Freigeben über


Einführung in die Ressourcenisolation in einem einzelnen Mandanten in Microsoft Entra ID.

Viele Separationsszenarien lassen sich innerhalb eines einzelnen Mandanten umsetzen. Es empfiehlt sich, die Verwaltung nach Möglichkeit an separate Umgebungen innerhalb eines einzelnen Mandanten zu delegieren, um optimale Produktivitäts- und Zusammenarbeitsfunktionen für Ihre Organisation bereitzustellen.

Ergebnisse

Ressourcentrennung – Mithilfe von Microsoft Entra-Verzeichnisrollen, Sicherheitsgruppen, Richtlinien für bedingten Zugriff, Azure-Ressourcengruppen, Azure-Verwaltungsgruppen, Verwaltungseinheiten (AUs), und anderen Steuerelementen können Sie den Ressourcenzugriff auf bestimmte Benutzende, Gruppen und Dienstprinzipale einschränken. Aktivieren Sie separate Admins zum Verwalten von Ressourcen. Verwenden Sie separate Benutzende, Berechtigungen und Zugangsanforderungen.

Verwenden Sie die Ressourcenisolation mit mehreren Mandanten, wenn Folgendes vorhanden ist:

  • Ressourcensätze, die mandantenweite Einstellungen erfordern
  • Sie haben eine minimale Risikotoleranz für den unbefugten Zugriff von Mandantenmitgliedern auf Ihre Testressourcen.
  • Konfigurationsänderungen verursachen unerwünschte Effekte

Konfigurationstrennung: In einigen Fällen bestehen bei Ressourcen (z. B. Anwendungen) Abhängigkeiten von mandantenweiten Konfigurationen wie etwa Authentifizierungsmethoden oder benannten Standorten. Beim Isolieren von Ressourcen müssen Sie diese Abhängigkeiten berücksichtigen. Globale Administratoren können die Ressourceneinstellungen und mandantenweiten Einstellungen konfigurieren, die sich auf Ressourcen auswirken.

Wenn ein Ressourcensatz eindeutige mandantenweite Einstellungen erfordert oder die Einstellungen des Mandanten von einer anderen Entität verwaltet werden müssen, müssen Sie eine Isolation in mehreren Mandanten einrichten.

Administrative Trennung – Mit der delegierten Verwaltung von Microsoft Entra ID können Sie die Verwaltung von Ressourcen, wie Anwendungen und APIs, Benutzende und Gruppen, Ressourcengruppen und Richtlinien, für den bedingten Zugriff voneinander trennen.

Globale Admins können vollständigen Zugriff auf alle vertrauenswürdigen Ressourcen ermitteln und abrufen. Richten Sie Überwachungen und Warnungen für authentifizierte Administratoränderungen an einer Ressource ein.

Verwenden Sie Verwaltungseinheiten (AUs) in Microsoft Entra ID für die administrative Trennung. Verwaltungseinheiten beschränken die Berechtigungen einer Rolle auf einen von Ihnen definierten Teil Ihrer Organisation. Verwenden Sie Verwaltungseinheiten, um die Rolle Helpdesk-Administrator an regionale Supportspezialisten zu delegieren. Dann können sie die Benutzende in der Region, die sie unterstützen, verwalten.

Diagramm der administrativen Einheiten.

Verwenden Sie Verwaltungseinheiten, um Benutzende, Gruppen und Geräteobjekte zu trennen. Weisen Sie Einheiten mit Regeln für Gruppen mit dynamischer Mitgliedschaft zu.

Wählen Sie mit Privileged Identity Management (PIM) eine Person aus, die Anforderungen für hoch privilegierte Rollen genehmigt. Wählen Sie beispielsweise Administratoren aus, für die der Zugriff „Authentifizierungsadministrator“ erforderlich ist, um Änderungen an Benutzerauthentifizierungsmethoden vorzunehmen.

Hinweis

Für die Verwendung von PIM wird eine Microsoft Entra ID P2-Lizenz pro Person benötigt.

Um zu bestätigen, dass Authentifizierungsadministratoren eine Ressource nicht verwalten können, isolieren Sie die Ressource in einem separaten Mandanten mit separaten Authentifizierungsadministratoren. Verwenden Sie diese Methode für Sicherungen. Unter Anleitung zur Autorisierung mehrerer Benutzender finden Sie Beispiele.

Häufige Verwendung

Einer der gängigsten Anwendungsfälle für mehrere Umgebungen in einem einzelnen Mandanten ist die Trennung zwischen Produktions- und Nichtproduktionsressourcen. In einem Mandanten erstellen und verwalten Entwicklungsteams und Anwendungsbesitzer eine separate Umgebung mit Testanwendungen, Testbenutzenden und -gruppen sowie Testrichtlinien für diese Objekte. In ähnlicher Weise erstellen Teams Nichtproduktionsinstanzen von Azure-Ressourcen und vertrauenswürdigen Apps.

Verwenden Sie nicht-produktive Azure-Ressourcen und nicht-produktive Instanzen von integrierten Microsoft Entra-Anwendungen mit entsprechenden nicht-produktiven Verzeichnisobjekten. Die Nichtproduktionsressourcen im Verzeichnis können für Testzwecke verwendet werden.

Hinweis

Vermeiden Sie mehr als eine Microsoft 365-Umgebung in einem Microsoft Entra- Mandanten. Es können jedoch mehrere Dynamics 365-Umgebungen in einem einzelnen Microsoft Entra-Mandanten vorliegen.

Ein weiteres Szenario für die Isolation in einem einzelnen Mandanten ist eine Trennung zwischen Standorten, Niederlassungen oder mehrstufiger Verwaltung. Beachten Sie das Unternehmenszugriffsmodell.

Verwenden Sie rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) für die bereichsbezogene Verwaltung von Azure-Ressourcen. In ähnlicher Weise können Sie die Microsoft Entra ID-Verwaltung von Microsoft Entra ID vertrauenswürdigen Anwendungen durch mehrere Funktionen aktivieren. Beispiele hierfür sind bedingter Zugriff, Benutzer- und Gruppenfilterung, Zuweisung von Verwaltungseinheiten und Anwendungszuweisungen.

Um die Isolierung von Microsoft 365-Diensten, einschließlich der Bereitstellung der Konfiguration auf Organisationsebene, zu gewährleisten, wählen Sie eine Isolierung mehrerer Mandanten.

Bereichsspezifische Verwaltung für Azure-Ressourcen

Verwenden Sie Azure RBAC, um ein Verwaltungsmodell mit detaillierten Bereichen und Oberflächen zu entwerfen. Sehen Sie sich die Verwaltungshierarchie im folgenden Beispiel an:

Hinweis

Sie können die Verwaltungshierarchie basierend auf organisatorischen Anforderungen, Einschränkungen und Zielen definieren. Weitere Informationen finden Sie in der Anleitung zum Cloud Adoption Framework, Organisieren von Azure-Ressourcen.

Diagramm der Ressourcenisolierung in einem Mandanten.

  • Verwaltungsgruppe: Weisen Sie den Verwaltungsgruppen Rollen zu, so dass sie keinen Einfluss auf andere Verwaltungsgruppen haben. Im vorherigen Szenario definiert das HR-Team eine Azure-Richtlinie zur Prüfung von Regionen, in denen Ressourcen über HR-Abonnements hinweg bereitgestellt werden.
  • Abonnement: Weisen Sie einem Abonnement Rollen zu, um zu verhindern, dass es sich auf andere Ressourcengruppen auswirkt. Im vorherigen Szenario weist das HR-Team die Rolle „Leser“ für das Abonnement „Benefits“ zu, ohne dass Leseberechtigungen für ein anderes HR-Abonnement oder ein Abonnement eines anderen Teams erteilt werden.
  • Ressourcengruppe: Weisen Sie Ressourcengruppen Rollen zu, damit sie andere Ressourcengruppen nicht beeinflussen. Ein Team für die Entwicklung von Vorteilen weist jemandem die Rolle des Mitwirkenden zu, um die Testdatenbank und die Test-Webanwendung zu verwalten oder um weitere Ressourcen hinzuzufügen.
  • Einzelne Ressourcen: Sie können bestimmten Ressourcen Rollen zuweisen, sodass diese Ressourcen sich nicht auf andere Ressourcen auswirken. Das Benefits-Technikerteam weist einer Fachkraft für Datenanalyse die Rolle des Cosmos DB-Kontolesers für die Testinstanz der Azure Cosmos DB-Datenbank zu. Dies wirkt sich nicht auf die Testweb-App oder Produktionsressource aus.

Weitere Informationen finden Sie unter Integrierte Azure-Rollen und Was ist Azure RBAC?.

Die Struktur ist hierarchisch. Je höher in der Hierarchie, desto breiter der Bereich, die Sichtbarkeit und die Auswirkung auf niedrigere Ebenen. Bereiche auf der obersten Ebene wirken sich auf Azure-Ressourcen innerhalb der Grenzen des Microsoft Entra-Mandanten aus. Sie können Berechtigungen auf mehreren Ebenen anwenden. Diese Aktion führt zu Risiken. Wenn Sie Rollen in der Hierarchie weiter oben zuweisen, kann dies zu mehr Zugriffsmöglichkeiten weiter unten führen, als Sie beabsichtigen. Microsoft Entra bietet Transparenz und Abhilfe, um das Risiko zu reduzieren.

  • Die Stammverwaltungsgruppe definiert Azure-Richtlinien und RBAC-Rollenzuweisungen, die auf alle Abonnements und Ressourcen angewendet werden.
  • Global Administrierende können den Zugriff auf Abonnements und Verwaltungsgruppen erweitern

Überwachen Sie Ihre Bereiche auf oberster Ebene. Es ist wichtig, andere Dimensionen der Ressourcenisolation wie das Netzwerk in die Planung einzubeziehen. Weitere Informationen zum Azure-Netzwerk finden Sie unter Bewährte Methoden für die Netzwerksicherheit in Azure. Bei Workloads für Infrastructure as a Service (IaaS) gibt es Szenarien, in denen die Isolierung von Identitäten und Ressourcen Teil des Designs und der Strategie sein muss.

Ziehen Sie in Betracht, vertrauliche Ressourcen oder Testressourcen gemäß der konzeptionellen Architektur Ihrer Azure-Zielzone zu isolieren. Weisen Sie beispielsweise Identitätsabonnements getrennten Verwaltungsgruppen zu. Trennen Sie Abonnements für die Entwicklung in Sandbox-Verwaltungsgruppen. Weitere Informationen finden Sie in der Unternehmensdokumentation. Die Trennung für Tests in einem Mandanten wird in der Hierarchie der Verwaltungsgruppe der Referenzarchitektur berücksichtigt.

Bereichsbezogene Verwaltung für vertrauenswürdige Microsoft Entra ID-Anwendungen

Im folgenden Abschnitt wird das Muster für das Umfangsmanagement von Microsoft Entra ID-vertrauenden Anwendungen veranschaulicht.

Microsoft Entra ID unterstützt die Konfiguration mehrerer Instanzen von benutzerdefinierten und SaaS-Apps, nicht aber der meisten Microsoft-Dienste, im selben Verzeichnis mit unabhängigen Benutzerzuweisungen. Das vorherige Beispiel enthält eine Produktions- und eine Testversion der Reise-App. Um eine appspezifische Konfiguration und Richtlinientrennung zu erzielen, stellen Sie Vorproduktionsversionen für den Unternehmensmandanten bereit. Mit dieser Aktion können Workloadbesitzende Tests mit ihren Unternehmensanmeldeinformationen durchführen. Nicht-produktive Verzeichnisobjekte, wie z. B. Testbenutzende und Testgruppen, sind mit der nicht-produktiven Anwendung verknüpft, wobei diese Objekte einem separatem Besitz unterliegen.

Es gibt mandantenübergreifende Aspekte, die vertrauenswürdige Anwendungen in der Microsoft Entra-Mandantengrenze betreffen:

  • Global Administrierende verwalten alle mandantenweiten Einstellungen.
  • Andere Verzeichnisrollen wie Benutzeradministrierende, Anwendungsadministrierende und Administrierende für bedingten Zugriff verwalten die mandantenweite Konfiguration im Umfang der Rolle.

Konfigurationseinstellungen wie Authentifizierungsmethoden, Hybridkonfigurationen, B2B Collaboration, Auflistung von Domänen und benannte Standorte gelten mandantenweit.

Hinweis

Microsoft Graph API-Berechtigungen und Einwilligungsberechtigungen können nicht auf eine Gruppe oder AU-Mitglieder beschränkt werden. Diese Berechtigungen werden auf Verzeichnisebene zugewiesen. Nur eine ressourcenspezifische Einwilligung ermöglicht eine Kontrolle auf Ressourcenebene, die derzeit auf Microsoft Teams-Chatberechtigungen beschränkt ist.

Wichtig

Der Lebenszyklus von Microsoft-SaaS-Diensten wie Office 365, Microsoft Dynamics und Microsoft Exchange ist an den Microsoft Entra-Mandanten gebunden. Daher sind für mehrere Instanzen dieser Dienste mehrere Microsoft Entra-Mandanten erforderlich.