Azure AD-Rollen und Berechtigungen: Zuweisen & Verwalten von Rollen für Benutzer & Gruppen. Sind Sie ein IT-Administrator, der mehr über Azure AD-Rollen und deren Bedeutung für die Zuweisung und Verwaltung von Berechtigungen für Benutzer und Gruppen erfahren möchte?
Es ist entscheidend, jedes Konzept zu verstehen, um die Beziehung zwischen Azure AD-Rollen, Benutzern, Gruppen und Berechtigungen zu verstehen.
Als Nächstes erklären wir Azure AD-Rollen, die die nächste Ebene in der Beziehung „Rolle-Benutzer-Gruppe-Berechtigung“ darstellen.
Um alle Konzepte zusammenzubringen, diskutiert der Artikel, wie Benutzer und Gruppen Berechtigungen erben, wenn ihnen Rollen zugewiesen werden.
Schließlich bietet er detaillierte Anweisungen, wie man Azure AD-Rollen für Benutzer oder Gruppen mit verschiedenen Methoden zuweist.
Azure AD-Benutzer, Gruppen und Gruppenmitgliedschaften
Die grundlegende Berechtigungsebene in Azure AD wird „Identität“ genannt, die alles umfasst, was authentifiziert ist. Beispiele für Identitäten sind: Benutzer mit Benutzernamen, Passwörtern und Anwendungen oder Server, die eine Authentifizierung benötigen.
Dieser Artikel konzentriert sich auf Identität als einen authentifizierten Benutzer.
Sobald ein Benutzer authentifiziert ist, erhält er durch Autorisierung Zugang zu Ressourcen. Daher benötigen Benutzer Berechtigungen, um autorisiert zu sein, auf Ressourcen zuzugreifen.
Beim Erstellen eines Benutzers gewährt Azure AD ihnen automatisch Standardberechtigungen.
Ein Administrator weist dem Benutzer jedoch zusätzliche Berechtigungen mit einer Azure AD-Rolle zu. Alternativ werden Berechtigungen den Benutzern hinzugefügt, indem sie zu einer Gruppe hinzugefügt werden.
Es gilt als bewährte Methode, Berechtigungen über eine Gruppe an Benutzer zuzuweisen, anstatt direkt an den Benutzer.
Hier kommen Gruppen in Azure Active Directory ins Spiel. In Azure AD verwalten Gruppen Benutzer, die auf die gleichen Ressourcen zugreifen müssen.
Nachdem Sie eine Gruppe erstellt haben, erben alle hinzugefügten Benutzer die über Azure AD-Rollen zugewiesenen Berechtigungen.
Es ist wichtig zu beachten, dass es 2 Arten von Gruppen zur Verwaltung von Berechtigungen in Azure AD gibt: Sicherheitsgruppen und Microsoft 365-Gruppen.
Sie verwenden eine Sicherheitsgruppe, um Berechtigungen und Rollen für ihre Mitglieder zuzuweisen. Während des Gruppen-Erstellungsprozesses müssen Sie jedoch die Sicherheitsgruppe als rollenzuweisbar festlegen, um Rollen zuzuweisen.
Nachdem Sie eine Gruppe erstellt haben, können Sie diese Einstellung nicht ändern.
Im Gegensatz dazu sind Microsoft 365-Gruppen für Zusammenarbeitszwecke konzipiert. Mitglieder einer Microsoft 365-Gruppe haben Zugriff auf freigegebene Postfächer, Teams, Dateien und andere für die Zusammenarbeit geeignete Ressourcen.
Weitere Informationen finden Sie unter Informieren Sie sich über die InfraSOS-Lösung des Azure AD-Gastberichts- und Audit-Tools
Rollen und Berechtigungen im Azure Active Directory
Role-Based Access Control (RBAC) bildet das Fundament der Azure AD Sicherheit. Ca. 60 integrierte Rollen werden verwendet, um Berechtigungen zuzuweisen und zu verwalten.
Um eine umfassende Liste dieser Rollen und ihrer jeweiligen Berechtigungen zu finden, verweisen Sie auf den Abschnitt „Alle Rollen“ auf der Seite mit den integrierten Azure AD-Rollen.
Darüber hinaus hat jede Rolle einen vordefinierten Satz von Berechtigungen. Um Berechtigungen, die mit einer Azure AD-Rolle verbunden sind, einem Objekt wie einem Benutzer oder einer Gruppe zuzuweisen, müssen Sie die Rolle dem Objekt zuweisen.
Führen Sie diese Zuweisung entweder auf der Seite „Rolle und Administratoren“ im Azure Active Directory-Portal oder über den Knoten „Zugewiesene Rollen“ eines Azure AD-Objekts durch.
Rollen können direkt Benutzern oder Gruppen zugewiesen werden. Allerdings ermöglichen dynamische Gruppen das automatische Zuweisen von Rollen basierend auf definierten Bedingungen.
Beziehungen zwischen Azure AD-Rollen und Gruppenberechtigungen
Gruppen verwalten mehrere Benutzer, die Zugriff auf dieselben Azure AD-Ressourcen benötigen. Allerdings haben Gruppen Funktionalitäten, die darüber hinausgehen.
Beispielsweise werden Gruppen verwendet, um Lizenzen zuzuweisen und Apps an ihre Mitglieder bereitzustellen. Darüber hinaus delegieren diese Gruppen Administratorenrollen, mit Ausnahme des Azure AD Globalen Administrators.
Finden Sie eine Liste von Administratorrollen, die Sie mithilfe von Gruppen delegieren können.
Verwenden Sie außerdem Gruppen, um Berechtigungen für SharePoint-Websites oder externe SaaS-Apps zuzuweisen.
Denken Sie daran, dass die Zuweisung von Rollen an Gruppen eine Azure AD Premium P1-Lizenz erfordert. Darüber hinaus erfordert die Durchführung der Aufgabe auch die Rolle „Privileged Role Administrator“.
Außerdem bietet Azure dynamische Gruppen, die für Rollenzuweisungen verwendet werden.
Dynamische Gruppen verwalten automatisch die Gruppenmitgliedschaften von Benutzern, die den für die Gruppe definierten Abfragekriterien für dynamische Gruppen entsprechen. Dieser automatisierte Prozess erspart großen Organisationen erhebliche administrative Arbeitszeit im Vergleich zu manuellen Gruppenzuweisungen.
Wie man Azure AD-Rollen Benutzern und Gruppen zuweist
Wählen Sie aus den untenstehenden Methoden eine, um Azure AD-Rollen Benutzern oder Gruppen zuzuweisen.
Zuerst melden Sie sich beim Azure-Portal über portal.azure.com an. Suchen und öffnen Sie „Azure Active Directory.“
Methode 1 von 3: Rollen zu Benutzern oder Gruppen zuweisen, indem Sie das Interface „Rollen und Administratoren“ verwenden
Der bequemste Weg, um Azure AD-Rollen zuzuweisen, besteht in der Verwendung des Interfaces „Rollen und Administratoren“ im Azure Active Directory-Portal.
Fahren Sie wie folgt fort:
1. Im Azure Active Directory-Menü auf „Rollen und Administratoren“ klicken.
2. Klicken Sie auf der Seite „Rollen und Administratoren“ auf die Azure AD-Rolle, der Sie Berechtigungen zuweisen möchten. Um eine Rolle schneller zu finden, suchen Sie danach.
3. Klicken Sie auf der Zuweisungsseite der Rolle auf „Zuweisungen hinzufügen“. Auf dieser Seite werden auch alle Benutzer und Gruppen aufgelistet, die derzeit diese Rolle zugewiesen haben.
4. Klicken Sie auf der Seite „Zuweisungen hinzufügen“ auf den Link „Keine Mitglieder ausgewählt“. Klicken Sie schließlich auf „Ein Mitglied auswählen“ und wählen Sie alle Benutzer und Gruppen aus, denen Sie die Rolle zuweisen möchten, und klicken Sie auf Auswählen.
Beachten Sie, dass das Flyout nur Gruppen anzeigt, die für die Rollenzuweisung berechtigt sind.
Verwenden Sie die Suchfunktion, um Benutzer und Gruppen zu finden, und vermeiden Sie das Scrollen.
Methode 2 von 3: Azure AD-Rollen über die Benutzeroberfläche zuweisen
Eine weitere Methode, Azure AD-Rollen Benutzern zuzuweisen, besteht darin, die Seite des Azure Active Directory-Portals des Benutzers zu öffnen. Hier sind die Schritte:
1. Klicken Sie im Azure Active Directory-Portal auf das Menü „Benutzer“. Wählen Sie dann einen Benutzer aus, indem Sie darauf klicken.
2. Klicken Sie, sobald der Benutzer geöffnet ist, auf „Zugewiesene Rollen“. Klicken Sie dann auf „+ Zuweisung hinzufügen“.
3. Wählen Sie als Nächstes die Azure AD-Rolle aus, von der Sie möchten, dass der Benutzer ihre Berechtigungen erbt, aus dem Dropdown-Menü „Rolle auswählen“. Nach Auswahl der Rolle klicken Sie auf Weiter.
4. Wenn Sie schließlich über die Privileged Identity Management (PIM)-Lizenz verfügen, zeigt die letzte Seite die Option „Zuweisungstyp“ an. Die Option „Maximal zulässige berechtigte Dauer“ ist auch für PIM verfügbar.
Wählen Sie Ihre Einstellungen aus und klicken Sie auf Zuweisen.
Methode 2 von 3: Weisen Sie Azure AD-Rollen über die Gruppenoberfläche zu
Um Azure AD-Rollen an rollenzuweisbare Gruppen zuzuweisen, befolgen Sie die folgenden Schritte:
1. Klicken Sie auf „Gruppen“ im Azure Active Directory-Portal.
2. Azure AD listet alle Gruppen auf. Sie weisen jedoch nur Rollen Gruppen zu, bei denen diese Funktion aktiviert wurde.
Daher klicken Sie zum Anzeigen von Gruppen, die für Rollenzuweisungen aktiviert wurden, auf „Ansicht verwalten“ und wählen „Spalten bearbeiten“ aus.
3. Wählen Sie im Dropdown-Menü „Spalten“ die Option „Rollenzuweisungen erlaubt“ aus und klicken Sie auf Speichern. Sie können auch die Optionen „Objekt-ID“, „Mitgliedschaftstyp“, „E-Mail“ und „Quelle“ deaktivieren, um die Anzahl der Spalten zu reduzieren.
Diese Spalten sind standardmäßig aktiviert. Allerdings ist die Spalte „Rollenzuweisungen erlaubt“ standardmäßig deaktiviert.
4. Nachdem Sie die Seite aktiviert haben, um anzuzeigen, ob ein gruppenzuweisbar ist, wählen Sie die richtige Gruppe aus.
Beachten Sie, dass ein Gruppenzugriff, der während seiner Erstellung nicht mit dieser Funktion versehen wurde, keine Azure AD- Rollen anzeigt.
5. Wenn die Gruppe geöffnet wird, klicken Sie auf „Zugewiesene Rollen“ im Menü und dann auf „Zuweisungen hinzufügen“.
6. Wählen Sie eine Rolle aus dem Dropdown-Menü „Rolle wählen“ und klicken Sie auf Weiter. Schließen Sie die Rollenzuweisungsoptionen aus und klicken Sie auf Zuweisen.
Rollen in Azure AD über Dynamic Groups zuweisen
Azure AD erlaubt auch die Verwendung von dynamischen Gruppen, um Rollen automatisch in Azure AD zu zuweisen.
Hier sind die Schritte, um eine dynamische Azure AD-Gruppe zu erstellen, die Rollen automatisch ihren Mitgliedern zuweist.
1. Klicken Sie auf der Azure Active Directory-Portal-Seite für Gruppen auf „Neue Gruppe“.
2. Wenn die Seite „Neue Gruppe“ geöffnet wird, geben Sie der Gruppe einen Namen und wählen Sie den dynamischen Zuordnungstyp aus dem Dropdown-Menü „Mitgliedschaftstyp“ aus. Wenn Sie „Dynamischer Benutzer“ oder „Dynamisches Gerät“ auswählen, wird der Link „Dynamische Abfrage hinzufügen“ angezeigt.
Stellen Sie sicher, dass der Schalter „Azure AD-Rollen können zugewiesen werden“ eingeschaltet ist.
3. Klicken Sie auf den Link „Dynamische Abfrage hinzufügen“, um eine dynamische Abfrage zu erstellen, die Benutzer automatisch zur Gruppe hinzufügt.
4. Wenn die Seite „Dynamische Mitgliedschaftsregeln“ geöffnet wird, klicken Sie auf „Bearbeiten“ und erstellen Sie dann Ihre Abfrage. Erfahren Sie, wie Sie dynamische Abfragen für Gruppenmitgliedschaften erstellen können.
5. Geben Sie auf der Seite „Bearbeiten der Regel-Syntax“ Ihre Regel ein und klicken Sie auf OK. Klicken Sie dann auf der Seite für die dynamische Mitgliedschaftsabfrage auf „Speichern“.
I built a simple rule that adds users to my group by user’s department.
6. Überprüfen Sie abschließend die Einstellungen auf der Seite „Neue Gruppe“ und klicken Sie auf Erstellen.
Um zu überprüfen, ob Ihre dynamische Regel funktioniert, öffnen Sie die Gruppe und klicken Sie auf das Menü „Mitglieder“. Wenn Ihre Regel korrekt ist und einige Benutzer die Kriterien erfüllen, sollten sie dynamisch als Gruppenmitglieder hinzugefügt werden.
Nach der Erstellung der dynamischen Gruppe werden Azure AD-Rollen der Gruppe zugewiesen. Anschließend erben alle Benutzer, die dynamisch der Gruppe hinzugefügt werden, automatisch die Berechtigungen der der Gruppe zugewiesenen Rollen.
Azure AD-Rollen und Berechtigungen: Rollen zuweisen & verwalten Für Benutzer & Gruppen Fazit
Zusammenfassend konzentrierte sich dieser Artikel auf die wesentlichen Aspekte von Azure AD-Rollen und Berechtigungen. Genauer gesagt, wurde erläutert, wie Rollen effektiv für Benutzer zugewiesen und verwaltet werden und für Gruppen.
Wir haben die Konzepte von Azure AD-Benutzern, Gruppen und Gruppenmitgliedschaften erläutert und ihre Bedeutung für Rollenzuweisungen hervorgehoben. Wir haben auch das Rollen- und Berechtigungsrahmenwerk in Azure Active Directory untersucht.
Der Artikel betont die Beziehungen zwischen Azure AD-Rollen und Gruppenberechtigungen.
Des Weiteren wurden 3 Methoden zur Zuweisung von Azure AD-Rollen zu Benutzern und Gruppen vorgestellt. Methode 1 umfasste die Verwendung des „Rollen und Administratoren“-Interfaces, während Methode 2 die Zuweisung von Rollen über Benutzer- und Gruppeninterfaces abdeckte.
Wir haben auch die Verwendung von dynamischen Gruppenmitgliedschaften als dritte Methode in Betracht gezogen, um Azure AD-Rollen den Benutzern zuzuweisen.
Durch das Verständnis dieser Methoden und die Nutzung der Möglichkeiten von Azure AD können Administratoren Rollen effizient zuweisen und verwalten, um den angemessenen Zugang und die Berechtigungen für Benutzer und Gruppen innerhalb ihrer Organisationen sicherzustellen.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/