Schnellstartanleitung für Microsoft Entra Permissions Management

  • Artikel

Willkommen bei der Schnellstartanleitung für Microsoft Entra Permissions Management.

Permissions Management ist eine CIEM-Lösung (Cloud Infrastructure Entitlement Management, Berechtigungsverwaltung für die Cloudinfrastruktur), die umfassende Erkenntnisse zu Berechtigungen bietet, die allen Identitäten zugewiesen sind. Diese Identitäten umfassen überprivilegierte Workload- und Benutzeridentitäten, Aktionen und Ressourcen in mehreren Cloudinfrastrukturen in Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP). Mithilfe von Permissions Management kann Ihre Organisation Cloudberechtigungen effektiv sichern und verwalten, indem nicht verwendete und übermäßige Berechtigungen erkannt, automatisch richtig dimensioniert und kontinuierlich überwacht werden.

In dieser Schnellstartanleitung richten Sie Ihre Multicloud-Umgebungen ein, konfigurieren die Datensammlung und aktivieren den Zugriff auf Berechtigungen, um sicherzustellen, dass Ihre Cloudidentitäten verwaltet und sicher sind.

Voraussetzungen

Bevor Sie beginnen, benötigen Sie Zugriff auf diese Tools für den Onboardingprozess:

  • Zugriff auf eine lokale BASH-Shell mit der Azure CLI oder Azure Cloud Shell mithilfe der BASH-Umgebung (Azure CLI ist enthalten).
  • Zugriff auf AWS-, Azure- und GCP-Konsolen.
  • Ein Benutzer muss über die Rollenzuweisung Globaler Administrator verfügen, um eine neue App-Registrierung im Microsoft Entra-Mandanten zu erstellen, der für das AWS- und GCP-Onboarding erforderlich ist.

Schritt 1: Einrichten der Berechtigungsverwaltung

Um Permissions Management zu aktivieren, benötigen Sie einen Microsoft Entra-Mandanten (z. B. Microsoft Entra Admin Center).

  • Wenn Sie über ein Azure-Konto verfügen, haben Sie automatisch einen Microsoft Entra Admin Center-Mandanten.
  • Sollten Sie noch kein Konto besitzen, können Sie auf entra.microsoft.com ein kostenloses Konto erstellen.

Wenn die obigen Punkte erfüllt sind, können Sie wie folgt fortfahren:

Aktivieren von Microsoft Entra Permissions Management in Ihrer Organisation

Sie müssen ein globaler Administrator sein. Weitere Informationen zu Permissions Management-Rollen und -Berechtigungen.

A diagram showing where Microsoft Entra intersect with Azure roles in the Microsoft Entra tenant.

Schritt 2: Onboarding Ihrer Multicloudumgebung

Bisher

  1. Wurde Ihnen die Rolle Permissions Management-Administrator in Ihrem Microsoft Entra Admin Center-Mandanten zugewiesen.
  2. haben Sie Lizenzen erworben oder Ihre 45-tägige kostenlose Testversion für Permissions Management aktiviert.
  3. haben Sie Permissions Management erfolgreich gestartet.

Nun erfahren Sie mehr über die Rolle und die Einstellungen der Controller- und Datensammlungsmodi in Permissions Management.

Festlegen des Controllers

Der Controller bietet Ihnen die Möglichkeit, die Zugriffsebene zu bestimmen, die Sie Benutzern in Permissions Management gewähren.

  • Die Aktivierung des Controllers während des Onboardings gewährt Permissions Management-Administratorzugriff oder Lese- und Schreibzugriff, sodass Benutzer Berechtigungen korrekt dimensionieren und direkt über Permissions Management korrigieren können (anstatt zu den AWS-, Azure- oder GCP-Konsolen wechseln zu müssen). 

  • Wenn Sie den Controller während des Onboardings deaktivieren oder ihn nie aktivieren, erhält ein Permissions Management-Benutzer schreibgeschützten Zugriff auf Ihre Umgebung(en).

Hinweis

Wenn Sie den Controller während des Onboardings nicht aktivieren, haben Sie die Möglichkeit, ihn nach Abschluss des Onboardings zu aktivieren. Informationen zum Festlegen des Controllers in Permissions Management nach dem Onboarding finden Sie unter Aktivieren oder Deaktivieren des Controllers nach dem Onboarding. Wenn Sie den Controller für AWS-Umgebungen aktiviert haben, können Sie ihn nicht mehr deaktivieren.

So legen Sie die Controllereinstellungen während des Onboardings fest:

  1. Wählen Sie Aktivieren aus, um Lese- und Schreibzugriff auf Permissions Management zu gewähren.
  2. Wählen Sie Deaktivieren aus, um schreibgeschützten Zugriff auf Permissions Management zu gewähren.

Konfigurieren der Datensammlung

Es stehen drei Modi zur Auswahl, aus denen Daten in Permissions Management gesammelt werden können.

  • Automatisch (empfohlen) Permissions Management ermittelt, integriert und überwacht automatisch alle aktuellen und zukünftigen Abonnements.

  • Manuell Geben Sie einzelne Abonnements für Permissions Management manuell ein, um sie zu ermitteln, zu integrieren und zu überwachen. Sie können bis zu 100 Abonnements pro Datensammlung eingeben.

  • Auswählen Permissions Management ermittelt automatisch alle aktuellen Abonnements. Wählen Sie nach dem Ermitteln aus, welche Abonnements integriert und überwacht werden sollen.

Hinweis

Um den Modus Automatisch oder Auswählen verwenden zu können, muss der Controller beim Konfigurieren der Datensammlung aktiviert sein.

So konfigurieren Sie die Datensammlung:

  1. Navigieren Sie unter Permissions Management zur Seite Datensammler.
  2. Wählen Sie eine Cloudumgebung aus: AWS, Azure oder GCP.
  3. Klicken Sie auf Konfiguration erstellen.

Hinweis

Die Datenerfassung nimmt einige Zeit in Anspruch und erfolgt in den meisten Fällen in Intervallen von etwa 4–5 Stunden. Der Zeitrahmen hängt davon ab, wie groß Ihr Autorisierungssystem ist und wie viele Daten für die Erfassung zur Verfügung stehen.

Onboarding von Amazon Web Services (AWS)

Da Permissions Management auf Microsoft Entra gehostet wird, müssen weitere Schritte zum Onboarding Ihrer AWS-Umgebung ausgeführt werden.

Um AWS mit Permissions Management zu verbinden, müssen Sie eine Microsoft Entra-Anwendung im Microsoft Entra Admin Center-Mandanten erstellen, in dem Permissions Management aktiviert ist. Diese Microsoft Entra-Anwendung wird verwendet, um eine OIDC-Verbindung mit Ihrer AWS-Umgebung einzurichten.

OpenID Connect (OIDC) ist ein interoperables Authentifizierungsprotokoll auf Basis der OAuth 2.0-Spezifikationsfamilie.

A diagram showing the connection between Microsoft Entra ID and an AWS cloud environment.

Voraussetzungen

Ein Benutzer muss über die Rollenzuweisungen Globaler Administrator oder Permissions Management-Administrator verfügen, um eine neue App-Registrierung in Microsoft Entra ID zu erstellen.

Konto-IDs und Rollen für:

  • AWS OIDC-Konto: Ein AWS-Mitgliedskonto, das von Ihnen zum Erstellen und Hosten der OIDC-Verbindung über einen OIDC-IdP festgelegt wurde
  • AWS-Protokollierungskonto (optional, aber empfohlen)
  • AWS-Verwaltungskonto (optional, aber empfohlen)
  • AWS-Mitgliedskonten, die von Permissions Management überwacht und verwaltet werden (für den manuellen Modus)

Um den Modus Automatisch oder Auswählen zu verwenden, müssen Sie Ihr AWS-Verwaltungskonto verbinden.

Während dieses Schritts können Sie den Controller aktivieren, indem Sie den Namen des S3-Buckets mit AWS CloudTrail-Aktivitätsprotokollen eingeben (zu finden unter AWS Trails).

Informationen zum Onboarding Ihrer AWS-Umgebung und zum Konfigurieren der Datensammlung finden Sie unter Onboarding eines Amazon Web Services-Kontos (AWS).

Onboardings für Microsoft Azure

Wenn Sie Permissions Management im Microsoft Entra-Mandanten aktiviert haben, wurde eine Unternehmensanwendung für CIEM erstellt. Zum Onboarding Ihrer Azure-Umgebung erteilen Sie dieser Anwendung Berechtigungen für Permissions Management.

  1. Suchen Sie im Microsoft Entra-Mandanten, in dem Permissions Management aktiviert ist, die Unternehmensanwendung CIEM (Cloud Infrastructure Entitlement Management).

  2. Weisen Sie der CIEM-Anwendung die Rolle Leser zu, damit Permissions Management die Microsoft Entra-Abonnements in Ihrer Umgebung lesen kann.

A diagram showing the connection between the Microsoft Entra role connections to an Azure subscription.

Voraussetzungen

  • Ein Benutzer mit Microsoft.Authorization/roleAssignments/write Berechtigungen im Bereich der Abonnement- oder Verwaltungsgruppe, um der CIEM-Anwendung Rollen zuzuweisen.

  • Um den Modus Automatisch oder Auswählen zu verwenden, müssen Sie die Rolle Leser im Bereich der Verwaltungsgruppe zuweisen.

  • Um den Controller zu aktivieren, müssen Sie der CIEM-Anwendung die Rolle Benutzerzugriffsadministrator zuweisen.

Informationen zum Onboarding Ihrer Azure-Umgebung und zum Konfigurieren der Datensammlung finden Sie unter Onboarding eines Microsoft Azure-Abonnements.

Onboard Google Cloud Platform (GCP)

Da Permissions Management in Microsoft Azure gehostet wird, müssen Sie zusätzliche Schritte zum Onboarding Ihrer GCP-Umgebung ausführen.

Um GCP mit Permissions Management zu verbinden, müssen Sie eine Microsoft Entra Admin Center-Anwendung im Microsoft Entra-Mandanten erstellen, in dem Permissions Management aktiviert ist. Diese Microsoft Entra Admin Center-Anwendung wird verwendet, um eine OIDC-Verbindung mit Ihrer GCP-Umgebung einzurichten.

OpenID Connect (OIDC) ist ein interoperables Authentifizierungsprotokoll auf Basis der OAuth 2.0-Spezifikationsfamilie.

A diagram showing the connection between the Microsoft Entra OIDC application and a GCP cloud environment.

Voraussetzungen

Ein Benutzer mit der Möglichkeit, eine neue App-Registrierung in Microsoft Entra zu erstellen (erforderlich, um die OIDC-Verbindung zu erleichtern), wird für das AWS- und GCP-Onboarding benötigt.

ID-Details für:

  • GCP-OIDC-Projekt: Ein von Ihnen festgelegtes GCP-Projekt zum Erstellen und Hosten der OIDC-Verbindung über einen OIDC-IdP.
    • Projektnummer und Projekt-ID
  • GCP OIDC-Workloadidentität
    • Pool-ID, Poolanbieter-ID
  • GCP OIDC-Dienstkonto
    • Name des G-suite IdP-Geheimnisses und E-Mail des G-suite IdP-Benutzers (optional)
    • IDs für die GCP-Projekte, die Sie integrieren möchten (optional, für den manuellen Modus)

Weisen Sie dem GCP-Dienstkonto die Rollen Betrachter und Sicherheitsprüfer auf Organisations-, Ordner- oder Projektebene zu, um Permissions Management Lesezugriff auf Ihre GCP-Umgebung zu gewähren.

Während dieses Schritts haben Sie die Möglichkeit, den Controllermodus zu aktivieren, indem Sie dem GCP-Dienstkonto auf Organisations-, Ordner- oder Projektebene die Rollen Rollenadministrator und Sicherheitsadministrator zuweisen.

Hinweis

Der Standardbereich für Permissions Management befindet sich auf Projektebene.

Informationen zum Onboarding Ihrer GCP-Umgebung und zum Konfigurieren der Datensammlung finden Sie unter Onboarding eines GCP-Projekts.

Zusammenfassung

Glückwunsch! Sie haben die Konfiguration der Datensammlung für Ihre Umgebung(en) abgeschlossen, und der Datensammlungsprozess wurde gestartet. Die Datenerfassung nimmt einige Zeit in Anspruch, in den meisten Fällen etwa 4–5 Stunden. Der Zeitrahmen hängt von der Anzahl der Autorisierungssysteme ab, die Sie eingebunden haben, und davon, wie viele Daten für die Erfassung verfügbar sind.

In der Statusspalte auf der Permissions Management-Benutzeroberfläche wird angezeigt, in welchem Schritt der Datensammlung Sie sich befinden.

  • Ausstehend: Permissions Management hat noch nicht mit der Erkennung oder dem Onboarding begonnen.
  • Entdecken: Die Berechtigungsverwaltung befindet sich im Prozess der Ermittlung der Autorisierungssysteme.
  • In Bearbeitung: Die Berechtigungsverwaltung hat die Ermittlung der Autorisierungssysteme abgeschlossen und führt das Onboarding durch.
  • Integriert: Die Datensammlung ist abgeschlossen, und alle ermittelten Autorisierungssysteme wurden in die Berechtigungsverwaltung integriert.

Hinweis

Während der Datensammlungsprozess fortgesetzt wird, können Sie mit dem Einrichten von Benutzern und Gruppen in Permissions Management beginnen.

Nächste Schritte

Referenzen: