]   |  |
|  | Anna Schmidt          | anna@contoso.com   | [Entfernen]   |  |
|  | Tom Mueller           | tom@contoso.com    | [Entfernen]   |  |
|  +------------------------------------------------------------+  |
|                                                                   |
+------------------------------------------------------------------+

Voraussetzungen

Anforderung	Beschreibung
Microsoft-ID	Benutzer muss mit M365 verknuepft sein
Gleicher Mandant	Benutzer muss zum gleichen Mandanten gehoeren
Nicht bereits Mitglied	Benutzer darf nicht bereits in der Gruppe sein

Ablauf

Benutzer aus der Dropdown-Liste auswaehlen
Auf "Hinzufuegen" klicken
Das System fuegt den Benutzer zur M365-Gruppe hinzu
Bei Erfolg erscheint eine Bestaetigung, bei Fehlern eine Fehlermeldung

Mitglieder aus Gruppe entfernen

Ueber die Gruppen-Ansicht

Navigieren Sie zur Gruppe (Detail- oder Bearbeitungsansicht)
Klicken Sie bei dem Mitglied auf "Entfernen"
Bestaetigen Sie im Dialog

Bestaetigungsdialog

+------------------------------------------------------------------+
|  Mitglied entfernen                                               |
+------------------------------------------------------------------+
|                                                                   |
|  Moechten Sie "Max Mustermann" wirklich aus dieser Gruppe        |
|  entfernen?                                                       |
|                                                                   |
|  Der Benutzer verliert alle Berechtigungen, die ausschliesslich  |
|  ueber diese Gruppe vergeben wurden.                             |
|                                                                   |
|              [Abbrechen]   [Entfernen]                           |
|                                                                   |
+------------------------------------------------------------------+

Achtung: Das Entfernen aus der Admin-Gruppe kann dazu fuehren, dass Sie selbst keinen Admin-Zugang mehr haben, wenn Sie keine andere Admin-Mitgliedschaft besitzen.

Ablauf

Auf "Entfernen" beim entsprechenden Mitglied klicken
Im Dialog auf "Entfernen" klicken um zu bestaetigen
Das System entfernt den Benutzer aus der M365-Gruppe
Bei Erfolg erscheint eine Bestaetigung, bei Fehlern eine Fehlermeldung

Rollen innerhalb von Gruppen

Rollen-Typen

Rolle	Beschreibung	Verwendung
Member	Standard-Mitglied	Normale Benutzer
Owner	Gruppen-Eigentuemer	Kann Gruppe in M365 verwalten

Rollen in KlarKonform

In KlarKonform wird die Rolle "member" standardmaessig verwendet. Die Owner-Verwaltung erfolgt direkt in Microsoft 365.

+-------------------+
|   M365 Gruppe     |
+-------------------+
| Owners:           |
| - Admin A         |
| - Admin B         |
+-------------------+
| Members:          |
| - User 1          |
| - User 2          |
| - User 3          |
+-------------------+
        ^
        |
   Wird von
   KlarKonform
   verwaltet

Berechtigungspruefung

Wie Berechtigungen geprueft werden

Aktion: Rechnung erstellen
        |
        v
+------------------------+
| Erforderliche          |
| Berechtigung:          |
| manage_invoices        |
+------------------------+
        |
        v
+------------------------+
| Benutzer-Gruppen       |
| laden                  |
+------------------------+
        |
        v
+------------------------+
| Hat eine Gruppe        |
| 'admin' oder           |
| 'manage_invoices'?     |
+------------------------+
        |
    +---+---+
    |       |
   Ja     Nein
    |       |
    v       v
 Zugriff  Zugriff
 erlaubt  verweigert

Hierarchie

admin ueberschreibt alle anderen Berechtigungen
Spezifische Berechtigungen werden aus allen Gruppen gesammelt
Wenn mindestens eine Gruppe die Berechtigung hat, ist der Zugriff erlaubt

Synchronisation mit M365

Was wird synchronisiert?

Richtung	Daten
KlarKonform -> M365	Mitglieder hinzufuegen/entfernen
M365 -> KlarKonform	Mitgliederliste bei Sync

Automatische Synchronisation

Bei folgenden Aktionen wird automatisch synchronisiert:

Gruppe oeffnen (Mitglieder werden geladen)
Gruppe bearbeiten (Mitglieder werden aktualisiert)
Manuelle Synchronisation

Inkonsistenzen

Wenn ein Benutzer direkt in M365 hinzugefuegt oder entfernt wird:

KlarKonform zeigt die alte Mitgliederliste
Bei naechster Synchronisation werden Aenderungen uebernommen
Manuelle Synchronisation kann Inkonsistenzen beheben

Verfuegbare Benutzer

Wer erscheint in der Auswahlliste?

+------------------------------------------------------------------+
|  Benutzer-Filter                                                  |
+------------------------------------------------------------------+
|                                                                   |
|  Alle Benutzer des Mandanten                                      |
|      |                                                            |
|      +-- Hat Microsoft-ID?                                        |
|              |                                                    |
|          +---+---+                                                |
|          |       |                                                |
|         Ja     Nein                                               |
|          |       |                                                |
|          v       v                                                |
|       In Liste  Nicht                                             |
|                 sichtbar                                          |
|                                                                   |
+------------------------------------------------------------------+

Benutzer ohne Microsoft-ID

Benutzer, die nicht mit Microsoft 365 verknuepft sind:

Erscheinen nicht in der Mitglieder-Auswahl
Koennen keinen Gruppen hinzugefuegt werden
Muessen zuerst mit M365 synchronisiert werden

Best Practices

Gruppenstruktur

Empfohlene Struktur:
+-------------------+
|      Admin        |  <-- Nur IT-Administratoren
+-------------------+
        |
        v
+-------------------+
|     Benutzer      |  <-- Alle Mitarbeiter
+-------------------+
        |
    +---+---+
    |       |
    v       v
+-------+ +-------+
| Buchhalt| Vertrieb |  <-- Abteilungs-spezifisch
+-------+ +-------+

Prinzip der minimalen Rechte

Benutzer erhalten nur notwendige Berechtigungen
Vermeiden Sie es, alle Benutzer als Admin zu setzen
Erstellen Sie spezifische Gruppen fuer Abteilungen

Regelmaeessige Ueberpruefung

Intervall	Aufgabe
Monatlich	Mitgliedschaften pruefen
Bei Austritt	Benutzer aus allen Gruppen entfernen
Quartalsweise	Ungenutzte Gruppen identifizieren

Fehlerbehebung

Benutzer erscheint nicht in der Auswahlliste

Pruefen Sie, ob der Benutzer eine Microsoft-ID hat
Synchronisieren Sie die Benutzerliste
Pruefen Sie, ob der Benutzer zum gleichen Mandanten gehoert

Mitglied laesst sich nicht entfernen

Pruefen Sie die M365-Verbindung
Pruefen Sie, ob Sie berechtigt sind (Admin oder manage_groups)
Pruefen Sie die Fehlermeldung

Berechtigungen werden nicht korrekt angewendet

Synchronisieren Sie die Gruppen
Pruefen Sie die Gruppen-Mitgliedschaften des Benutzers
Pruefen Sie die Berechtigungen der Gruppen
Benutzer muss sich ggf. neu anmelden

Mitgliedschaft

On this page