ADMIN

2022

10

2022-09-29T12:00:00

Datensicherheit

PRAXIS

034

Active Directory

Azure

Cloud

Rechte delegieren und begrenzen in Azure AD

Admin auf Zeit

von Thomas Joos

Veröffentlicht in Ausgabe 10/2022 - PRAXIS

Das Azure AD gehört zu den wichtigsten Authentifizierungsdiensten für Cloudumgebungen. Vor allem in der Microsoft-Welt mit Azure und Microsoft 365 ist das Azure AD eine wichtige Komponente für die Authentifizierung von Benutzern. Durch die Synchronisierung mit dem Active Directory können Unternehmen auch lokale Anmeldedaten in die Cloud synchronisieren und dadurch SSO-Szenarien umsetzen. In diesem Workshop zeigen wir, wie Sie Rechte im Azure AD delegieren und so für mehr Sicherheit sorgen.

Wie im Active Directory sollten Sie auch im Azure AD (AAD) für Ordnung in den Konten sorgen und die Verwaltung verschiedener Aufgaben delegieren. Im Active Directory erfolgt das über die Organisationseinheiten (OUs). Diese gibt es in ähnlicher Form auch im AAD. Wir zeigen in diesem Beitrag, wie Sie mit den Administrative Units (Verwaltungseinheiten) arbeiten, um Rechte im Cloudverzeichnis besser zu delegieren. Generell entsprechen die Administrative Units (AU) im AAD zwar den Organizational Units (Organisationseinheiten) im AD. Allerdings unterscheiden sich die beiden Unterteilungsmöglichkeiten deutlich zwischen AD und Azure AD. Im Gegensatz zum AD sind die Berechtigungsstrukturen im Azure AD sehr flach und lassen sich nur komplex einschränken. Verwaltungseinheiten und rollenbasierte Berechtigungen können hier die Lösung sein.
Mehr Sicherheit durch Rollen im Azure AD
AUs sollen dabei helfen, die Struktur im Azure AD auf ähnlichem Weg zu verbessern, wie es die OUs im Active Directory erledigen. Verwaltungseinheiten sind im Azure-Portal bei "Azure Active Directory" verfügbar. Auch im Azure Active Directory Admin Center lassen sich diese über den Punkt "Azure Active Directory" durch Auswahl von "Verwaltungseinheiten" konfigurieren.
In Azure lassen sich Berechtigungen für alle Ressourcen über eine rollenbasierte Berechtigungsstruktur abbilden. Sie sollten die Berechtigungen für Administratoren so einschränken, dass nur die wirklich notwendigen Rechte erlaubt sind. Das verkompliziert die Konfiguration zwar teilweise, erhöht aber die Sicherheit deutlich. Die AUs arbeiten dabei mit der Role Based Access Control (RBAC) zusammen.
Wie im Active Directory sollten Sie auch im Azure AD (AAD) für Ordnung in den Konten sorgen und die Verwaltung verschiedener Aufgaben delegieren. Im Active Directory erfolgt das über die Organisationseinheiten (OUs). Diese gibt es in ähnlicher Form auch im AAD. Wir zeigen in diesem Beitrag, wie Sie mit den Administrative Units (Verwaltungseinheiten) arbeiten, um Rechte im Cloudverzeichnis besser zu delegieren. Generell entsprechen die Administrative Units (AU) im AAD zwar den Organizational Units (Organisationseinheiten) im AD. Allerdings unterscheiden sich die beiden Unterteilungsmöglichkeiten deutlich zwischen AD und Azure AD. Im Gegensatz zum AD sind die Berechtigungsstrukturen im Azure AD sehr flach und lassen sich nur komplex einschränken. Verwaltungseinheiten und rollenbasierte Berechtigungen können hier die Lösung sein.
Mehr Sicherheit durch Rollen im Azure AD
AUs sollen dabei helfen, die Struktur im Azure AD auf ähnlichem Weg zu verbessern, wie es die OUs im Active Directory erledigen. Verwaltungseinheiten sind im Azure-Portal bei "Azure Active Directory" verfügbar. Auch im Azure Active Directory Admin Center lassen sich diese über den Punkt "Azure Active Directory" durch Auswahl von "Verwaltungseinheiten" konfigurieren.
In Azure lassen sich Berechtigungen für alle Ressourcen über eine rollenbasierte Berechtigungsstruktur abbilden. Sie sollten die Berechtigungen für Administratoren so einschränken, dass nur die wirklich notwendigen Rechte erlaubt sind. Das verkompliziert die Konfiguration zwar teilweise, erhöht aber die Sicherheit deutlich. Die AUs arbeiten dabei mit der Role Based Access Control (RBAC) zusammen.
Das heißt, Sie können den Verwaltungseinheiten Rollen zuweisen und anschließend die Verwaltungseinheiten an Benutzer, Gruppen und auch an Geräte binden. Die AAD-Objekte, mit denen die Verwaltungseinheit gekoppelt ist, lassen sich durch die Benutzer verwalten, die Mitglied der Rollen sind, die wiederum mit der Verwaltungseinheit verknüpft sind.
Über den Menüpunkt "Zugewiesene Rollen" steuern Sie bei "Benutzer" nach dem Anklicken eines Benutzerkontos, welche Rechte es im Abonnement erhält. Klicken Sie in der Steuerung der zugewiesenen Rollen auf eine solche, sehen Sie wiederum alle Benutzerkonten, die dieser Rolle zugewiesen sind. Interessant ist hier auch die Möglichkeit, mit Privileged Identity Management im Azure AD zu arbeiten. Dadurch legen Sie fest, dass Benutzer nur über eine gewisse Zeit berechtigt sind, Verwaltungsaufgaben durchzuführen. Diese Rollen weisen Sie wiederum den Verwaltungseinheiten zu.
Nutzer abschotten
AUs helfen prinzipiell dabei, den administrativen Zugriff von Admins zu steuern und einzuschränken. Der Sinn dahinter ist das Abschotten von speziellen Benutzern und Gruppen sowie deren Geräten von den Admin-Gruppen. Die Verwaltungseinheiten ermöglichenden den Aufbau von Administrationscontainern und einer logischen Struktur der Berechtigungen im AAD. Der Umfang der Berechtigungen von Admins lässt sich mit Verwaltungseinheiten flexibel steuern.
Bild 1: Verwaltungseinheiten entsprechen im Azure AD den Organisationseinheiten aus dem Active Directory. Die Verwaltung erfolgt im Azure-Portal.
In den Verwaltungseinheiten steuern Sie die Berechtigungen für Benutzer und Gruppen, während es in der Vorschau auch möglich ist, den Zugriff auf Geräte zu konfigurieren. Im Azure AD Admin Center können Sie über den Menüpunkt "Geräte" überprüfen, welche Geräte aktuell am AAD angemeldet sind. Hier sehen Sie auch die Devices, die angebunden, aber nicht verwaltet oder konform mit den hinterlegten Richtlinien sind. Bei "Alle Geräte anzeigen" überprüfen Sie, ob auch alle Geräte an dieser Stelle noch notwendig sind.
Aus Gründen der Sicherheit kann es sinnvoll sein, nicht mehr benötigte Geräte zu entfernen. Sie können an dieser Stelle auch Einstellungen der Devices anpassen und festlegen, wer wie viele von ihnen an das AAD anbinden darf. Rufen Sie dazu den Menüpunkt "Geräteeinstellungen" auf. Die hier gefundenen Geräte können Sie in neuen Verwaltungseinheiten verknüpfen und dadurch auch deren Verwaltung delegieren. Hier besteht zudem die Möglichkeit, Computer dynamisch anzubinden, also auf Basis ihrer Attribute.
AUs erstellen, anpassen und verwalten
Um Verwaltungseinheiten und die dazugehörigen Objekte zu erstellen und zu steuern, sollten Sie sich mit den verschiedenen Verwaltungswerkzeugen in Azure auseinandersetzen. Diese spielen auch für Microsoft 365 eine wichtige Rolle. Die meisten Optionen zur Verwaltung von Azure, AAD und damit auch für die Verwaltungseinheiten steuern Sie über die die Webportale.
Um das Azure AD, Microsoft 365 sowie Azure zu verwalten, sollten Sie die verschiedenen URLs kennen und unter Umständen als Favoriten speichern. Mit den URLs greifen Sie direkt auf die verschiedenen Verwaltungsportale zu. Die wichtigsten Portale sind:
- Microsoft Azure-Portal: https://portal.azure.com
- Azure AD Admin Center: https://aad. portal.azure.com
- Microsoft 365 Admin Center: https://admin.microsoft.com
- Microsoft Teams Admin Center: https://admin.teams.microsoft.com
- Microsoft Exchange Admin Center: https://admin.exchange.microsoft.com
- SharePoint Admin Center: https://admin.microsoft.com/sharepoint
- Microsoft Endpoint Manager Admin Console: https://endpoint.microsoft.com
- Azure Cloud Shell: https://shell. azure.com
- Azure Subscriptions: https://account. azure.com/Subscriptions
Für die Verwaltungseinheiten nutzen Sie entweder das Azure-Portal und rufen hier den Bereich für "Azure Active Directory" auf oder verwenden gleich das Azure AD Admin Center. Über "Hinzufügen" lassen sich im Azure AD Admin Center schnell und unproblematisch neue Verwaltungseinheiten erstellen. Im ersten Schritt legen Sie dazu den Namen der Verwaltungseinheit fest und können danach bei "Rollen zuweisen" festlegen, welche Administratorrollen Sie der Verwaltungseinheit zuweisen möchten. Der Vorgang ist nicht kompliziert und Sie können jederzeit die Rollen anpassen, die einer Verwaltungseinheit zugeordnet sind.
Für jede Rolle ist in der Spalte "Beschreibung" zu sehen, welche Rechte sie besitzt und für welche Aufgaben sie genutzt werden kann. Den einzelnen Rollen können Sie anschließend Benutzerkonten zuweisen, die im jeweiligen Mandanten angelegt sind. Wenn die Rollen der neuen Verwaltungseinheit zugewiesen sind, können Sie diese erstellen.
Die Verwaltungseinheit ist anschließend über den Menüpunkt "Verwaltungseinheiten" zu sehen. Hier können Sie jederzeit deren Einstellungen anpassen und Benutzer, Gruppen, Geräte sowie Rollen zuweisen. Diese Objekte lassen sich danach durch die Benutzer verwalten, die Mitglied der Verwaltungsrollen sind, die wiederum Bestandteil der Verwaltungseinheit sind. Die Zuordnung ist an dieser Stelle statisch möglich, Sie können Verwaltungseinheiten aber auch dynamisch steuern.
Dynamische Verwaltungseinheiten nutzen
Dynamische Verwaltungseinheiten ermöglichen Abfragen auf Basis von Benutzer- und Geräteattributen für die Mitgliedschaft in einer Verwaltungseinheit. Damit lässt sich die Mitgliedschaft weitgehend automatisieren. Klicken Sie auf eine Verwaltungseinheit im Azure-Portal, können Sie deren Einstellungen und Zuweisungen anpassen. Über den Menüpunkt "Eigenschaften" haben Sie bei "Mitgliedschaftstyp" neben "Zugewiesen" auch die Wahl zwischen "Dynamischer Benutzer" und "Dynamisches Gerät".
Nach dem Einrichten einer Verwaltungseinheit mit einer dynamischen Mitgliedschaft lassen sich mit dem Link "Dynamische Abfrage hinzufügen" eigene Regeln für die Mitgliedschaft definieren. Dabei können Sie auch auf die Attribute der Benutzerkonten oder Geräte zugreifen. Wenn Sie die Regel definiert und gespeichert haben, erkennen Sie auf der Hauptseite der Verwaltungseinheit die jeweiligen Mitglieder und können die Objekte aufrufen. Auch die Regel für die Mitgliedschaft konfigurieren Sie an dieser Stelle.
Bild 2: Das Zuweisen der Administratorrollen einer neuen Verwaltungseinheit.
Konfiguration per PowerShell
Im Grunde genommen sind Verwaltungseinheiten kein komplexes Produkt. Damit diese zur verbesserten Sicherheit im Azure AD beitragen, sollten Sie die restliche Umgebung so konfigurieren, dass die Verwaltungseinheiten ihr Potenzial entfalten können. Dazu gehört auch die Verwaltung von Azure und der AUs mit der PowerShell. Mit dem Cmdlet "New-AzureADMSAdministrativeUnit" administrieren Sie die Verwaltungseinheiten in der PowerShell. Der Befehl sieht zum Beispiel folgendermaßen aus:
New-AzureADMSAdministrativeUnit
      -Description "West Coast region"
      -DisplayName "West Coast"
Damit Sie mit der PowerShell in Azure arbeiten können, müssen Sie zunächst einige Vorbereitungen treffen. Sie können nahezu alle Bereiche im AAD auch mit der PowerShell verwalten, nicht nur die Verwaltungseinheiten. Neben der Möglichkeit, Azure über die Azure Cloud Shell zu verwalten, können Sie das Modul für die Verwaltung des AAD in der PowerShell installieren und dadurch auch lokal Bereiche im Azure AD administrieren, übrigens parallel zur Verwaltung des Active Directory. Dazu installieren Sie das AAD-PowerShell-Modul auf Ihrem PC mit install-module azuread. Anschließend bauen Sie eine Verbindung mit dem Azure AD über die PowerShell auf. Dazu verwenden Sie den Befehl Connect-AzureAD. Um alle vorhandenen Cmdlets für die Azure-AD-Verwaltung anzuzeigen, steht get-command -module azuread zur Verfügung. Die Kommandos für die Verwaltung von Administrative Units können Sie sich zum Beispiel mit dem folgenden Cmdlet anzeigen lassen:
Get-Command *AzureAD*AdministrativeUnit*
Bei der Zuweisung von Verwaltungseinheiten an bestimmte Benutzer oder Gruppen sollten die Anmeldungen der Benutzer überwacht werden. Das gilt auch für die Admin-Konten, die Mitglied in den Verwaltungseinheiten sind. Bei der Änderung von Mitgliedschaften ist oft eine neue Anmeldung am AAD notwendig. Ob diese Anmeldung erfolgreich war, lässt sich im Azure-Portal überwachen. Über das Azure AD Admin Center überprüfen Sie mit dem Menüpunkt "Anmeldeprotokolle" bei "Benutzer", wann sich Benutzer wo angemeldet haben. Auch die IP-Adresse, von der aus die Anmeldung stattgefunden hat, zeigt das Portal an, ebenso die Verwendung einer Multifaktor-Authentifizierung. Viele erfolglose Anmeldungen deuten auf einen Angriff auf ein Benutzerkonto hin.
Wenn Sie in der Azure Cloud Shell oder der Azure-PowerShell Get-AzureADUser eingeben, erhalten Sie Informationen zu den Benutzerkonten in einem Azure-Abonnement. Möchten Sie ausführlichere Informationen zu einem Benutzer oder einer Gruppe im Azure AD sehen, verwenden Sie das Cmdlet mit dem Parameter "ObjectID", zum Beispiel:
Get-AzureADUser -ObjectID 3b47a729-16c1-4be1-9ee2-7f3bd00a346b
Die ObjectID erhalten Sie für jeden Benutzer nach Eingabe von Get-AzureAD-User. Als ObjectID können Sie auch den "UserPrincipalName" verwenden, das ist normalerweise die E-Mail-Adresse, mit der sich der Benutzer anmeldet. Um sich alle Daten eines Benutzerkontos anzuzeigen, geben Sie das Ergebnis von "Get-AzureADUser" an das Cmdlet "select" weiter und verwenden Platzhalter "*", um alle Daten auszugeben:
Get-AzureADUser -ObjectID 3b47a729-16c1-4be1-9ee2-7f3bd00a346b |select *
Verwaltungseinheiten lassen sich auch an Gruppen binden, die Sie ebenfalls in der PowerShell verwalten, etwa um Verwaltungsaufgaben zu überprüfen. Die einzelnen Gruppen im Azure AD lassen sich mit dem Cmdlet Get-AzureADGroup anzeigen. Zusätzlich können Sie in der PowerShell neue Gruppen erstellen, Gruppenmitgliedschaften steuern, Gruppen löschen und vieles mehr. Alle Cmdlets dazu erhalten Sie mit Get-Command *ADGroup*. Die Verwaltung einer Gruppe dürfen die Benutzerkonten durchführen, die Mitglied in einer Verwaltungsrolle sind, die wiederum mit einer Verwaltungseinheit verknüpft ist, zu der die Gruppe zugewiesen wurde.
Verwaltungsaufgaben in Eigenregie
Nach dem Zuweisen von Admins zu Verwaltungseinheiten und der Verknüpfung dieser Verwaltungseinheiten mit Benutzern, Gruppen und Geräten im Azure AD können die Admins in der Verwaltungseinheit auch verschiedene Aufgaben erledigen, um die Objekte zu verwalten. Viele Aufgaben können die Benutzer aber auch selbst erledigen, wenn sie über genügend Rechte verfügen. Im Fokus der Verwaltungseinheiten steht das Delegieren von Aufgaben zur Verwaltung der verknüpften Objekte.
Das AAD bietet ein Self-Service-Portal, an dem sich alle Anwender anmelden können, um ihr eigenes Benutzerkonto zu verwalten. Das Konto ist über die URL "https://myaccount.microsoft.com" erreichbar. Nutzen Anwender auch ein Microsoft-Konto, ist dieses wiederum in einem eigenen Portal über die Seite "https://account.microsoft.com" zu finden. Hier können die Benutzer zum Beispiel ihr Kennwort ändern oder zurücksetzen und auch Einstellungen anpassen sowie den Datenschutz optimieren. Das Kontrollieren der eigenen Anmeldungen ist hier möglich, zum Beispiel um zu überprüfen, ob ein Konto gehackt wurde. Wenn für ein Konto Lizenzen für Microsoft Office hinterlegt sind, können Benutzer über das Portal auch die Installationsdateien herunterladen. Dazu sind keine Verwaltungseinheiten zwingend notwendig.
Bild 3: Das Anpassen der Verwaltungseinheiten im Azure AD.
Privileged Identity Management
Im Zusammenhang mit Verwaltungseinheiten ist Privileged Identity Management (PIM) ein wesentlicher Bestandteil für das Delegieren von Benutzerrrechten. PIM schützt Ressourcen und Benutzerkonten im Azure AD und damit auch in Microsoft 365 oder Endpoint Manager. Mit der Technik lassen sich Angriffe auf privilegierte Benutzerkonten weitgehend verhindern.
Die Verwaltung der Benutzerkonten im Azure AD spielt natürlich vor allem bezüglich des Schutzes von privilegierten Konten eine Rolle. Dabei handelt es sich insbesondere um die Konten, die mehr Rechte in der Umgebung besitzen als normale Benutzerkonten und die über Verwaltungsrollen Mitglied einer Verwaltungseinheit sind: Admin-Konten oder Accounts von Supportmitarbeitern und Usern mit weitreichenden Berechtigungen.
Der Schutz von Benutzerkonten mit erhöhten Rechten ist dabei ein wichtiger Faktor für mehr Sicherheit in Clouddiensten. Dies erhöht auch die Sicherheit der verschiedenen Ressourcen in Microsoft 365 und anderen Clouddiensten. Es gibt in jeder Umgebung Benutzer, die Zugriff auf besonders viele Ressourcen oder komplette Anwendungen haben. Dabei stellt sich die Frage, ob die jeweiligen Benutzerkonten diese Rechten dauerhaft benötigen oder nur bei bestimmten Aufgaben und zu speziellen Zeiten. In den meisten Fällen sind die Rechte nur selten umfassend notwendig. Es ergibt also Sinn, diese Rechte für die Benutzerkonten dann einzuschränken, wenn sie diese Rechte nicht benötigen. Selbst wenn ein Admin-Konto durch Angreifer erfolgreich übernommen wurde, sind in diesem Fall die Ressourcen geschützt, da das Konto seine Rechte nicht ausüben kann.
Bild 4: Verwaltungseinheiten können Sie auch dynamisch konfigurieren.
Der Schutz der Admin-Konten ist die Aufgabe von Azure AD Privileged Identity Management (PIM). Dieser Dienst schützt Konten in Azure, Microsoft 365 und in Umgebungen wie Microsoft Endpoint Manager. Übernehmen Angreifer Konten in Infrastrukturen mit diesen Diensten, können sie meistens weitreichende, schädliche Aktionen durchführen, bis hinein in das lokale Rechenzentrum. Für die Verwendung von Azure AD PIM benötigen Unternehmen eine Lizenz für Azure AD Premium P2. Wie die Lizenzierung genau aussieht, zeigt Microsoft auf der Seite "Lizenzanforderungen für die Verwendung von Privileged Identity Management" [1].
Bild 5: Viele Verwaltungsaufgaben können Benutzer auch selbst durchführen.
Azure AD PIM verwalten
Die Verwaltung von Azure AD PIM erfolgt im Azure-Portal. Über die Suche nach "Azure AD Privileged Identity Management" im Portal öffnet sich die Verwaltungsoberfläche für den Dienst, mit dem sich Zugriffe in Azure und Microsoft 365 sowie Microsoft Endpoint Manager steuern lassen. Das funktioniert parallel zu den Verwaltungseinheiten.
Auf der Seite zur Verwaltung des Dienstes sind mit "Azure AD-Rollen" die verschiedenen Rollen zu sehen sowie die Möglichkeit, diese Rollen zu schützen. Durch Anklicken von "Rollen" gelangen Sie zu den einzelnen Rollen, die in der Umgebung Verwaltungsaufgaben durchführen dürfen. Genau diese Rollen weisen Sie auch in der Verwaltungseinheit zu. PIM schützt wiederum die Mitgliedschaft der Benutzer in diesen Rollen und damit deren Rechte. Am Beispiel von Exchange Online ist die Rolle "Exchange-Administrator" wichtig. Benutzer mit dieser Rolle können nahezu alle Einstellungen in Exchange Online verwalten.
Durch einen Klick auf die Rolle zeigt das Azure-Portal die verschiedenen Verwaltungsmöglichkeiten für diese an. Um Benutzerkonten im AAD und damit auch in Microsoft 365 und Endpoint Manager zu einer Rolle hinzuzufügen, genügt ein Klick auf "Zuweisungen hinzufügen" bei "Rollen". Danach können Sie bei "Rolle auswählen" die gewünschte Rolle nutzen. Bei "Mitglieder auswählen" fügen Sie danach die Benutzerkonten zu der Rolle hinzu, die in Zukunft Exchange Online oder andere Ressourcen verwalten sollen, aber durch PIM geschützt sind.
Bild 6: Azure AD PIM arbeitet mit den Verwaltungseinheiten für das Zuweisen von Benutzerrechten zusammen.
Zugriffszeiten und -szenarien steuern
Wenn Sie die Rolle ausgewählt und die Mitglieder hinzugefügt haben, besteht der nächste Schritt im Festlegen des Zugriffstyps der Rolle. Neben der Genehmigung für Verwaltungszugriffe ist es an dieser Stelle auch möglich, die Zeiten zu steuern, an denen Benutzerkonten überhaupt erst Berechtigungen zur Verwaltung erhalten sollen. Über "Zuweisen" speichern Sie aber zunächst die Mitgliedschaft. In den Einstellungen der Rolle lassen sich jederzeit neue Mitglieder hinzufügen und wieder entfernen. Beim Hinzufügen erhalten die Mitglieder automatisch eine E-Mail, in der sie Informationen zur Rolle erhalten.
Nach dem Aufrufen der Rolle sind die Mitglieder zu sehen und es lassen sich mit "Einstellungen" weitere Anpassungen vornehmen. Im oberen Bereich der Details starten Sie die Anpassung über "Bearbeiten". An dieser Stelle ist es zum Beispiel möglich, das Benutzerkonto zu definieren, das den Verwaltungszugriff für die Benutzer der Rolle genehmigt. In den Einstellungen für die Rollenverwaltung lässt sich konfigurieren, wie lange der Zugriff erlaubt sein soll, wenn die genehmigende Person den Zugriff gestattet hat. Außerdem können Sie einstellen, dass für den Zugriff auf die Rechte der Rolle eine Multifaktor-Authentifizierung notwendig ist. Diese Technik sollte aber ohnehin generell für alle Benutzerkonten im Azure AD und Microsoft 365 zum Einsatz kommen.
Über die Schaltflächen im unteren Bereich lassen sich danach weitere Einstellungen vornehmen, zum Beispiel ob ein Anwender dauerhafte Rechte erhält oder wann Rechte ablaufen. Hier ist es zudem möglich, E-Mails versenden zu lassen, wenn ein Benutzer die Rolle anfordert und erhält.
Bild 7: Mit PIM steuern Sie die Mitgliedschaft in Verwaltungsrollen von Azure AD.
Rollenanforderung durch Admins
Sobald die Anpassungen vorgenommen sind, können Admins bei "Schnellstart" im Azure-AD-Portal bei der Verwaltung von PIM mit "Ihre Rolle aktivieren" den Zugriff auf die Rolle anfragen. Hier sehen sie die Rollen, für die sie berechtigt sind, und können den Zugriff aktivieren. Bei der Aktivierung muss der Admin eine Begründung eingeben. Sobald der Zugriff beantragt ist, erhält der genehmigende Benutzer eine E-Mail, in der er den Zugriff freischalten kann. Das Freischalten kann aber auch direkt im Azure-Portal bei der Verwaltung der Azure-AD-Rollen erfolgen. Sobald der Zugriff genehmigt ist, erhält der Admin eine E-Mail, dass seine Anfrage genehmigt wurde. Alle Vorgänge sind in Azure auch in der Überwachung nachvollziehbar. Danach ist der Admin Mitglied der Rolle, die wiederum Mitglied einer Verwaltungseinheit sein kann.
Link-Codes
[1] Lizenzanforderungen für die Verwendung von Privileged Identity Management: https://docs.microsoft.com/de-de/azure/active-directory/privileged-identity-management/subscription-requirements
Fazit
Verwaltungseinheiten ermöglichen im Azure AD das strukturierte Delegieren von Berechtigungen. In der aktuellen Version ist es auch möglich, Geräte zu verwalten oder die Mitgliedschaft dynamisch zu gestalten. Zusammen mit der rollenbasierten Berechtigungsverwaltung und Privileged Identity Management lassen sich mit den Verwaltungseinheiten effektive Strukturen für die Verwaltung von Berechtigungen im Azure AD erstellen.
(dr)