Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische


    Tags: , ,

    Azure Active DirectoryDie Benutzer- und Gruppen­ver­waltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteiler­gruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dyna­mischen Gruppen über Abfragen.

    Gruppen werden vor allem zum Delegieren von Berechtigungen verwendet, wenngleich es auch andere Einsatzbereiche gibt. Sicherheitsgruppen können neben Benutzern und Service-Prinzipalen auch Geräte beinhalten.

    Azure AD dient zudem als Identitätsspeicher für andere Microsoft-Cloud-Angebote wie Microsoft 365, Office oder Teams, so dass sich Benutzer dort über eigene Gruppen verwalten lassen.

    Gruppen im Azure AD

    Gruppen im Azure Active Directory lassen sich für folgende Zwecke nutzen:

    • AAD-Gruppen lassen sich als Ziel für Azure-Rollenzuweisungen (RBAC) verwenden, wodurch sich diese Aufgabe für privilegierte Rollen vereinfacht.
    • Gruppen in Azure AD erlauben das Zuweisen von Lizenzen an eine große Zahl von Benutzern
    • Über Azure-AD-Gruppen kann man internen oder externen Benutzern den Zugriff auf Unternehmens-Apps zuweisen.

    Azure AD kennt grundsätzlich zwei Arten von Gruppen, nämlich Sicherheits­gruppen und Microsoft-365-Gruppen.

    Sicherheitsgruppen

    Sie eignen sich hauptsächlich für das Delegieren des Zugriffs auf Azure-Ressourcen und lassen sich noch einmal in drei Kategorien aufteilen:

    Zugewiesene Gruppen: Hierbei handelt es sich um Gruppen, die man im Azure AD erstellt und denen Sie anschließend manuell Benutzer fest zuteilen. Bei Bedarf funktioniert das auch im Rahmen von Massen­vorgängen.

    Dynamische Gruppen: Dynamische Gruppen regeln die Mitgliedschaft automatisch auf Basis bestimmter Merkmale oder Attribute eines AAD-Objekts wie Displayname oder Department. Dazu müssen Sie eine entspreche Query formulieren. Das klappt wahlweise interaktiv oder mit Hilfe des Abfrage-Editors. Dynamische Gruppen erfordern allerdings eine Azure Premium P1-Lizenz.

    Um eine dynamische Gruppe anzulegen, klicken Sie nach Auswahl des Group type ("Security") und des Membership type ("Dynamic User") auf den Link Add dynamic query.

    Eine dynamische Gruppe in Azure AD anlegen

    Der nächste Dialog bietet einen visuellen Query-Builder, der die Formulierung einer Abfrage vereinfacht.

    Abfrage für dynamische Gruppenmitgliedschaft formulieren

    Synchronisierte Gruppen: Sie werden via Azure AD Connect aus einem lokalen AD DS übernommen.

    Gruppen für Office 365

    Office-365-Gruppen haben eine gewisse Ähnlichkeit mit Verteilerlisten in Exchange, das heißt, man kann zwar E-Mails an Office-365-Gruppen senden, aber sie nicht zum Delegieren von Berechtigungen verwenden.

    Außerdem können Mitglieder von Office-365-Gruppen Zugriff auf freigegebene Postfächer, Kalender, Dateien, SharePoint-Websites und mehr erhalten.

    Gruppen schachteln

    Seit Juni dieses Jahres unterstützt Azure Nested Azure AD Dynamic Groups. Das Feature ist derzeit noch Preview und erlaubt das Schachteln von Sicherheits­gruppen im Azure AD.

    Auch ohne dynamische Gruppen, die ja eine Premium-P1-Lizenz erfordern, konnte man eine gewöhnliche AAD-Sicherheitsgruppe als Mitglied in eine andere aufnehmen.

    Dies hat jedoch nie so funktioniert wie vorgesehen, weil die eigentlichen Gruppenmitglieder dann nicht korrekt aufgelöst wurden. Daran scheiterte etwa das Zuweisen von Lizenzen oder Anwendungen.

    Die neue Funktion in den dynamischen Azure AD-Gruppen sieht vor, dass es ein weiteres Attribut MemberOf gibt, nach dem Sie filtern können, um Gruppen automatisch mit Benutzern oder Geräten zu befüllen.

    Funktionsweise der neuen Nested Azure AD Dynamic Groups

    Damit kann man die Mitglieder mehrerer Quellgruppen als so genannte direkte Mitglieder in einer Gruppe zusammenfassen, was quasi der erwähnten Schachtelung entspricht.

    Interessant: Hierbei sind als Quellgruppen alle Arten von Gruppen zulässig, also nicht nur Sicherheits-, sondern auch Office-365-Gruppen.

    In der aktuellen Preview-Phase kann jede dynamische Gruppe momentan nur 50 andere Gruppen aufnehmen.

    Mitgliedschaft in Gruppen verwalten

    Beim Erstellen einer Gruppe können Sie ihr nicht nur Mitglieder zuweisen (statisch oder dynamisch), sondern auch einen Gruppen­eigentümer (Owner) festlegen. Das geht natürlich auch bei bestehenden AAD-Gruppen. Der Prozess ist für beide gleich.

    Sie benötigen für diese Aufgabe die Rolle Gruppenadministrator oder Benutzeradministrator.

    Die Mitgliedschaft in Azure-AD-Gruppen ist ein wichtiges Thema für Identity Governance. Unternehmen sollen dabei regelmäßig Rechenschaft darüber ablegen, welche Benutzer welche Berechtigungen benötigen.

    Diesem Zweck dienen Zugriffs­prüfungen (Access Reviews). Damit werden die Verantwortlichen in regelmäßigen Intervallen aufgefordert, die Mitgliedschaften in Gruppen zu untersuchen und zu schauen, ob diese noch aktuell bzw. erforderlich sind.

    Der Einstiegspunkt dazu ist unter Azure AD im Menü Identity Governance.

    Der Einstiegspunkt zur Identity Governance im Azure AD

    Hier befinden sich die Abschnitte Access Reviews und Privileged Identity Management. Während wir Access Review im Rahmen von Privileged Identity Management bereits vorgestellt haben, werfen wir jetzt einen kurzen Blick auf Access Reviews im Allgemeinen.

    Neue Prüfung für Zugriffsrechte erstellen

    Klicken Sie auf den Menüeintrag und dann auf +New access review. Sie können bei Select what to review bestimmen, ob Sie eine Zugriffsprüfung für die Mitgliedschaft in bestimmten Teams + Groups erstellen möchten oder für den Zugriff auf ausgewählte Applications.

    Access-Review für Gruppenmitgliedschaften erstellen

    Im Falle von Teams + Groups müssen Sie dann zwischen All Microsoft 365 groups with guest users und Select Teams + Groups entscheiden. Bei Letzteren können Sie die gewünschte Azure-AD-Gruppe zur Zugriffsprüfung auswählen.

    Der Gruppenbesitzer als Zugriffsprüfer in einer Access Review

    Wenn Sie dann im nächsten Schritt des Access-Review-Assistenten einen Prüfer auswählen, können Sie zum Beispiel Group owner(s) nehmen.

    Zusammenfassung

    Azure Active Directory unterstützt Sicherheitsgruppen, wie man sie von on-prem kennt und mit denen sich Berechtigungen für bestimmte Ressourcen zuweisen lassen. Daneben gibt es noch Gruppen für Microsoft 365, die sich am ehesten mit den herkömmlichen Verteilergruppen vergleichen lassen.

    Die Zuweisung von Mitgliedern zu Gruppen muss nicht statisch erfolgen, vielmehr lassen sich diese auch dynamisch über Abfragen füllen. Dieser Mechanismus liegt auch den neuen verschachtelten Gruppen zugrunde.

    In großen Umgebungen, in denen sich die Mitglieder von Gruppen häufig ändern, können Admins mit Hilfe von Access Reviews regelmäßig prüfen, ob bestimmte User noch zu Recht in Gruppen enthalten sind.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant.

    Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links