Analysieren von Microsoft Entra-Rollenberechtigungen
Was ist eine Berechtigung? Gemäß Wörterbuchdefinition ist eine Berechtigung die Erlaubnis oder Ermächtigung, eine bestimmte Aktion auszuführen. In Microsoft Entra ID verfügen Sie über Berechtigungen für die einzelnen Vorgänge, die Sie ausführen können. Die Berechtigungen können von der Anzeige Ihrer Einstellungen bis hin zur Fähigkeit zum Ändern Ihrer Einstellungen reichen. Im weiteren Verlauf können Sie Berechtigung zum Hinzufügen oder Entfernen von Benutzern und darüber hinaus erteilen. Berechtigungen können an zwei Stellen vergeben werden: auf Benutzer- oder auf Gruppenebene. Allerdings werden alle Berechtigungen letztendlich an den Benutzer weitergegeben. Beim Umgang mit Benutzern unterscheiden wir zwischen Mitglieds- und Gastbenutzern unterschieden. Die Standardberechtigungen für Gastbenutzer sind nicht ganz so umfangreich wie für Mitglieder.
Beispiele für Standardbenutzerberechtigungen
Mitgliedsbenutzer | Gastbenutzer |
---|---|
Benutzer und deren Kontakte auflisten | Eigene Eigenschaften lesen |
Einladen von Gastbenutzern | Einladen von Gastbenutzern |
Kann Sicherheits- und Microsoft 365-Gruppen erstellen | Kann anhand des Namens nach nicht ausgeblendeten Gruppen suchen |
Kann neue Anwendungen registrieren | Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesen |
Hinweis
Dies ist nur eine kleine Teilmenge, um die Unterschiede aufzuzeigen. Eine vollständige Liste finden Sie hier: Standardbenutzerberechtigungen
Steuern von Berechtigungen – Hinzufügen und Einschränken
Benutzereinstellungen | Rollen und Administratoren |
---|---|
![]() |
![]() |
Mit den Benutzereinstellungen im Menü „Microsoft Entra ID – Verwalten“ können Sie die Standardberechtigungen der Standardbenutzer einschränken oder steuern. Oder Sie verwenden Rollen und Administratoren, um neue Berechtigungen für Ihre Benutzer und Gruppen hinzuzufügen. Wenden Sie immer das Konzept der geringsten Rechte an, und stellen Sie sicher, dass die Benutzer nur die tatsächlich benötigten Rechte erhalten. In den Benutzereinstellungen können Sie die folgenden Benutzerfähigkeiten einschränken:
- Registrieren von Anwendungen
- Zugriff auf fas Azure-Portal
- Blockieren von LinkedIn-Verbindungen
- Verwalten von Einstellungen für die externe Zusammenarbeit
Durch das Hinzufügen von Rollen zu einem bestimmten Benutzerkonto oder einer Gruppe können Sie Berechtigungen für Mitgliedsbenutzer, Gastbenutzer und Dienstprinzipale hinzufügen. Durch das Hinzufügen von Rollen werden Berechtigungen zum Ausführen bestimmter Aktivitäten erteilt. Die Aktionen sind begrenzt, wodurch die Regel der geringsten Rechte angewendet werden kann.
Erkunden der verfügbaren Berechtigungen
Sie sollten nach Möglichkeit nur die Mindestberechtigungen erteilen, die ein Benutzer benötigt. Sie sollten deshalb wissen, welche Berechtigungen bei der Zuweisung einer Rolle erteilt werden. Die Liste der Berechtigungen finden Sie in der Beschreibung der einzelnen Rollen. Starten Sie dazu Microsoft Entra ID, und öffnen Sie dann den Bildschirm Rollen und Administratoren. Wählen Sie anschließend eine Rolle aus, und öffnen Sie deren Beschreibungsseite über das Menü mit den Auslassungspunkten (...). Je nach ausgewählter Rolle sehen Sie eine große oder kleine Anzahl von Berechtigungen. Es gibt zwei Gruppen von Berechtigungen:
- Rollenberechtigungen
- Grundlegende Leseberechtigungen für Gäste und Dienstprinzipale