ADMIN

2024

10

2024-09-29T12:00:00

Identitäts- und Datenschutz

SCHWERPUNKT

054

Identitätsschutz

Azure

Identitätsverwaltung in Azure mit Entra ID (1)

Geschützter Zugriff

von Thomas Joos

Veröffentlicht in Ausgabe 10/2024 - SCHWERPUNKT

Mitarbeiter haben oft Zugriff auf sensible Daten, auch wenn sie von unterwegs oder zu Hause arbeiten. Daher sind Firmen gut beraten, Risiken bereits im Vorfeld zu minimieren. Entra ID Governance ermöglicht die Verwaltung und Kontrolle von Identitäten und Zugriffsrechten. Dabei deckt der Dienst den gesamten Lebenszyklus von Identitäten ab, insbesondere in Azure und Entra ID. Wir zeigen, was die Umgebung zu bieten hat. Dabei konzentrieren wir uns auf die Möglichkeit, Rechte und Gruppenmitgliedschaften effektiv zu verwalten und zu überwachen.

Ein Aspekt von Entra ID Governance [1] liegt im Durchsetzen von Richtlinien, die sicherstellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen dürfen. Dies beinhaltet die Implementierung rollenbasierter Zugriffskontrollen (Role Based Access Control, kurz RBAC) und die Verwaltung von Berechtigungen auf Grundlage spezifischer Aufgaben und Verantwortlichkeiten der Benutzer. Eine weitere Komponente betrifft das Überwachen und Melden von Zugriffsaktivitäten. Durch die Protokollierung und Analyse von Zugriffsmustern können Unternehmen Anomalien und potenzielle Sicherheitsvorfälle frühzeitig erkennen und behandeln.
Identity Governance teils kostenlos
Microsoft Entra ID Governance bietet verschiedene Lizenzoptionen, darunter kostenlose Funktionen in der freien Version von Entra ID in Microsoft 365, eine P1- und P2-Lizenz sowie eine Governance-Variante, wobei jede Stufe zusätzliche Funktionen und Sicherheitsmechanismen umfasst. Die kostenlose Lizenz ermöglicht grundlegende Features wie das Erstellen von Objekten sowie fundamentale Sicherheitsfunktionen. Die P1-Lizenz erweitert diese Basis um Aspekte wie die Verwaltung bedingter Zugriffsrechte und die kontinuierliche Zugriffsbewertung, was für die meisten Organisationen einen Einstiegspunkt darstellt. Diese Lizenz beinhaltet auch globale Passwortschutzrichtlinien und Optionen für das Zurücksetzen von Passwörtern.
Die P2-Lizenz baut auf der P1-Lizenz auf und fügt erweiterte Funktionen hinzu, darunter einen Identitätsschutz für Benutzer und Sitzungen sowie umfassende Governance-Funktionen wie Privileged Identity Management (PIM) und Zugriffsüberprüfungen sowie den bedingten Zugriff. Diese erweiterten Funktionen unterstützen Unternehmen dabei, den Zugang zu sensiblen Ressourcen strenger zu kontrollieren und regelmäßig zu überprüfen. Die Verwaltung der Funktionen erfolgt über das Entra Admin Center, das unter "entra.microsoft.com" erreichbar ist.
Ein Aspekt von Entra ID Governance [1] liegt im Durchsetzen von Richtlinien, die sicherstellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen dürfen. Dies beinhaltet die Implementierung rollenbasierter Zugriffskontrollen (Role Based Access Control, kurz RBAC) und die Verwaltung von Berechtigungen auf Grundlage spezifischer Aufgaben und Verantwortlichkeiten der Benutzer. Eine weitere Komponente betrifft das Überwachen und Melden von Zugriffsaktivitäten. Durch die Protokollierung und Analyse von Zugriffsmustern können Unternehmen Anomalien und potenzielle Sicherheitsvorfälle frühzeitig erkennen und behandeln.
Identity Governance teils kostenlos
Microsoft Entra ID Governance bietet verschiedene Lizenzoptionen, darunter kostenlose Funktionen in der freien Version von Entra ID in Microsoft 365, eine P1- und P2-Lizenz sowie eine Governance-Variante, wobei jede Stufe zusätzliche Funktionen und Sicherheitsmechanismen umfasst. Die kostenlose Lizenz ermöglicht grundlegende Features wie das Erstellen von Objekten sowie fundamentale Sicherheitsfunktionen. Die P1-Lizenz erweitert diese Basis um Aspekte wie die Verwaltung bedingter Zugriffsrechte und die kontinuierliche Zugriffsbewertung, was für die meisten Organisationen einen Einstiegspunkt darstellt. Diese Lizenz beinhaltet auch globale Passwortschutzrichtlinien und Optionen für das Zurücksetzen von Passwörtern.
Die P2-Lizenz baut auf der P1-Lizenz auf und fügt erweiterte Funktionen hinzu, darunter einen Identitätsschutz für Benutzer und Sitzungen sowie umfassende Governance-Funktionen wie Privileged Identity Management (PIM) und Zugriffsüberprüfungen sowie den bedingten Zugriff. Diese erweiterten Funktionen unterstützen Unternehmen dabei, den Zugang zu sensiblen Ressourcen strenger zu kontrollieren und regelmäßig zu überprüfen. Die Verwaltung der Funktionen erfolgt über das Entra Admin Center, das unter "entra.microsoft.com" erreichbar ist.
Die Entra-ID-Governance-Lizenz schließlich bietet eine Reihe zusätzlicher Governance-Funktionen. Dazu gehören Lifecycle-Workflows zur Automatisierung von Onboarding- und Offboarding-Prozessen, erweiterte Zugriffsprüfungen mit maschinellem Lernen und zusätzliche Funktionen für das Berechtigungsmanagement. Diese Lizenz umfasst auch Integrationen mit verifizierten Identitäten und benutzerdefinierten Erweiterungen über Logic-Apps sowie erweiterte Berichts- und Analysefunktionen zur Überwachung und Verwaltung von Gastbenutzern.
Mit den Lifecycle-Workflows in Entra ID Governance können Organisationen den gesamten Lebenszyklus von Benutzerkonten automatisieren, vom Erstellen über das Verwalten bis hin zum Deaktivieren. Dies beinhaltet das automatische Bereitstellen von temporären Zugangspässen und das Versenden von Benachrichtigungen an Manager und Benutzer zu festgelegten Zeitpunkten. Microsoft stellt die Lizenzunterschiede unter [2] dar.
Die Integration von maschinellem Lernen in Zugriffsüberprüfungen hilft, potenziell unnötige Zugriffsrechte zu identifizieren, indem Benutzer mit geringer organisatorischer Zugehörigkeit hervorgehoben werden. Das Verwenden verifizierter Identitäten ermöglicht es, den Zugriff auf Ressourcen auf Grundlage überprüfbarer Nachweise zu steuern. Das ist sowohl auf externe Partner als auch auf interne Mitarbeiter anwendbar, um den Zugriff auf bestimmte Ressourcen oder Rollen zu ermöglichen. Das Sponsor-Konzept innerhalb der Governance-Lizenz erlaubt es, Verantwortliche für externe Benutzer zu bestimmen, die für deren Verwaltung und Genehmigungen zuständig sind.
Entra ID Governance in der Praxis
Die Verwaltung von Entra ID Governance erfolgt über das Entra Admin Center, das über "entra.microsoft.com" zugänglich ist. Identity Governance bietet eine Reihe von Funktionen. Ein Beispiel ist die Kontrolle darüber, welche Benutzer in der Umgebung Zugriff auf bestimmte Ressourcen besitzen oder das Recht haben, bestimmte Gruppen zu verwalten. Sind die Mitglieder einer Gruppe mit Zugangsrechten für wichtige Ressourcen ausgestattet, halten die User, die diese Gruppe verwalten, im Grunde weitreichende Rechte in der Umgebung in ihren Händen.
Die Benutzer, die die Gruppe verwalten, kontrollieren letztendlich den Zugriff auf die Ressourcen. Dabei muss es sich weder um Administratoren noch um die Besitzer einer Gruppe handeln. Selbst Admins wissen nicht unbedingt, wer Mitglied einer Gruppe sein soll. Das liegt letztlich in der Verantwortung der einzelnen Abteilungen sowie der Eigentümer und Verwalter der Ressourcen. Es ist daher nicht leicht zu kontrollieren, wer entscheiden soll, ob Benutzer A Mitglied von Gruppe B sein darf und damit Zugriff auf Ressource C erhält. Nicht in allen Organisationen wissen die Admins oder Gruppenbesitzer, wer Mitglied sein darf. Manchmal wissen jedoch die Personen, die für eine bestimmte Anwendung verantwortlich sind oder diese entwickelt haben, welche Benutzer Zugriff erhalten sollen und daher Mitglieder der Zugriffsgruppe sein müssen.
Natürlich sind solche Szenarien nicht überall anzutreffen, aber in mittleren und großen Organisationen kommt es häufiger vor, dass die Verwaltung von Gruppen intelligent gesteuert werden muss, zum Beispiel mit speziellen Zugriffspaketen. Diese sind Teil von Entra ID P2 und gehören zum Funktionsumfang von Identity Governance. Durch Anklicken des entsprechenden Menüpunkts im Entra Admin Center und Auswahl von "Dashboard" finden Sie den Einstieg in die Verwaltung von Identity Governance.
Bild 1: Die Identity Governance erreichen Sie über das Dashboard im Entra Admin Center. SchwerpunktIdentitätsverwaltung in Azure mit Entra ID
Berechtigungen steuern
Die Verwaltung von Zugriffspaketen in Entra ID ermöglicht es Organisationen, den Zugriff auf eine Sammlung von Ressourcen zu steuern und den Zugriff automatisiert oder durch Delegation zu genehmigen. Zugriffspakete, auch Access Packages genannt, bündeln verschiedene Ressourcen wie Gruppenmitgliedschaften, Anwendungen und SharePoint-Sites, die der Admin einem Benutzer oder einer Gruppe zuweist.
Über das Entitlement Management lassen sich detaillierte Richtlinien und Genehmigungsprozesse festlegen, die sicherstellen, dass nur berechtigte Benutzer Zugang zu den notwendigen Ressourcen erhalten. Diese Pakete sind auch so konfigurierbar, dass sie regelmäßige Überprüfungen durchlaufen, um sicherzustellen, dass die Zugriffsrechte weiterhin vonnöten sind. Erweiterte Funktionen wie die Integration von verifizierten Identitäten und das Verwenden von Sponsoren ermöglichen eine noch präzisere und sicherere Verwaltung von Zugriffsrechten, indem sie zusätzliche Prüfungen und Verantwortlichkeiten einführen.
Über die Schaltfläche "Erstellen eines Zugriffspaketes" im Identity-Governance-Dashboard öffnen Sie die Seite zur Erstellung und Verwaltung. Dazu ist eine P2-Lizenz notwendig, die 30 Tage lang kostenlos zum Testen bereitsteht. Mit "Neues Zugriffspaket" erzeugen Sie ein solches Paket, wobei Sie ein typischer Azure-Assistent durch den Prozess geleitet: Zunächst legen Sie den Namen fest und wählen den Katalog aus, in dem Fall "General". Es ist an dieser Stelle auch möglich, eigene Kataloge zu erstellen. Das neue Zugriffspaket wird anschließend im entsprechenden Katalog angelegt. Über den Menüpunkt "Ressourcenrollen" erfolgt dann das Zuweisen der Ressourcen, auf die das Zugriffspaket anzuwenden ist.
Neben der Pflege von Gruppen, wie in diesem Beispiel, lassen sich auch Anwendungen an das Paket anbinden, SharePoint-Websites und Rollen aus Entra ID. Auch ein Mischbetrieb ist möglich, Sie können mit einem Zugriffspaket daher auch verschiedene Rechte aus unterschiedlichen Ressourcen steuern. Wird die entsprechende Ressource nicht automatisch angezeigt, befindet sie sich nicht im jeweiligen Katalog, in diesem Fall in "General". Durch das Setzen des Hakens bei "Alle Gruppen anzeigen", blendet der Assistent alle Ressourcen des Abonnements ein, die sich mit dem Zugriffspaket steuern lassen.
Bei "Rolle" wählen Sie aus, welche Benutzerrolle ein Anwender erhalten soll, wenn ihm das Zugriffspaket zugewiesen wird oder er den Zugriff anfordert. Im Fall von Gruppen kann das "Owner" oder "Member" sein. Andere Ressourcen zeigen andere Rollen an, die sich an dieser Stelle verwenden lassen. Über "Anforderungen" legen Sie fest, für wen die Einstellungen gelten. Hier geben Sie an, ob Benutzer im jeweiligen Entra-ID-Verzeichnis an das Zugriffspaket angebunden sein sollen oder auch externe Nutzer. Ansonsten lässt sich mit "Keine" die automatische Zuweisung unterbinden und Sie müssen das Zugriffspaket als Admin manuell zuweisen. Bei der Zuweisung an "Für in Ihrem Verzeichnis befindliche Benutzer" besteht anschließend die Möglichkeit, Benutzer oder Gruppen auszuwählen, an die das Zugriffspaket gebunden ist. Es ist auch möglich, alle Benutzer auszuwählen. Die User erhalten dann nicht automatisch Zugriff, sondern müssen diesen beantragen.
Bild 2: Das Zuweisen von Ressourcen zu einem Zugriffspaket ist über den Punkt "Ressourcenrollen" möglich.
Berechtigungen über Identity Governance vergeben
Ein wichtiger Faktor der Identity Governance in Entra ID ist die Möglichkeit, die Zuweisung von Rechten genehmigen zu lassen. Bei der Verwendung von Zugriffspaketen können Sie beim Erstellen über "Anforderungen" und den Punkt "Genehmigung" festlegen, dass eine bestimmte Person zustimmen muss, bevor einem Benutzer ein Paket zugewiesen wird. Wenn Sie wie hier ein Zugriffspaket erstellen, um die Mitgliedschaft einer Gruppe zu steuern, legen Sie durch Aktivieren von "Ja" bei "Genehmigung" und Auswahl des genehmigenden Benutzers bei "Erste genehmigende Person" fest, welcher Benutzer die Mitgliedschaft bestätigen muss. Dabei muss es sich weder um einen Administrator noch um den Eigentümer der Gruppe handeln. Sie bestimmen bei Bedarf zudem, dass der Benutzer die Mitgliedschaftsanfrage begründen muss, indem Sie "Begründung des Antragstellers erforderlich" auswählen.
Unter "Wie viele Phasen" stellen Sie wiederum ein, wie viele und welche Personen den Zugriff auf die Ressourcen genehmigen müssen, bevor der Antragsteller Zugriff erhält. An dieser Stelle können Sie auch festlegen, dass die Genehmigungsanfrage automatisch an einen Stellvertreter weitergeleitet wird, wenn die erste genehmigende Person nach einer bestimmten Zeit nicht reagiert. Standardmäßig geschieht dies nach 14 Tagen, aber diese Zeitspanne lässt sich anpassen. Es ist zudem möglich, dass Anforderungen automatisch abgelehnt werden, wenn der Genehmigende nicht zustimmt. Dazu verwenden Sie die Option "Wenn keine Aktion ausgeführt wird, an alternative genehmigende Person weiterleiten?"
Um auf Nummer sicher zu gehen, lässt sich in diesem Prozess auch noch die Option "Begründung der genehmigenden Person erforderlich" einstellen. Interessant ist an dieser Stelle außerdem der Menüpunkt "Informationen zum Antragsteller". Hier stellen Sie weitere, benutzerdefinierte Fragen, warum jemand Zugang zu der Ressource benötigt. Diese Fragen blendet die Webseite "myaccess.microsoft.com" für den Zugriff ein, wenn der Benutzer ein bestimmtes Zugriffpaket anfordert. Die Antworten können in den Genehmigungsprozess einfließen. Als Antwortformat stehen Multiple-Choice- oder Textantworten zur Verfügung. Soll die Beantwortung der Frage optional sein, entfernen Sie den Haken bei "Erforderlich".
Lebenszyklus von Berechtigungen steuern
Im Rahmen der Identity Governance spielen auch die Zeiträume, in denen Rechte genutzt werden, eine wichtige Rolle. Nicht immer benötigen Benutzer dauerhaft bestimmte Freigaben auf Ressourcen. Mit "Lebenszyklus" geben Sie beim Erstellen eines Zugriffspakets an, wann die darin definierten Rechte ablaufen. Somit ist es möglich, über ein Zugriffspaket flexibel zu steuern, welche Rechte bestimmte Benutzer auf verschiedene Ressourcen erhalten sollen, wer die Vergabe der Rechte genehmigen muss und wie lange die Be- fugnisse gültig sind.
Interessant in diesem Bereich ist die Option "Zugriffskontrolle". Hier lässt sich im Rahmen der laufenden Zugriffe regelmäßig überprüfen, ob der Benutzer die Rechte aktuell wirklich noch benötigt. Der Check kann durch den Benutzer selbst oder durch den Vorgesetzten erfolgen. Auch die Zuweisung eines Prüfers ist an dieser Stelle möglich. Über den Menüpunkt "Benutzerdefinierte Erweiterungen" lassen sich weitere optionale Regeln definieren und zum Beispiel eigene Erweiterungen hinterlegen. Anschließend können Sie das Zugangspaket erstellen. Wenn Sie auf den einzelnen Seiten des Assistenten etwas vergessen haben, zeigt der Assistent eine entsprechende Warnung an.
Bild 3: Sie können festlegen, ob Nutzer ihre Anfrage begründen müssen, wenn es um die die Zuweisung von Berechtigungen zu Ressourcen geht.
Zugriffspakete im Einsatz
Nachdem Sie ein Zugriffspaket erstellt haben, können Sie dessen Einstellungen jederzeit verwalten. Sie finden die Pakete im Bereich "Identity Governance" unter "Berechtigungsverwaltung". Benutzer wiederum verwalten ihre Aktionen in Identity Governance über die Webseite "myaccess. microsoft.com". Hier lassen sich Anträge für den Zugriff auf Ressourcen stellen und genehmigen. Alle Pakete sind nach dem Aktivieren über den Menüpunkt "Zugriffspakete" sichtbar. Möchte ein Benutzer auf ein Ressourcenpaket zugreifen, kann er in der Spalte "Aktionen" auf "Anfrage" klicken und die Berechtigung beantragen. Wenn Sie Fragen im Zugriffspaket hinterlegt haben, muss der Benutzer diese noch beantworten. Hat er den Antrag mit "Anforderung übermitteln" abgeschickt, ist es an der genehmigenden Person, dies zu bestätigen.
Auf der Seite "Anforderungsverlauf" stellen Benutzer Anträge für Zugriffe und auf der Seite "Genehmigungen" sehen Sie die ausstehenden oder erfolgten Genehmigungen. Haben Sie Überprüfungen für Zugriffspakete definiert, tauchen diese ebenfalls auf dieser Seite auf und die Benutzer können ihre eigenen Aktionen durchführen. Genehmigende Personen sehen unter "MyAccess" im Bereich "Genehmigungen", wenn ein anderer Benutzer einen Antrag gestellt hat, den Sie genehmigen sollen. Hier erteilen verantwortliche Benutzer die Freigaben entweder mit "Genehmigen" oder verweigern diese mit "Ablehnen".
Je nachdem, was Sie im Zugriffspaket festgelegt haben, kann der Antrag nach einer gewissen Zeit automatisch ablaufen oder die Genehmigung wird an eine andere Person weitergeleitet, die Sie angegeben haben. Nach dem Freischalten nimmt Entra ID den Benutzer automatisch in die Gruppe auf oder gewährt ihm Zugriff auf die entsprechende Ressource, auf Basis der im Zugriffspaket festgelegten Rollen. In diesem Bereich ist auch der bedingte Zugriff (Conditional Access) von Bedeutung, der steuert, unter welchen Bedingungen ein Anwender seine Rechte nutzen darf.
Fazit
Entra ID Governance bietet Werkzeuge für Identitäten und Zugriffsrechten in einer Organisation. Die Umgebung ermöglicht die Automatisierung des gesamten Lebenszyklus von Identitäten. Nach dem Einstieg in das Tool erfahren Sie im zweiten Teil mehr zu Conditional Access, dem Schutz von Usern und Entra Verified ID.
(dr)
Link-Codes