Rollen in Azure und Azure Active Directory


    Tags: , ,

    Azure Role-based Access Control (RBAC)Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.

    Bevor man sich mit Gruppen in Azure AD befasst, sollte man sich mit den unterschiedlichen Rollen­modellen auseinandersetzen. In Azure existieren aus historischen Gründen drei verschiedene Implementierungen:

    • Rollen in Azure Active Directory
    • Azure-Rollen, auch Role Based Access Control (RBAC)
    • Klassische Rollen

    Letztere haben heute zwar keine praktische Bedeutung mehr, ihr Vorhandensein hat aber durchaus Auswirkungen.

    Folgende Grafik von Microsoft verdeutlicht die Zusammenhänge zwischen den Modellen recht gut.

    Die drei verschiedenen Rollenmodelle in Azure

    Rollen in Azure AD

    Azure AD-Rollen werden ausschließlich benutzt, um Ressourcen (Benutzer, Gruppen) in einem Verzeichnis zu verwalten. Dazu gehört typischerweise das Anlegen oder Bearbeiten von Benutzern und Gruppen oder das Zuweisen von Administrator­rollen für andere Personen.

    Vordefinierte Rollen in Azure Active Directory

    Der Wirkbereich für Azure-AD-Rollen ist auf die Mandantenebene beschränkt, weil ein AAD-Verzeichnis grundsätzliche eine flache Hierarchie hat. Es gibt ungefähr 80 verschiedene Rollen im Azure AD. Die mächtigste ist Globaler Administrator.

    Azure-Rollen

    Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) hingegen wirkt sich mitsamt Vererbung auf die gesamte hierarchische Struktur von Azure-Ressourcen aus.

    Diese beginnt mit der Tenant-Root-Group und reicht über Verwaltungsgruppen, Azure-Abonnements und Ressourcen-Gruppen bis zu den Ressourcen. Sie dient im Wesentlichen der präzisen Verwaltung des Zugriffs auf Azure-Ressourcen.

    Es gibt 70 vorgefertigte Rollen, darüber hinaus lassen sich eigene Rollen definieren. Die mächtigste ist der Besitzer ("Owner").

     Zuweisung von Berechtigungen mittels Azure-Rollen an eine VM

    Sofern Sie keine Verwaltungsgruppen verwenden, ist das Azure-Abonnement die höchste Ebene, auf der sich eine Rolle wie Owner an eine Identität aus dem Azure AD (Benutzer, Gruppe, Service-Prinzipal oder verwaltete Identität) anhängen lässt. Die in der Rolle definierten Berechtigungen vererben sich innerhalb der Ressourcen­hierarchie nach unten.

    Klassische Rollen

    Schließlich gibt es aus historischen Gründen noch die klassischen Rollen mit genau einem Konto-Administrator ("Account Administrator") pro Azure-Konto, einen Dienst-Administrator ("Service Administrator") pro Azure-Abonnement und bis zu 20 Co-Admins.

    Die klassischen Rollen haben heute eigentlich keine Bedeutung mehr. Sie sollten aber wissen, dass derjenige Nutzer, der ein Azure-Konto erstellt, automatisch einen ersten Benutzereintrag im Azure AD und mit diesem auch die Rolle Globaler Administrator erhält.

    Außerdem wird genau dieser Benutzer auch gleichzeitig zum Konto-Administrator und Dienst-Administrator im klassischen Modell. Dies ist auch der Grund dafür, warum Sie nach dem Erstellen eines neuen Azure-Kontos unmittelbar in der Lage sind, Ressourcen in Azure zu erstellen.

    Dem steht eigentlich Microsofts Aussage entgegen, die besagt, dass Azure AD und Azure-Ressourcen unabhängig voneinander geschützt werden: "Das bedeutet, dass Azure AD-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren und Azure-Rollen­zuweisungen keinen Zugriff auf Azure AD."

    Rollen für M365-Dienste

    Schließlich sollten Sie noch bedenken, dass andere Dienste der Microsoft-Cloud wie Exchange, Intune, Defender for Cloud Apps, Microsoft 365 Defender-Portal, das Compliance-Portal oder Kostenverwaltung + Abrechnung jeweils über eigene Rollenmodelle verfügen.

    Andererseits gibt es aber auch Cloud-Angebote von Microsoft, zum Beispiel Teams oder SharePoint, die überhaupt keine separate rollenbasierte Zugriffs­steuerung kennen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant.

    Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links