Weitere Informationen über Gruppen und Zugriffsrechte in Azure Active Directory
Azure Active Directory (Azure AD) bietet verschiedene Möglichkeiten zum Verwalten des Zugriffs auf Ressourcen, Anwendungen und Aufgaben. Mit Azure AD-Gruppen können Sie einer Gruppe von Benutzern statt jedem Benutzer einzeln Zugriff und Berechtigungen für eine Gruppe von Benutzerm erteilen. Das Einschränken des Zugriffs auf Azure AD-Ressourcen auf ausschließlich die Benutzer, die Zugriff benötigen, ist eines der wichtigsten Sicherheitsprinzipien von Zero Trust. Dieser Artikel enthält einen Überblick darüber, wie Gruppen und Zugriffsrechte zusammen verwendet werden können, um die Verwaltung Ihrer Azure AD-Benutzer zu vereinfachen, während gleichzeitig bewährte Methoden für die Sicherheit zum Einsatz kommen.
Mit Azure AD können Sie Gruppen verwenden, um den Zugriff auf Anwendungen, Daten und Ressourcen zu verwalten. Ressourcen können sein:
- Teil der Azure AD-Organisation, wie z. B. Berechtigungen zum Verwalten von Objekten über Rollen in Azure AD
- Organisationsexterne Ressourcen, wie z. B. Software-as-a-Service-(SaaS)-Apps
- Azure-Dienste
- SharePoint-Websites
- Lokale Ressourcen
Einige Gruppen können im Azure-Portal nicht verwaltet werden:
- Gruppen, die vom lokalen Active Directory synchronisiert werden, können nur im lokalen Active Directory verwaltet werden.
- Verteilerlisten und E-Mail-aktivierte Sicherheitsgruppen werden nur im Exchange Admin Center oder im Microsoft 365 Admin Center verwaltet. Zum Verwalten dieser Gruppen müssen Sie sich beim Exchange Admin Center bzw. beim Microsoft 365 Admin Center anmelden.
Wissenswertes Vor dem Erstellen einer Gruppe
Es gibt zwei Arten von Gruppen und drei Arten von Gruppenmitgliedschaften. Schauen Sie sich die Optionen an, um die richtige Kombination für Ihr Szenario zu finden.
Gruppentypen:
Sicherheit: Dient zur Verwaltung von Benutzern und des Computerzugriffs auf freigegebene Ressourcen.
Sie können beispielsweise eine Sicherheitsgruppe erstellen, damit alle Gruppenmitglieder dieselben Sicherheitsberechtigungen haben. Mitglieder einer Sicherheitsgruppe können Benutzer, Geräte, andere Gruppen und Dienstprinzipale enthalten, durch die Zugriffsrichtlinien und Berechtigungen definiert werden. Besitzer einer Sicherheitsgruppe können Benutzer und Dienstprinzipale sein.
Microsoft 365: Dieser Gruppentyp bietet Möglichkeiten zur Zusammenarbeit, indem Gruppenmitgliedern Zugriff auf freigegebene Postfächer, Kalender, Dateien, SharePoint-Websites und vieles mehr gewährt wird.
Über diese Option können Sie auch Personen außerhalb Ihrer Organisation Zugriff auf die Gruppe gewähren. Mitglieder einer Microsoft 365-Gruppe können nur Benutzer sein. Besitzer einer Microsoft 365-Gruppe können Benutzer und Dienstprinzipale sein. Weitere Informationen zu Microsoft 365-Gruppen finden Sie unter Informationen zu Microsoft 365-Gruppen.
Mitgliedschaftstypen:
Zugewiesen: Hiermit können Sie bestimmte Benutzer als Mitglieder einer Gruppe mit einzigartigen Berechtigungen hinzufügen.
Dynamischer Benutzer: Hiermit können Sie dynamische Mitgliedschaftsregeln verwenden, um Mitglieder automatisch hinzuzufügen und zu entfernen. Wenn sich die Attribute eines Mitglieds ändern, prüft das System Ihre dynamischen Gruppenregeln für das Verzeichnis, um festzustellen, ob das Mitglied den Regelanforderungen (sofern hinzugefügt) entspricht oder nicht mehr entspricht (falls entfernt).
Dynamisches Gerät: Über diese Option können Sie mithilfe dynamischer Gruppenregeln automatisch Geräte hinzufügen und entfernen. Wenn sich die Attribute eines Geräts ändern, prüft das System Ihre dynamischen Gruppenregeln für das Verzeichnis, um festzustellen, ob das Gerät den Regelanforderungen (sofern hinzugefügt) entspricht oder nicht mehr entspricht (falls entfernt).
Wichtig
Sie können eine dynamische Gruppe entweder für Geräte oder für Benutzer erstellen, jedoch nicht für beides. Sie können keine Gerätegruppe basierend auf den Attributen der Gerätebesitzer erstellen. Regeln für die Gerätemitgliedschaft können nur Geräteattribute referenzieren. Weitere Informationen zum Erstellen einer dynamischen Gruppe von Benutzern und Geräten finden Sie unter Erstellen einer dynamischen Gruppe und Überprüfen des Status.
Wissenswertes vor dem Hinzufügen von Zugriffsrechten zu einer Gruppe
Nachdem Sie eine Azure AD-Gruppe erstellt haben, müssen Sie ihr die entsprechenden Zugriffsrechte erteilen. Alle Anwendungen, Ressourcen und Dienste, die Zugriffsrechte erfordern, müssen separat verwaltet werden, da die Berechtigungen für eine oder einen möglicherweise nicht dieselben wie für die anderen sind. Gewähren Sie Zugriff nach dem Prinzip der geringsten Rechte, um das Risiko eines Angriffs oder einer Sicherheitsverletzung zu verringern.
So funktioniert die Verwaltung in Azure AD
Mit Azure AD können Sie Zugriff auf die Ressourcen Ihrer Organisation gewähren, indem Sie Zugriffsrechte für einen einzelnen Benutzer oder eine gesamte Azure AD-Gruppe erteilen. Mithilfe von Gruppen kann der Ressourcenbesitzer oder der Azure AD-Verzeichnisbesitzer allen Mitgliedern der Gruppe Zugriffsrechte gewähren. Der Ressourcen- oder Verzeichnisbesitzer kann darüber hinaus Verwaltungsrechte an eine andere Person übertragen, etwa den Abteilungsleiter oder einen Helpdeskadministrator, und dadurch dieser Person das Hinzufügen und Entfernen von Mitgliedern ermöglichen. Weitere Informationen zum Verwalten von Gruppenbesitzern finden Sie im Artikel Verwalten von Gruppen.
Möglichkeiten zum Zuweisen von Zugriffsrechten
Nachdem Sie eine Gruppe erstellt haben, müssen Sie entscheiden, wie Sie Zugriffsrechte zuweisen. Erkunden Sie die Möglichkeiten zum Zuweisen von Zugriffsrechten, um die beste Vorgehensweise für Ihr Szenario zu ermitteln.
Direkte Zuweisung: Der Ressourcenbesitzer weist den Benutzer direkt der Ressource zu.
Gruppenzuweisung: Der Ressourcenbesitzer weist der Ressource eine Azure AD-Gruppe zu. Dadurch erhalten automatisch alle Gruppenmitglieder Zugriff auf die Ressource. Die Gruppenmitgliedschaft wird vom Gruppenbesitzer und vom Ressourcenbesitzer verwaltet, sodass beide Besitzer Mitglieder zur Gruppe hinzufügen bzw. daraus entfernen können. Weitere Informationen zum Verwalten der Gruppenmitgliedschaft finden Sie im Artikel zum Verwalten von Gruppen.
Regelbasierte Zuweisung: Der Ressourcenbesitzer erstellt eine Gruppe und verwendet eine Regel, um festzulegen, welche Benutzer einer bestimmten Ressource zugewiesen werden. Die Regel basiert auf Attributen, die einzelnen Benutzern zugewiesen sind. Der Ressourcenbesitzer verwaltet die Regel und bestimmt, welche Attribute und Werte zum Zulassen des Zugriffs auf die Ressource erforderlich sind. Weitere Informationen finden Sie unter Erstellen einer dynamischen Gruppe und Überprüfen des Status.
Zuweisung durch eine externe Autorität: Der Zugriff stammt aus einer externen Quelle, etwa einem lokalen Verzeichnis oder einer SaaS-App. In diesem Fall weist der Ressourcenbesitzer eine Gruppe zu, um Zugriff auf die Ressource zu ermöglichen, und die externe Quelle verwaltet die Gruppenmitglieder.
Können Benutzer Gruppen beitreten, ohne zugewiesen zu werden?
Der Gruppenbesitzer kann zulassen, dass Benutzer ihre Gruppen selbst ermitteln, denen sie beitreten möchten, statt sie zuzuweisen. Der Besitzer kann die Gruppe auch so einrichten, dass sie alle beitretenden Benutzer automatisch akzeptiert oder dass eine Genehmigung erforderlich ist.
Nachdem ein Benutzer den Beitritt zu einer Gruppe angefordert hat, wird diese Anforderung an den Gruppenbesitzer weitergeleitet. Wenn es erforderlich ist, kann der Besitzer die Anforderung genehmigen, und der Benutzer wird über die Gruppenmitgliedschaft informiert. Wenn mehrere Besitzer vorhanden sind und einer davon die Anforderung ablehnt, wird der Benutzer zwar benachrichtigt, aber nicht zur Gruppe hinzugefügt. Weitere Informationen sowie Anweisungen dazu, wie Sie Benutzern die Anforderung des Gruppenbeitritts ermöglichen, finden Sie unter Einrichten von Azure Active Directory für die Anforderung des Gruppenbeitritts.