Privilegierte Rollen und Berechtigungen in Microsoft Entra ID (Vorschau)
Wichtig
Die Bezeichnung für privilegierte Rollen und Berechtigungen befindet sich derzeit in der PREVIEW. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Entra ID verfügt über Rollen und Berechtigungen, die als privilegiert identifiziert werden. Mit diesen Rollen und Berechtigungen können Sie die Verwaltung von Verzeichnisressourcen an andere Benutzer delegieren, Anmeldedaten, Authentifizierungs- oder Autorisierungsrichtlinien ändern oder auf eingeschränkte Daten zugreifen. Privilegierte Rollenzuweisungen können zur Erhöhung von Berechtigungen führen, wenn sie nicht sicher und beabsichtigt verwendet werden. In diesem Artikel werden privilegierte Rollen und Berechtigungen sowie bewährte Methoden für die Verwendung beschrieben.
Welche Rollen und Berechtigungen sind privilegiert?
Eine Liste der privilegierten Rollen und Berechtigungen finden Sie unter Integrierte Microsoft Entra-Rollen. Sie können auch das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder Microsoft Graph-API verwenden, um Rollen, Berechtigungen und Rollenzuweisungen zu identifizieren, die als privilegiert gekennzeichnet sind.
Suchen Sie im Microsoft Entra Admin Center nach der Bezeichnung PRIVILEGED.
Auf der Seite Rollen und Administratoren werden privilegierte Rollen in der Spalte Privilegiert gekennzeichnet. In der Spalte Zuweisungen wird die Anzahl der Rollenzuweisungen aufgelistet. Sie können auch privilegierte Rollen filtern.
Wenn Sie die Berechtigungen für eine privilegierte Rolle anzeigen, können Sie sehen, welche Berechtigungen privilegiert sind. Wenn Sie die Berechtigungen als Standardbenutzer anzeigen, können Sie nicht sehen, welche Berechtigungen privilegiert sind.
Wenn Sie eine benutzerdefinierte Rolle erstellen, können Sie sehen, welche Berechtigungen privilegiert sind, und die benutzerdefinierte Rolle ist als privilegiert bezeichnet.
Bewährte Methoden für die Verwendung privilegierter Rollen
Dies sind einige bewährte Methoden für die Verwendung privilegierter Rollen.
- Anwenden des Prinzips der geringsten Rechte
- Verwenden Sie Privileged Identity Management, um Just-in-Time-Zugriff zu gewähren
- Aktivieren der mehrstufigen Authentifizierung für alle Ihre Administratorkonten
- Konfigurieren Sie wiederkehrende Zugriffsüberprüfungen, um nicht benötigte Berechtigungen im Laufe der Zeit zu entziehen
- Begrenzen der Anzahl der globalen Administratoren auf weniger als 5
- Begrenzen der Anzahl privilegierter Rollenzuweisungen auf weniger als 10
Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.
Privilegierte Berechtigungen im Vergleich zu geschützten Aktionen
Privilegierte Berechtigungen und geschützte Aktionen sind sicherheitsbezogene Funktionen, die unterschiedliche Zwecke haben. Berechtigungen mit der Bezeichnung PRIVILEGED helfen Ihnen dabei, Berechtigungen zu identifizieren, die zur Erhöhung von Berechtigungen führen können, wenn sie nicht sicher und beabsichtigt verwendet werden. Geschützte Aktionen sind Rollenberechtigungen, denen Richtlinien für bedingten Zugriff für zusätzliche Sicherheit zugewiesen wurden, z. B. die Anforderung einer mehrstufigen Authentifizierung. Anforderungen für bedingten Zugriff werden erzwungen, wenn ein Benutzer die geschützte Aktion ausführt. Geschützte Aktionen befinden sich derzeit in der Vorschau. Weitere Informationen finden Sie unter Was sind geschützte Aktionen in Microsoft Entra ID?.
| Funktion | Privilegierte Berechtigung | Geschützte Aktion |
|---|---|---|
| Identifizieren von Berechtigungen, die auf sichere Weise verwendet werden sollten | ✅ | |
| Erfordern zusätzlicher Sicherheit zum Ausführen einer Aktion | ✅ |
Terminologie
Um privilegierte Rollen und Berechtigungen in Microsoft Entra ID zu verstehen, ist es hilfreich, die folgenden Begriffe zu kennen.
| Begriff | Definition |
|---|---|
| action | Eine Aktivität, die ein Sicherheitsprinzipal für einen Objekttyp ausführen kann. Manchmal auch als ein Vorgang bezeichnet. |
| permission | Eine Definition, die die Aktivität angibt, die ein Sicherheitsprinzipal für einen Objekttyp ausführen kann. Eine Berechtigung umfasst mindestens eine Aktion. |
| privilegierte Berechtigung | In Microsoft Entra ID können Berechtigungen verwendet werden, um die Verwaltung von Verzeichnisressourcen an andere Benutzer*innen zu delegieren, Anmeldeinformationen, Authentifizierungs- oder Autorisierungsrichtlinien zu ändern oder auf eingeschränkte Daten zuzugreifen. |
| privilegierte Rolle | Eine integrierte oder benutzerdefinierte Rolle, die über eine oder mehrere privilegierte Berechtigungen verfügt. |
| privilegierte Rollenzuweisung | Eine Rollenzuweisung, die eine privilegierte Rolle verwendet. |
| Rechteerweiterungen | Wenn ein Sicherheitsprinzipal mehr Berechtigungen erhält, als seine zugewiesene Rolle anfänglich durch den Identitätswechsel einer anderen Rolle bereitgestellt wird. |
| geschützte Aktion | Berechtigungen, bei denen bedingter Zugriff für zusätzliche Sicherheit angewendet wurde. |
Grundlegendes zu Rollenberechtigungen
Das Schema für Berechtigungen folgt im Wesentlichen dem REST-Format von Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Beispiel:
microsoft.directory/applications/credentials/update
| Berechtigungselement | BESCHREIBUNG |
|---|---|
| Namespace | Produkt oder Dienst zum Verfügbarmachen der Aufgabe, Präfix: microsoft. Beispielsweise verwenden alle Aufgaben in Microsoft Entra ID den Namespace microsoft.directory. |
| Entität | Logische Funktion oder Komponente, die vom Dienst in Microsoft Graph verfügbar gemacht wird. Beispielsweise macht Microsoft Entra ID Benutzer*innen und Gruppen verfügbar, OneNote macht Notizen verfügbar, und Exchange macht Postfächer und Kalender verfügbar. Es gibt ein spezielles Schlüsselwort allEntities zum Angeben aller Entitäten in einem Namespace. Dieses wird häufig in Rollen verwendet, die Zugriff auf ein gesamtes Produkt gewähren. |
| propertySet | Bestimmte Eigenschaften oder Aspekte der Entität, für die der Zugriff gewährt wird. Beispielsweise bietet microsoft.directory/applications/authentication/read die Möglichkeit, die Antwort-URL, die Abmelde-URL und eine implizite Floweigenschaft für das Anwendungsobjekt in Microsoft Entra ID zu lesen.
|
| action | Der gewährte Vorgang, in der Regel CRUD (Create, Read, Update, Delete). Es gibt ein spezielles Schlüsselwort allTasks zum Angeben aller oben genannten Möglichkeiten (Create, Read, Update, Delete). |
Vergleichen von Authentifizierungsrollen
In der folgenden Tabelle werden die Funktionen von Rollen im Zusammenhang mit Authentifizierung verglichen.
| Role | Verwalten der Authentifizierungsmethoden des Benutzers | Aktivieren der Multi-Factor Authentication (MFA) pro Benutzer | Verwalten der MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nr. | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nr. | Nein |
| Benutzeradministrator | Nein | Nr. | Nr. | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wer kann Kennwörter zurücksetzen?
In den Spalten der folgenden Tabelle sind die Rollen aufgelistet, die Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen können. In den Tabellenzeilen sind die Rollen aufgeführt, für die das Kennwort zurückgesetzt werden kann. Beispielsweise kann ein Kennwortadministrator das Kennwort für Verzeichnisleseberechtigte, Gasteinladende, Kennwortadministratoren und Benutzer ohne Administratorrolle zurücksetzen. Wenn einem Benutzer eine andere Rolle zugewiesen ist, kann der Kennwortadministrator sein Kennwort nicht zurücksetzen.
Die folgende Tabelle gilt für Rollen, die im Bereich eines Mandanten zugewiesen sind. Für Rollen, die im Bereich einer Verwaltungseinheit zugewiesen sind, gelten weitere Einschränkungen\.
| Rolle, deren Kennwort zurückgesetzt werden kann | Kennwortadministrator | Helpdeskadministrator | Authentifizierungsadministrator | Benutzeradministrator | Privilegierter Authentifizierungsadministrator | Globaler Administrator |
|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | ✅ | ✅ | ✅ | |||
| Verzeichnisleseberechtigte | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Globaler Administrator | ✅ | ✅* | ||||
| Gruppenadministrator | ✅ | ✅ | ✅ | |||
| Gasteinladender | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Helpdesk-Admin | ✅ | ✅ | ✅ | ✅ | ||
| Nachrichtencenter-Leseberechtigter | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Kennwortadministrator | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Privilegierter Authentifizierungsadministrator | ✅ | ✅ | ||||
| Administrator für privilegierte Rollen | ✅ | ✅ | ||||
| Berichtleseberechtigter | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Benutzer (keine Administratorrolle) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Benutzer (keine Administratorrolle, aber Mitglied oder Besitzer einer Gruppe, der Rollen zugewiesen werden können) |
✅ | ✅ | ||||
| Benutzer mit einer Rolle, die auf eine Verwaltungseinheit mit eingeschränkter Verwaltung beschränkt ist | ✅ | ✅ | ||||
| Benutzeradministrator | ✅ | ✅ | ✅ | |||
| Leseberechtigter für Verwendungszusammenfassungsberichte | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Alle benutzerdefinierten Rollen | ✅ | ✅ |
Wichtig
Die Rolle Partnersupport der Ebene 2 kann für Benutzer mit und ohne Administratorrechte (einschließlich globaler Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Die Rolle Partnersupport der Ebene 1 kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rollen sollten nicht verwendet werden, da sie veraltet sind.
Die Möglichkeit zum Zurücksetzen eines Kennworts umfasst die Möglichkeit, die folgenden vertraulichen Eigenschaften zu aktualisieren, die für die Self-Service-Kennwortzurücksetzung erforderlich sind:
- businessPhones
- mobilePhone
- otherMails
Wer kann vertrauliche Aktionen ausführen?
Einige Administratoren können die folgenden vertraulichen Aktionen für einige Benutzer durchführen. Alle Benutzer können die vertraulichen Eigenschaften lesen.
| Vertrauliche Aktion | Name der vertraulichen Eigenschaft |
|---|---|
| Deaktivieren oder Aktivieren von Benutzern | accountEnabled |
| Aktualisieren der geschäftlichen Telefonnummer | businessPhones |
| Aktualisieren der Mobiltelefonnummer | mobilePhone |
| Aktualisieren der lokalen unveränderliche ID | onPremisesImmutableId |
| Aktualisieren anderer E-Mail-Adressen | otherMails |
| Aktualisieren des Kennwortprofils | passwordProfile |
| Aktualisieren des Benutzerprinzipalnamens | userPrincipalName |
| Löschen oder Wiederherstellen von Benutzern | Nicht verfügbar |
In den Spalten der folgenden Tabelle sind die Rollen aufgelistet, die vertrauliche Aktionen durchführen können. In den Zeilen sind die Rollen aufgeführt, für die die vertrauliche Aktion durchgeführt werden kann.
Die folgende Tabelle gilt für Rollen, die im Bereich eines Mandanten zugewiesen sind. Für Rollen, die im Bereich einer Verwaltungseinheit zugewiesen sind, gelten weitere Einschränkungen\.
| Rolle, für die die vertrauliche Aktion durchgeführt werden kann | Authentifizierungsadministrator | Benutzeradministrator | Privilegierter Authentifizierungsadministrator | Globaler Administrator |
|---|---|---|---|---|
| Authentifizierungsadministrator | ✅ | ✅ | ✅ | |
| Verzeichnisleseberechtigte | ✅ | ✅ | ✅ | ✅ |
| Globaler Administrator | ✅ | ✅ | ||
| Gruppenadministrator | ✅ | ✅ | ✅ | |
| Gasteinladender | ✅ | ✅ | ✅ | ✅ |
| Helpdesk-Admin | ✅ | ✅ | ✅ | |
| Nachrichtencenter-Leseberechtigter | ✅ | ✅ | ✅ | ✅ |
| Kennwortadministrator | ✅ | ✅ | ✅ | ✅ |
| Privilegierter Authentifizierungsadministrator | ✅ | ✅ | ||
| Administrator für privilegierte Rollen | ✅ | ✅ | ||
| Berichtleseberechtigter | ✅ | ✅ | ✅ | ✅ |
| Benutzer (keine Administratorrolle) |
✅ | ✅ | ✅ | ✅ |
| Benutzer (keine Administratorrolle, aber Mitglied oder Besitzer einer Gruppe, der Rollen zugewiesen werden können) |
✅ | ✅ | ||
| Benutzer mit einer Rolle, die auf eine Verwaltungseinheit mit eingeschränkter Verwaltung beschränkt ist | ✅ | ✅ | ||
| Benutzeradministrator | ✅ | ✅ | ✅ | |
| Leseberechtigter für Verwendungszusammenfassungsberichte | ✅ | ✅ | ✅ | ✅ |
| Alle benutzerdefinierten Rollen | ✅ | ✅ |