Tags: Azure, Active Directory, Rechteverwaltung
Die Benutzer- und Gruppenverwaltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteilergruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dynamischen Gruppen über Abfragen.
Gruppen werden vor allem zum Delegieren von Berechtigungen verwendet, wenngleich es auch andere Einsatzbereiche gibt. Sicherheitsgruppen können neben Benutzern und Service-Prinzipalen auch Geräte beinhalten.
Azure AD dient zudem als Identitätsspeicher für andere Microsoft-Cloud-Angebote wie Microsoft 365, Office oder Teams, so dass sich Benutzer dort über eigene Gruppen verwalten lassen.
Gruppen im Azure AD
Gruppen im Azure Active Directory lassen sich für folgende Zwecke nutzen:
- AAD-Gruppen lassen sich als Ziel für Azure-Rollenzuweisungen (RBAC) verwenden, wodurch sich diese Aufgabe für privilegierte Rollen vereinfacht.
- Gruppen in Azure AD erlauben das Zuweisen von Lizenzen an eine große Zahl von Benutzern
- Über Azure-AD-Gruppen kann man internen oder externen Benutzern den Zugriff auf Unternehmens-Apps zuweisen.
Azure AD kennt grundsätzlich zwei Arten von Gruppen, nämlich Sicherheitsgruppen und Microsoft-365-Gruppen.
Sicherheitsgruppen
Sie eignen sich hauptsächlich für das Delegieren des Zugriffs auf Azure-Ressourcen und lassen sich noch einmal in drei Kategorien aufteilen:
Zugewiesene Gruppen: Hierbei handelt es sich um Gruppen, die man im Azure AD erstellt und denen Sie anschließend manuell Benutzer fest zuteilen. Bei Bedarf funktioniert das auch im Rahmen von Massenvorgängen.
Dynamische Gruppen: Dynamische Gruppen regeln die Mitgliedschaft automatisch auf Basis bestimmter Merkmale oder Attribute eines AAD-Objekts wie Displayname oder Department. Dazu müssen Sie eine entspreche Query formulieren. Das klappt wahlweise interaktiv oder mit Hilfe des Abfrage-Editors. Dynamische Gruppen erfordern allerdings eine Azure Premium P1-Lizenz.
Um eine dynamische Gruppe anzulegen, klicken Sie nach Auswahl des Group type ("Security") und des Membership type ("Dynamic User") auf den Link Add dynamic query.
Der nächste Dialog bietet einen visuellen Query-Builder, der die Formulierung einer Abfrage vereinfacht.
Synchronisierte Gruppen: Sie werden via Azure AD Connect aus einem lokalen AD DS übernommen.
Gruppen für Office 365
Office-365-Gruppen haben eine gewisse Ähnlichkeit mit Verteilerlisten in Exchange, das heißt, man kann zwar E-Mails an Office-365-Gruppen senden, aber sie nicht zum Delegieren von Berechtigungen verwenden.
Außerdem können Mitglieder von Office-365-Gruppen Zugriff auf freigegebene Postfächer, Kalender, Dateien, SharePoint-Websites und mehr erhalten.
Gruppen schachteln
Seit Juni dieses Jahres unterstützt Azure Nested Azure AD Dynamic Groups. Das Feature ist derzeit noch Preview und erlaubt das Schachteln von Sicherheitsgruppen im Azure AD.
Auch ohne dynamische Gruppen, die ja eine Premium-P1-Lizenz erfordern, konnte man eine gewöhnliche AAD-Sicherheitsgruppe als Mitglied in eine andere aufnehmen.
Dies hat jedoch nie so funktioniert wie vorgesehen, weil die eigentlichen Gruppenmitglieder dann nicht korrekt aufgelöst wurden. Daran scheiterte etwa das Zuweisen von Lizenzen oder Anwendungen.
Die neue Funktion in den dynamischen Azure AD-Gruppen sieht vor, dass es ein weiteres Attribut MemberOf gibt, nach dem Sie filtern können, um Gruppen automatisch mit Benutzern oder Geräten zu befüllen.
Damit kann man die Mitglieder mehrerer Quellgruppen als so genannte direkte Mitglieder in einer Gruppe zusammenfassen, was quasi der erwähnten Schachtelung entspricht.
Interessant: Hierbei sind als Quellgruppen alle Arten von Gruppen zulässig, also nicht nur Sicherheits-, sondern auch Office-365-Gruppen.
In der aktuellen Preview-Phase kann jede dynamische Gruppe momentan nur 50 andere Gruppen aufnehmen.
Mitgliedschaft in Gruppen verwalten
Beim Erstellen einer Gruppe können Sie ihr nicht nur Mitglieder zuweisen (statisch oder dynamisch), sondern auch einen Gruppeneigentümer (Owner) festlegen. Das geht natürlich auch bei bestehenden AAD-Gruppen. Der Prozess ist für beide gleich.
Sie benötigen für diese Aufgabe die Rolle Gruppenadministrator oder Benutzeradministrator.
Die Mitgliedschaft in Azure-AD-Gruppen ist ein wichtiges Thema für Identity Governance. Unternehmen sollen dabei regelmäßig Rechenschaft darüber ablegen, welche Benutzer welche Berechtigungen benötigen.
Diesem Zweck dienen Zugriffsprüfungen (Access Reviews). Damit werden die Verantwortlichen in regelmäßigen Intervallen aufgefordert, die Mitgliedschaften in Gruppen zu untersuchen und zu schauen, ob diese noch aktuell bzw. erforderlich sind.
Der Einstiegspunkt dazu ist unter Azure AD im Menü Identity Governance.
Hier befinden sich die Abschnitte Access Reviews und Privileged Identity Management. Während wir Access Review im Rahmen von Privileged Identity Management bereits vorgestellt haben, werfen wir jetzt einen kurzen Blick auf Access Reviews im Allgemeinen.
Neue Prüfung für Zugriffsrechte erstellen
Klicken Sie auf den Menüeintrag und dann auf +New access review. Sie können bei Select what to review bestimmen, ob Sie eine Zugriffsprüfung für die Mitgliedschaft in bestimmten Teams + Groups erstellen möchten oder für den Zugriff auf ausgewählte Applications.
Im Falle von Teams + Groups müssen Sie dann zwischen All Microsoft 365 groups with guest users und Select Teams + Groups entscheiden. Bei Letzteren können Sie die gewünschte Azure-AD-Gruppe zur Zugriffsprüfung auswählen.
Wenn Sie dann im nächsten Schritt des Access-Review-Assistenten einen Prüfer auswählen, können Sie zum Beispiel Group owner(s) nehmen.
Zusammenfassung
Azure Active Directory unterstützt Sicherheitsgruppen, wie man sie von on-prem kennt und mit denen sich Berechtigungen für bestimmte Ressourcen zuweisen lassen. Daneben gibt es noch Gruppen für Microsoft 365, die sich am ehesten mit den herkömmlichen Verteilergruppen vergleichen lassen.
Die Zuweisung von Mitgliedern zu Gruppen muss nicht statisch erfolgen, vielmehr lassen sich diese auch dynamisch über Abfragen füllen. Dieser Mechanismus liegt auch den neuen verschachtelten Gruppen zugrunde.
In großen Umgebungen, in denen sich die Mitglieder von Gruppen häufig ändern, können Admins mit Hilfe von Access Reviews regelmäßig prüfen, ob bestimmte User noch zu Recht in Gruppen enthalten sind.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Rollen in Azure und Azure Active Directory
- Microsoft Teams: Benutzer am Erstellen von neuen Teams hindern
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Mit Windows 11 dem Azure Active Directory beitreten
Weitere Links