Analysieren von Microsoft Entra-Rollenberechtigungen

  • 3 Minuten

Was ist eine Berechtigung? Gemäß Wörterbuchdefinition ist eine Berechtigung die Erlaubnis oder Ermächtigung, eine bestimmte Aktion auszuführen. In Microsoft Entra ID verfügen Sie über Berechtigungen für die einzelnen Vorgänge, die Sie ausführen können. Die Berechtigungen können von der Anzeige Ihrer Einstellungen bis hin zur Fähigkeit zum Ändern Ihrer Einstellungen reichen. Im weiteren Verlauf können Sie Berechtigung zum Hinzufügen oder Entfernen von Benutzern und darüber hinaus erteilen. Berechtigungen können an zwei Stellen vergeben werden: auf Benutzer- oder auf Gruppenebene. Allerdings werden alle Berechtigungen letztendlich an den Benutzer weitergegeben. Beim Umgang mit Benutzern unterscheiden wir zwischen Mitglieds- und Gastbenutzern unterschieden. Die Standardberechtigungen für Gastbenutzer sind nicht ganz so umfangreich wie für Mitglieder.

Beispiele für Standardbenutzerberechtigungen

Mitgliedsbenutzer Gastbenutzer
Benutzer und deren Kontakte auflisten Eigene Eigenschaften lesen
Einladen von Gastbenutzern Einladen von Gastbenutzern
Kann Sicherheits- und Microsoft 365-Gruppen erstellen Kann anhand des Namens nach nicht ausgeblendeten Gruppen suchen
Kann neue Anwendungen registrieren Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesen

Hinweis

Dies ist nur eine kleine Teilmenge, um die Unterschiede aufzuzeigen. Eine vollständige Liste finden Sie hier: Standardbenutzerberechtigungen

Steuern von Berechtigungen – Hinzufügen und Einschränken

Benutzereinstellungen Rollen und Administratoren
Screenshot of the Microsoft Entra ID user settings, where permissions can be restricted. Screenshot of the Roles and administrators screen in Azure A D. List of roles that can be applied.

Mit den Benutzereinstellungen im Menü „Microsoft Entra ID – Verwalten“ können Sie die Standardberechtigungen der Standardbenutzer einschränken oder steuern. Oder Sie verwenden Rollen und Administratoren, um neue Berechtigungen für Ihre Benutzer und Gruppen hinzuzufügen. Wenden Sie immer das Konzept der geringsten Rechte an, und stellen Sie sicher, dass die Benutzer nur die tatsächlich benötigten Rechte erhalten. In den Benutzereinstellungen können Sie die folgenden Benutzerfähigkeiten einschränken:

  • Registrieren von Anwendungen
  • Zugriff auf fas Azure-Portal
  • Blockieren von LinkedIn-Verbindungen
  • Verwalten von Einstellungen für die externe Zusammenarbeit

Durch das Hinzufügen von Rollen zu einem bestimmten Benutzerkonto oder einer Gruppe können Sie Berechtigungen für Mitgliedsbenutzer, Gastbenutzer und Dienstprinzipale hinzufügen. Durch das Hinzufügen von Rollen werden Berechtigungen zum Ausführen bestimmter Aktivitäten erteilt. Die Aktionen sind begrenzt, wodurch die Regel der geringsten Rechte angewendet werden kann.

Erkunden der verfügbaren Berechtigungen

Screenshot of the Attribute definition reader. You can see which permissions a built-in role grants.

Sie sollten nach Möglichkeit nur die Mindestberechtigungen erteilen, die ein Benutzer benötigt. Sie sollten deshalb wissen, welche Berechtigungen bei der Zuweisung einer Rolle erteilt werden. Die Liste der Berechtigungen finden Sie in der Beschreibung der einzelnen Rollen. Starten Sie dazu Microsoft Entra ID, und öffnen Sie dann den Bildschirm Rollen und Administratoren. Wählen Sie anschließend eine Rolle aus, und öffnen Sie deren Beschreibungsseite über das Menü mit den Auslassungspunkten (...). Je nach ausgewählter Rolle sehen Sie eine große oder kleine Anzahl von Berechtigungen. Es gibt zwei Gruppen von Berechtigungen:

  • Rollenberechtigungen
  • Grundlegende Leseberechtigungen für Gäste und Dienstprinzipale