Worin besteht der Unterschied zwischen Gruppen mit privilegiertem Zugriff und Gruppen, denen Rollen zugewiesen werden können?

Privileged Identity Management (PIM) unterstützt die Möglichkeit, privilegierten Zugriff für Gruppen zu ermöglichen, denen Rollen zugewiesen werden können. Da eine verfügbare Gruppe, der Rollen zugewiesen werden können, jedoch eine Voraussetzung für das Erstellen einer Gruppe mit privilegiertem Zugriff ist, werden in diesem Artikel die Unterschiede und deren Nutzung erläutert.

Was sind Azure AD-Gruppen, denen Rollen zugewiesen werden können?

In Azure Active Directory (Azure AD), Teil der Microsoft Entra-Familie, können Sie einer Azure AD-Rolle eine Azure AD-Sicherheitsgruppe in der Cloud zuweisen. Globale Administratoren und Administratoren für privilegierte Rollen müssen eine neue Sicherheitsgruppe erstellen und die Gruppen zum Zeitpunkt der Erstellung als Gruppe festlegen, der Rollen zugewiesen werden können. Nur Benutzer mit den Rollen „Globaler Administrator“, „Administrator für privilegierte Rollen“ oder „Besitzer“ der Gruppe können die Mitgliedschaft der Gruppe ändern. Außerdem können keine anderen Benutzer das Kennwort der Benutzer zurücksetzen, die Mitglieder der Gruppe sind. Dieses Feature hilft zu verhindern, dass Administratoren auf eine Rolle mit höheren Berechtigungen hochgestuft werden, ohne ein Anforderungs- und Genehmigungsverfahren zu durchlaufen.

Was sind Gruppen mit privilegiertem Zugriff?

In Gruppen mit privilegiertem Zugriff können Benutzer auf die Rolle „Besitzer“ oder „Mitglied“ einer Azure AD-Sicherheitsgruppe heraufgestuft werden. Mit diesem Feature können Sie Just-In-Time-Workflows nicht nur für Azure AD- und Azure-Rollen in Batches einrichten, sondern auch Just-In-Time-Szenarien für andere Anwendungsfälle wie Azure SQL, Azure Key Vault, Intune oder andere Anwendungsrollen. Weitere Informationen finden Sie unter Verwaltungsfunktionen für Gruppen mit privilegiertem Zugriff.

Hinweis

Für Gruppen mit berechtigtem Zugriff, die für die Erhöhung Azure AD Rollen verwendet werden, empfiehlt Microsoft, dass Sie einen Genehmigungsprozess für berechtigte Mitgliedszuweisungen benötigen. Zuweisungen, die ohne Genehmigung aktiviert werden können, können Sie anfällig für ein Sicherheitsrisiko durch Administratoren mit geringeren Privilegien machen. Beispielsweise verfügt der Helpdeskadministrator über die Berechtigung zum Zurücksetzen der Kennwörter eines berechtigten Benutzers.

Verwenden einer Gruppe, der Rollen zugeordnet werden können

Sie können Just-in-Time-Zugriff für Berechtigungen und Rollen einrichten, die über Azure AD und Azure-Ressourcen hinausgehen. Wenn Sie über andere Ressourcen verfügen, deren Autorisierung mit einer Azure AD-Sicherheitsgruppe verbunden werden kann (für Azure Key Vault, Intune, Azure SQL oder andere Apps und Dienste), sollten Sie den privilegierten Zugriff für die Gruppe aktivieren und Benutzern die Berechtigung für die Mitgliedschaft in der Gruppe zuweisen.

Wenn Sie einer Azure AD- oder Azure-Ressourcenrolle eine Gruppe zuweisen möchten und eine Rechteerweiterung über einen PIM-Prozess erfordern, gibt es nur eine Möglichkeit:

  • Weisen Sie der Rolle die Gruppe dauerhaft zu. Anschließend können Sie in PIM berechtigten Benutzern Rollenzuweisungen für die Gruppe erteilen. Jeder berechtigte Benutzer muss seine Rollenzuweisung aktivieren, um Mitglied der Gruppe zu werden, und die Aktivierung unterliegt Genehmigungsrichtlinien. Für diesen Pfad muss eine Gruppe, der Rollen zugewiesen werden können, in PIM als Gruppe mit privilegiertem Zugriff für die Azure AD-Rolle aktiviert werden.

Diese Methode ermöglicht die maximale Granularität von Berechtigungen. Verwenden Sie diese Methode für folgende Aufgaben:

  • Weisen Sie eine Gruppe zu mehreren Azure AD- oder Azure-Ressourcenrollen zu, und lassen Sie Benutzer eine einmalige Registrierung ausführen, um Zugriff auf mehrere Rollen zu erhalten.
  • Verwalten Sie unterschiedliche Aktivierungsrichtlinien für verschiedene Gruppen von Benutzern, um auf eine Azure AD- oder Azure-Ressourcenrolle zuzugreifen. Wenn Sie beispielsweise möchten, dass einige Benutzer genehmigt werden, bevor sie die Rolle „Globaler Administrator erhalten, während Sie für andere Benutzer die automatische Genehmigung zulassen, können Sie zwei Gruppen mit privilegiertem Zugriff einrichten, beide dauerhaft (eine „permanente“ Zuweisung in Privileged Identity Management) der Rolle „Globaler Administrator“ zuweisen und dann unterschiedliche Aktivierungsrichtlinien für die Mitgliedsrolle für jede Gruppe verwenden.

Nächste Schritte