Rollen in Azure und Azure Active Directory

Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.

Bevor man sich mit Gruppen in Azure AD befasst, sollte man sich mit den unterschiedlichen Rollen­modellen auseinandersetzen. In Azure existieren aus historischen Gründen drei verschiedene Implementierungen:

• Rollen in Azure Active Directory
• Azure-Rollen, auch Role Based Access Control (RBAC)
• Klassische Rollen

Letztere haben heute zwar keine praktische Bedeutung mehr, ihr Vorhandensein hat aber durchaus Auswirkungen.

Folgende Grafik von Microsoft verdeutlicht die Zusammenhänge zwischen den Modellen recht gut.

Rollen in Azure AD

Azure AD-Rollen werden ausschließlich benutzt, um Ressourcen (Benutzer, Gruppen) in einem Verzeichnis zu verwalten. Dazu gehört typischerweise das Anlegen oder Bearbeiten von Benutzern und Gruppen oder das Zuweisen von Administrator­rollen für andere Personen.

Der Wirkbereich für Azure-AD-Rollen ist auf die Mandantenebene beschränkt, weil ein AAD-Verzeichnis grundsätzliche eine flache Hierarchie hat. Es gibt ungefähr 80 verschiedene Rollen im Azure AD. Die mächtigste ist Globaler Administrator.

Azure-Rollen

Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) hingegen wirkt sich mitsamt Vererbung auf die gesamte hierarchische Struktur von Azure-Ressourcen aus.

Diese beginnt mit der Tenant-Root-Group und reicht über Verwaltungsgruppen, Azure-Abonnements und Ressourcen-Gruppen bis zu den Ressourcen. Sie dient im Wesentlichen der präzisen Verwaltung des Zugriffs auf Azure-Ressourcen.

Es gibt 70 vorgefertigte Rollen, darüber hinaus lassen sich eigene Rollen definieren. Die mächtigste ist der Besitzer ("Owner").

Sofern Sie keine Verwaltungsgruppen verwenden, ist das Azure-Abonnement die höchste Ebene, auf der sich eine Rolle wie Owner an eine Identität aus dem Azure AD (Benutzer, Gruppe, Service-Prinzipal oder verwaltete Identität) anhängen lässt. Die in der Rolle definierten Berechtigungen vererben sich innerhalb der Ressourcen­hierarchie nach unten.

Klassische Rollen

Schließlich gibt es aus historischen Gründen noch die klassischen Rollen mit genau einem Konto-Administrator ("Account Administrator") pro Azure-Konto, einen Dienst-Administrator ("Service Administrator") pro Azure-Abonnement und bis zu 20 Co-Admins.

Die klassischen Rollen haben heute eigentlich keine Bedeutung mehr. Sie sollten aber wissen, dass derjenige Nutzer, der ein Azure-Konto erstellt, automatisch einen ersten Benutzereintrag im Azure AD und mit diesem auch die Rolle Globaler Administrator erhält.

Außerdem wird genau dieser Benutzer auch gleichzeitig zum Konto-Administrator und Dienst-Administrator im klassischen Modell. Dies ist auch der Grund dafür, warum Sie nach dem Erstellen eines neuen Azure-Kontos unmittelbar in der Lage sind, Ressourcen in Azure zu erstellen.

Dem steht eigentlich Microsofts Aussage entgegen, die besagt, dass Azure AD und Azure-Ressourcen unabhängig voneinander geschützt werden: "Das bedeutet, dass Azure AD-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren und Azure-Rollen­zuweisungen keinen Zugriff auf Azure AD."

Rollen für M365-Dienste

Schließlich sollten Sie noch bedenken, dass andere Dienste der Microsoft-Cloud wie Exchange, Intune, Defender for Cloud Apps, Microsoft 365 Defender-Portal, das Compliance-Portal oder Kostenverwaltung + Abrechnung jeweils über eigene Rollenmodelle verfügen.

Andererseits gibt es aber auch Cloud-Angebote von Microsoft, zum Beispiel Teams oder SharePoint, die überhaupt keine separate rollenbasierte Zugriffs­steuerung kennen.