Schützen der Zugriffssteuerung mithilfe von Gruppen in Microsoft Entra ID
Microsoft Entra ID ermöglicht das Verwalten des Zugriffs auf Ressourcen in einer Organisation mithilfe von Gruppen. Verwenden Sie Gruppen für die Zugriffssteuerung, um den Zugriff auf Anwendungen zu verwalten und zu minimieren. Beim Arbeiten mit Gruppen können nur Mitglieder der jeweiligen Gruppen auf die Ressource zugreifen. Die Verwendung von Gruppen ermöglicht außerdem die folgenden Features für die Verwaltung:
- Attributbasierte Gruppen mit dynamischer Mitgliedschaft
- Externe Gruppen, die von lokalem Active Directory synchronisiert werden
- Von einem Administrator verwaltete oder per Self-Service verwaltete Gruppen
Weitere Informationen zu den Vorteilen von Gruppen für die Zugriffssteuerung finden Sie unter Verwalten des Zugriffs auf eine Anwendung.
Beim Entwickeln einer Anwendung autorisieren Sie den Zugriff mittels Gruppenanspruch. Weitere Informationen finden Sie unter Konfigurieren von Gruppenansprüchen für Anwendungen mit Microsoft Entra ID.
Derzeit wählen viele Anwendungen eine Teilmenge von Gruppen aus, bei denen das Flag securityEnabled
auf true
festgelegt ist, um Skalierungsprobleme zu vermeiden, d. h. um die Anzahl der im Token zurückgegebenen Gruppen zu reduzieren. Das Festlegen des Flags securityEnabled
für eine Gruppe auf TRUE garantiert nicht, dass die Gruppe sicher verwaltet wird.
Bewährte Methoden zum Entschärfen von Risiken
In der folgenden Tabelle finden Sie verschiedene bewährte Methoden für Sicherheitsgruppen und die potenziellen Sicherheitsrisiken, die durch jede Methode entschärft werden.
Bewährte Sicherheitsmethode | Entschärftes Sicherheitsrisiko |
---|---|
Sicherstellen, dass der Besitzer der Ressource und der Besitzer der Gruppe demselben Prinzipal entsprechen. Anwendungen sollten eine eigene Gruppenverwaltung einrichten und zur Verwaltung des Zugriffs neue Gruppen erstellen. Eine Anwendung kann zum Beispiel Gruppen mit der Berechtigung Group.Create erstellen und sich selbst als Besitzer der Gruppe hinzufügen. Auf diese Weise hat die Anwendung die Kontrolle über ihre Gruppen, ohne dass sie übermäßige Berechtigungen zur Änderung anderer Gruppen im Mandanten hat. |
Wenn Gruppenbesitzer und Ressourcenbesitzer unterschiedliche Entitäten sind, können Gruppenbesitzer Benutzer zu der Gruppe hinzufügen, die nicht auf die Ressource zugreifen sollen, aber ungewollt darauf zugreifen können. |
Schließen eines impliziten Vertrags zwischen Ressourcenbesitzer und Gruppenbesitzer. Ressourcenbesitzer und Gruppenbesitzer sollten sich über den Zweck der Gruppe, die Richtlinien und die Mitglieder abstimmen, die der Gruppe hinzugefügt werden können, um Zugriff auf die Ressource zu erhalten. Diese Vertrauensebene ist nicht technischer Natur und beruht auf einem individuellen oder geschäftlichen Vertrag. | Wenn Gruppenbesitzer und Ressourcenbesitzer unterschiedliche Absichten haben, kann der Gruppenbesitzer Benutzer zur Gruppe hinzufügen, auf die der Ressourcenbesitzer keinen Zugriff gewähren wollte. Diese Maßnahme kann zu einem unnötigen und möglicherweise riskanten Zugriff führen. |
Steuern des Zugriffs mithilfe privater Gruppen. Microsoft 365-Gruppen werden anhand des Sichtbarkeitskonzepts verwaltet. Diese Eigenschaft steuert die Richtlinie für den Beitritt zur Gruppe und die Sichtbarkeit von Gruppenressourcen. Sicherheitsgruppen verfügen über Richtlinien, die entweder jedem den Beitritt erlauben oder die Zustimmung des Besitzers erfordern. Lokal synchronisierte Gruppen können auch öffentlich oder privat sein. Benutzer, die einer lokal synchronisierten Gruppe beitreten, können auch auf Cloudressourcen zugreifen. | Wenn Sie eine öffentliche Gruppe für die Zugriffssteuerung verwenden, kann jedes Mitglied der Gruppe beitreten und Zugriff auf die Ressource erhalten. Wenn eine öffentliche Gruppe verwendet wird, um den Zugriff auf eine externe Ressource zu ermöglichen, besteht das Risiko von Rechteerweiterungen. |
Gruppenschachtelung. Wenn Sie eine Gruppe für die Zugriffssteuerung verwenden und diese andere Gruppen als Mitglieder aufweist, können die Mitglieder der Untergruppen Zugriff auf die Ressource erhalten. In diesem Fall gibt es mehrere Gruppenbesitzer der übergeordneten Gruppe und der Untergruppen. | Die Abstimmung mit mehreren Gruppenbesitzern über den Zweck jeder Gruppe und darüber, wie diesen Gruppen die passenden Mitglieder hinzugefügt werden können, ist komplexer und anfälliger für eine versehentliche Gewährung des Zugriffs. Begrenzen Sie die Anzahl der geschachtelten Gruppen, oder verwenden Sie sie nach Möglichkeit gar nicht. |