Übersicht über die rollenbasierte Zugriffssteuerung in Microsoft Entra ID
Dieser Artikel beschreibt die Funktionsweise der rollenbasierten Zugriffssteuerung von Microsoft Entra. Mithilfe von Microsoft Entra-Rollen können Sie Ihren Administratoren differenzierte Berechtigungen erteilen und so das Prinzip der geringsten Rechte implementieren. Den integrierten und benutzerdefinierten Rollen in Microsoft Entra liegen ähnliche Konzepte zugrunde wie diejenigen, die Sie im rollenbasierten Zugriffssteuerungssystem für Azure-Ressourcen (Azure-Rollen) finden. Die beiden rollenbasierten Zugriffssteuerungssysteme unterscheiden sich wie folgt:
- Microsoft Entra-Rollen steuern den Zugriff auf Microsoft Entra-Ressourcen wie Benutzerinnen und Benutzer, Gruppen und Anwendungen über die Microsoft Graph-API.
- Azure-Rollen dienen zum Steuern des Zugriffs auf Azure-Ressourcen wie VMs oder Speicher unter Verwendung der Azure-Ressourcenverwaltung.
Beide Systeme enthalten ähnlich verwendete Rollendefinitionen und Rollenzuweisungen. Microsoft Entra-Rollenberechtigungen können allerdings nicht in benutzerdefinierten Azure-Rollen verwendet werden (und umgekehrt).
Funktionsweise der rollenbasierten Zugriffssteuerung von Microsoft Entra
Microsoft Entra ID unterstützt zwei Arten von Rollendefinitionen:
Integrierte Rollen sind vordefinierte Rollen mit einem festen Berechtigungssatz. Diese Rollendefinitionen können nicht geändert werden. Es gibt viele integrierte Rollen, die von Microsoft Entra ID unterstützt werden, und die Liste wird immer länger. Zur Vervollständigung und zum Erfüllen Ihrer speziellen Anforderungen unterstützt Microsoft Entra ID aber auch benutzerdefinierte Rollen. Das Erteilen von Berechtigungen mithilfe benutzerdefinierter Microsoft Entra-Rollen ist ein zweistufiger Prozess, bei dem eine benutzerdefinierte Rollendefinition erstellt und dann mithilfe einer Rollenzuweisung zugewiesen wird. Eine benutzerdefinierte Rollendefinition ist eine Sammlung von Berechtigungen, die Sie aus einer vordefinierten Liste hinzufügen. Bei diesen Berechtigungen handelt es sich um die gleichen Berechtigungen, die in den integrierten Rollen verwendet werden.
Nachdem Sie Ihre benutzerdefinierte Rollendefinition erstellt (oder eine integrierte Rolle verwendet) haben, können Sie diese durch Erstellen einer Rollenzuweisung einem Benutzer zuweisen. Eine Rollenzuweisung erteilt einem Benutzer die Berechtigungen in einer Rollendefinition für einen bestimmten Bereich. Durch diesen zweistufigen Prozess können Sie eine einzelne Rollendefinition erstellen und dann für verschiedene Bereiche mehrmals zuweisen. Ein Bereich definiert die Gruppe von Microsoft Entra-Ressourcen, auf die das Rollenmitglied Zugriff hat. Der gängigste Bereich ist der organisationsweite Bereich. Eine benutzerdefinierte Rolle kann für den organisationsweiten Bereich zugewiesen werden. Dies bedeutet, dass das Rollenmitglied über die Rollenberechtigungen für alle Ressourcen in der Organisation verfügt. Eine benutzerdefinierte Rolle kann auch für einen Objektbereich zugewiesen werden. Ein Beispiel für einen Objektbereich ist eine einzelne Anwendung. Die gleiche Rolle kann einem Benutzer für alle Anwendungen in der Organisation und dann einem anderen Benutzer nur für die App der Contoso-Spesenabrechnungen zugewiesen werden.
So ermittelt Microsoft Entra ID, ob ein Benutzer Zugriff auf eine Ressource hat
Im Folgenden finden Sie die allgemeinen Schritte, anhand derer Microsoft Entra ID ermittelt, ob Sie Zugriff auf eine Verwaltungsressource haben. Verwenden Sie diese Informationen, um Zugriffsprobleme zu beheben.
- Ein*e Benutzer*in (oder Dienstprinzipal) ruft ein Token für den Microsoft Graph- oder Azure AD Graph-Endpunkt ab.
- Der*die Benutzer*in sendet mithilfe des ausgestellten Tokens über Microsoft Graph einen API-Aufruf an Microsoft Entra ID.
- Abhängig von der jeweiligen Situation führt Microsoft Entra ID eine der folgenden Aktionen aus:
- Wertet die Rollenmitgliedschaften des Benutzers basierend auf dem wids-Anspruch im Zugriffstoken des Benutzers aus.
- Ruft alle für den Benutzer entweder direkt oder über eine Gruppenmitgliedschaft geltenden Rollenzuweisungen für die Ressource ab, für die die Aktion ausgeführt wird.
- Microsoft Entra ID ermittelt, ob die Aktion im API-Aufruf in den Rollen enthalten ist, die dem Benutzer für diese Ressource zugewiesen sind.
- Wenn der Benutzer keine Rolle mit der Aktion als angefordertem Bereich besitzt, wird kein Zugriff gewährt. Andernfalls wird der Zugriff gewährt.
Rollenzuweisung
Eine Rollenzuweisung ist eine Microsoft Entra-Ressource, die einem Sicherheitsprinzipal eine Rollendefinition in einem bestimmten Bereich zuordnet, um Zugriff auf Microsoft Entra-Ressourcen zu gewähren. Der Zugriff wird durch Erstellen einer Rollenzuweisung erteilt und durch Entfernen einer Rollenzuweisung widerrufen. Eine Rollenzuweisung besteht im Kern aus drei Elementen:
- Sicherheitsprinzipal: Eine Identität, die die Berechtigungen erhält. Dies kann ein Benutzer, eine Gruppe oder ein Dienstprinzipal sein.
- Rollendefinition: Eine Sammlung von Berechtigungen
- Bereich: Eine Möglichkeit, den Geltungsbereich dieser Berechtigungen einzuschränken
Zum Erstellen von Rollenzuweisungen und Auflisten von Rollenzuweisungen können Sie das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Microsoft Graph-API verwenden. Die Azure CLI wird für Microsoft Entra-Rollenzuweisungen nicht unterstützt.
Das folgende Diagramm zeigt ein Beispiel für eine Rollenzuweisung. In diesem Beispiel wurde Chris die benutzerdefinierte Rolle „App-Registrierungsadministrator“ für den Bereich der Contoso Widget Builder-App-Registrierung zugewiesen. Diese Zuweisung erteilt Chris nur für diese spezifische App-Registrierung die Berechtigungen der Rolle „App-Registrierungsadministrator“.
Sicherheitsprinzipal
Ein Sicherheitsprinzipal stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar, dem bzw. der Zugriff auf Microsoft Entra-Ressourcen zugewiesen werden. Ein Benutzer ist eine Person, die über ein Benutzerprofil in Microsoft Entra ID verfügt. Eine Gruppe ist eine neue Microsoft 365- oder Sicherheitsgruppe, die als rollenzuweisbare Gruppe festgelegt wurde. Ein Dienstprinzipal ist eine Identität, die für den Zugriff auf Microsoft Entra-Ressourcen mit Anwendungen, gehosteten Diensten und automatisierten Tools erstellt wird.
Rollendefinition
Eine Rollendefinition oder Rolle ist eine Sammlung von Berechtigungen. Eine Rollendefinition listet die Vorgänge auf, die für Microsoft Entra-Ressourcen ausgeführt werden können, z. B. Lesen, Schreiben, Aktualisieren und Löschen. Es gibt zwei Rollentypen in Microsoft Entra ID:
- Von Microsoft erstellte integrierte Rollen, die nicht geändert werden können.
- Von Ihrer Organisation erstellte und verwaltete benutzerdefinierte Rollen
`Scope`
Mithilfe eines Bereichs können die zulässigen Aktionen im Rahmen einer Rollenzuweisung auf bestimmte Ressourcen beschränkt werden. Wenn Sie beispielsweise einem Entwickler eine benutzerdefinierte Rolle – jedoch nur zum Verwalten einer bestimmten Anwendungsregistrierung – zuweisen möchten, können Sie die entsprechende Anwendungsregistrierung als Bereich in die Rollenzuweisung einschließen.
Wenn Sie eine Rolle zuweisen, geben Sie einen der folgenden Bereichstypen an:
- Tenant
- Verwaltungseinheit
- Microsoft Entra-Ressource
Wenn Sie eine Microsoft Entra-Ressource als Bereich angeben, ist eine der folgenden Ressourcen möglich:
- Microsoft Entra-Gruppen
- Unternehmensanwendungen
- Anwendungsregistrierungen
Wenn eine Rolle für einen Containerbereich zugewiesen wird, z. B. für den Mandanten oder eine Verwaltungseinheit, gewährt sie Berechtigungen für die enthaltenen Objekte, aber nicht für den Container selbst. Im Gegenteil: Wenn eine Rolle für einen Ressourcenbereich zugewiesen wird, gewährt sie Berechtigungen für die Ressource selbst, aber nicht darüber hinaus (insbesondere nicht für die Mitglieder einer Microsoft Entra-Gruppe).
Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen mit verschiedenen Gültigkeitsbereichen.
Rollenzuweisungsoptionen
Microsoft Entra ID bietet mehrere Optionen zum Zuweisen von Rollen:
- Sie können Benutzern Rollen direkt zuweisen, dies ist der Standard zum Zuweisen von Rollen. Sowohl integrierte als auch benutzerdefinierte Microsoft Entra-Rollen können Benutzern basierend auf Zugriffsanforderungen zugewiesen werden. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen an Benutzer.
- Mit Microsoft Entra ID P1 können Sie rollenzuweisbare Gruppen erstellen und diesen Gruppen Rollen zuweisen. Das Zuweisen von Rollen zu einer Gruppe statt zu Einzelpersonen ermöglicht das einfache Hinzufügen oder Entfernen von Benutzern aus einer Rolle und schafft konsistente Berechtigungen für alle Mitglieder der Gruppe. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen an Gruppen.
- Mit Microsoft Entra ID P2 können Sie Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) verwenden, um den Just-in-Time-Zugriff auf Rollen zu ermöglichen. Mit diesem Feature können Sie Benutzern zeitlich begrenzten Zugriff auf eine Rolle gewähren, die sie benötigen, anstatt dauerhaften Zugriff zu gewähren. Außerdem bietet es detaillierte Berichts- und Überprüfungsfunktionen. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.
Lizenzanforderungen
Die Verwendung integrierter Rollen in Microsoft Entra ID ist kostenlos. Für die Verwendung benutzerdefinierter Rollen ist eine Microsoft Entra ID P1-Lizenz für alle Benutzer*innen mit einer benutzerdefinierten Rollenzuweisung erforderlich. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.