Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische

Die Benutzer- und Gruppen­ver­waltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteiler­gruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dyna­mischen Gruppen über Abfragen.

Gruppen werden vor allem zum Delegieren von Berechtigungen verwendet, wenngleich es auch andere Einsatzbereiche gibt. Sicherheitsgruppen können neben Benutzern und Service-Prinzipalen auch Geräte beinhalten.

Azure AD dient zudem als Identitätsspeicher für andere Microsoft-Cloud-Angebote wie Microsoft 365, Office oder Teams, so dass sich Benutzer dort über eigene Gruppen verwalten lassen.

Gruppen im Azure AD

Gruppen im Azure Active Directory lassen sich für folgende Zwecke nutzen:

• AAD-Gruppen lassen sich als Ziel für Azure-Rollenzuweisungen (RBAC) verwenden, wodurch sich diese Aufgabe für privilegierte Rollen vereinfacht.
• Gruppen in Azure AD erlauben das Zuweisen von Lizenzen an eine große Zahl von Benutzern
• Über Azure-AD-Gruppen kann man internen oder externen Benutzern den Zugriff auf Unternehmens-Apps zuweisen.

Azure AD kennt grundsätzlich zwei Arten von Gruppen, nämlich Sicherheits­gruppen und Microsoft-365-Gruppen.

Sicherheitsgruppen

Sie eignen sich hauptsächlich für das Delegieren des Zugriffs auf Azure-Ressourcen und lassen sich noch einmal in drei Kategorien aufteilen:

Zugewiesene Gruppen: Hierbei handelt es sich um Gruppen, die man im Azure AD erstellt und denen Sie anschließend manuell Benutzer fest zuteilen. Bei Bedarf funktioniert das auch im Rahmen von Massen­vorgängen.

Dynamische Gruppen: Dynamische Gruppen regeln die Mitgliedschaft automatisch auf Basis bestimmter Merkmale oder Attribute eines AAD-Objekts wie Displayname oder Department. Dazu müssen Sie eine entspreche Query formulieren. Das klappt wahlweise interaktiv oder mit Hilfe des Abfrage-Editors. Dynamische Gruppen erfordern allerdings eine Azure Premium P1-Lizenz.

Um eine dynamische Gruppe anzulegen, klicken Sie nach Auswahl des Group type ("Security") und des Membership type ("Dynamic User") auf den Link Add dynamic query.

Der nächste Dialog bietet einen visuellen Query-Builder, der die Formulierung einer Abfrage vereinfacht.

Synchronisierte Gruppen: Sie werden via Azure AD Connect aus einem lokalen AD DS übernommen.

Gruppen für Office 365

Office-365-Gruppen haben eine gewisse Ähnlichkeit mit Verteilerlisten in Exchange, das heißt, man kann zwar E-Mails an Office-365-Gruppen senden, aber sie nicht zum Delegieren von Berechtigungen verwenden.

Außerdem können Mitglieder von Office-365-Gruppen Zugriff auf freigegebene Postfächer, Kalender, Dateien, SharePoint-Websites und mehr erhalten.

Gruppen schachteln

Seit Juni dieses Jahres unterstützt Azure Nested Azure AD Dynamic Groups. Das Feature ist derzeit noch Preview und erlaubt das Schachteln von Sicherheits­gruppen im Azure AD.

Auch ohne dynamische Gruppen, die ja eine Premium-P1-Lizenz erfordern, konnte man eine gewöhnliche AAD-Sicherheitsgruppe als Mitglied in eine andere aufnehmen.

Dies hat jedoch nie so funktioniert wie vorgesehen, weil die eigentlichen Gruppenmitglieder dann nicht korrekt aufgelöst wurden. Daran scheiterte etwa das Zuweisen von Lizenzen oder Anwendungen.

Die neue Funktion in den dynamischen Azure AD-Gruppen sieht vor, dass es ein weiteres Attribut MemberOf gibt, nach dem Sie filtern können, um Gruppen automatisch mit Benutzern oder Geräten zu befüllen.

Damit kann man die Mitglieder mehrerer Quellgruppen als so genannte direkte Mitglieder in einer Gruppe zusammenfassen, was quasi der erwähnten Schachtelung entspricht.

Interessant: Hierbei sind als Quellgruppen alle Arten von Gruppen zulässig, also nicht nur Sicherheits-, sondern auch Office-365-Gruppen.

In der aktuellen Preview-Phase kann jede dynamische Gruppe momentan nur 50 andere Gruppen aufnehmen.

Mitgliedschaft in Gruppen verwalten

Beim Erstellen einer Gruppe können Sie ihr nicht nur Mitglieder zuweisen (statisch oder dynamisch), sondern auch einen Gruppen­eigentümer (Owner) festlegen. Das geht natürlich auch bei bestehenden AAD-Gruppen. Der Prozess ist für beide gleich.

Sie benötigen für diese Aufgabe die Rolle Gruppenadministrator oder Benutzeradministrator.

Die Mitgliedschaft in Azure-AD-Gruppen ist ein wichtiges Thema für Identity Governance. Unternehmen sollen dabei regelmäßig Rechenschaft darüber ablegen, welche Benutzer welche Berechtigungen benötigen.

Diesem Zweck dienen Zugriffs­prüfungen (Access Reviews). Damit werden die Verantwortlichen in regelmäßigen Intervallen aufgefordert, die Mitgliedschaften in Gruppen zu untersuchen und zu schauen, ob diese noch aktuell bzw. erforderlich sind.

Der Einstiegspunkt dazu ist unter Azure AD im Menü Identity Governance.

Hier befinden sich die Abschnitte Access Reviews und Privileged Identity Management. Während wir Access Review im Rahmen von Privileged Identity Management bereits vorgestellt haben, werfen wir jetzt einen kurzen Blick auf Access Reviews im Allgemeinen.

Neue Prüfung für Zugriffsrechte erstellen

Klicken Sie auf den Menüeintrag und dann auf +New access review. Sie können bei Select what to review bestimmen, ob Sie eine Zugriffsprüfung für die Mitgliedschaft in bestimmten Teams + Groups erstellen möchten oder für den Zugriff auf ausgewählte Applications.

Im Falle von Teams + Groups müssen Sie dann zwischen All Microsoft 365 groups with guest users und Select Teams + Groups entscheiden. Bei Letzteren können Sie die gewünschte Azure-AD-Gruppe zur Zugriffsprüfung auswählen.

Wenn Sie dann im nächsten Schritt des Access-Review-Assistenten einen Prüfer auswählen, können Sie zum Beispiel Group owner(s) nehmen.

Zusammenfassung

Azure Active Directory unterstützt Sicherheitsgruppen, wie man sie von on-prem kennt und mit denen sich Berechtigungen für bestimmte Ressourcen zuweisen lassen. Daneben gibt es noch Gruppen für Microsoft 365, die sich am ehesten mit den herkömmlichen Verteilergruppen vergleichen lassen.

Die Zuweisung von Mitgliedern zu Gruppen muss nicht statisch erfolgen, vielmehr lassen sich diese auch dynamisch über Abfragen füllen. Dieser Mechanismus liegt auch den neuen verschachtelten Gruppen zugrunde.

In großen Umgebungen, in denen sich die Mitglieder von Gruppen häufig ändern, können Admins mit Hilfe von Access Reviews regelmäßig prüfen, ob bestimmte User noch zu Recht in Gruppen enthalten sind.