vege - stock.adobe.com
So steuern Sie Rechte in Azure AD mit Verwaltungseinheiten
Viele Admins kennen sich mit den Organisationseinheiten aus Active Directory aus. In Azure gibt es hingegen die Verwaltungseinheiten. Wir erklären Unterschiede und Handhabung.
Um Rechte in Azure AD zu delegieren und zu verhindern, dass bestimmte Admins Objekte aus anderen Ressourcengruppen ändern, gibt es in Azure AD die Verwaltungseinheiten (Administrative Units, AU).
Dabei handelt es sich im Grunde genommen um das Pendant der Organisationseinheiten (Organizational Units, OUs) in Active Directory. Im Gegensatz zu Active Directory sind die Verwaltungseinheiten in Azure AD aber sehr flach strukturiert. Es gibt keine Verschachtelung und die Verwaltung der AUs ist etwas komplexer.
Im Groben entsprechen die Verwaltungseinheiten in Azure AD den Organisationseinheiten in Active Directory, die Praxis unterscheidet sich aber deutlich. Die Hauptaufgabe von AUs ist es, verschiedenen Benutzerkonten und Admingruppen die Verwaltung von genau definierten Objekten – und nur derselben – zuzuweisen. Das funktioniert auch für mit Azure verbundenen Dienste, wie zum Beispiel Microsoft 365.
Verwalten und Delegieren von Rechten in Azure AD mit Administrative Units
Administrative Units lassen sich im Azure-Portal bei Azure Active Directory bearbeiten. Auch im Azure Active Directory Admin Center finden Sie diese Einstellungen. Verwaltungseinheiten (AUs) arbeiten mit Role Based Access Control (RBAC) aus Azure AD. Das heißt, Benutzerkonten werden bestimmte Rollen zugewiesen.
Jetzt wird es etwas kompliziert: Zugangsrechte – daher auch der Name Role Based – sind einer Rolle zugeordnet. Hat ein Benutzerkonto, ein Gerät oder eine Gruppe diese Rolle, besitzen sie also bestimmte Rechte. Wenn Sie jedoch die Rollen händisch den Gruppen oder Geräten zuweisen, dann schaffen Sie schnell einen unübersichtlichen Wust an Rechten.
Stattdessen können Sie die Rolle einer Verwaltungseinheit zuweisen, in der sich dann die passenden Benutzerkonten, Geräte und Gruppen befinden -- virtuelle Server oder Ressourcengruppen kommen dann beispielsweise in dieselbe Verwaltungseinheit, wie die Admins, die sich um sie kümmern sollen.
Mit dieser Struktur lassen sich die Rechte von Benutzern für Entitäten wie virtuelle Maschinen (VMs) steuern, indem Sie sie einer Verwaltungseinheit zuweisen oder sie wieder aus der Verwaltungseinheit entfernen.
So funktioniert die Zuweisung von Rollen an Benutzer
Um Verwaltungseinheiten sinnvoll zu nutzen, sollten Sie also zunächst Rollen erstellen und diese an die richtigen Benutzer zuweisen. Dadurch erhalten Benutzerkonten diejenigen Rechte, die ihren Rollen entsprechen. Sie weisen die Rechte unter Zugewiesene Rollen im Benutzer-Bereich zu. In der Rollenverwaltung finden Sie die Rechte der Rollen. Außerdem können Sie hier einsehen, welche Benutzer Mitglied der Rollen sind.
In diesem Zusammenhang ist auch das Privileged Access Management in Azure interessant, da Sie auch diese Sicherheitsfunktion anhand der Verwaltungseinheiten steuern können. Eine besondere Funktion ist dabei die zeitliche Begrenzung. Benutzerkonten erhalten nur für einen festgelegten Zeitraum Rechte aus Rollen, die bestimmten Verwaltungseinheiten zugewiesen sind.
Verwaltungseinheiten in der Praxis
Neue Verwaltungseinheiten erstellen Sie über Hinzufügen bei Verwaltungseinheiten im Bereich Azure Active Directory des Azure-Portals oder direkt im Azure AD Admin Center. Mit dem Klick auf Rollen zuweisen weisen Sie Rollen an die Verwaltungseinheit zu. Diese Einstellungen können Sie jederzeit im Nachhinein anpassen. Beim Klicken auf eine Rolle zeigt das Portal zudem die Benutzerkonten an, denen die Rolle zugewiesen ist. Darüber hinaus können Sie beim Erstellen der Verwaltungseinheit nichts zuweisen – das müssen Sie nachträglich erledigen.
Als nächstes führen Sie Änderungen an Ihrer neuen Verwaltungseinheit durch. Klicken Sie auf diese, um zu den Einstellungen zu gelangen. In den Menüpunkten links finden Sie Einstellungen für das Zuweisen von Benutzern, Gruppen oder Geräten an diese Verwaltungseinheit. Die Rollen dieser Verwaltungseinheit sind wiederum bei Rollen und Administratoren zu sehen.
In Azure können Sie den Verwaltungseinheiten Objekte entweder statisch zuweisen oder mit dynamischen Regeln, zum Beispiel auf Basis der Attribute, die ein Objekt aufweist. Das ist ein weiterer Unterschied zu den Organisationseinheiten in Active Directory. Hier gibt es nur eine statische Zuweisung.
In den Eigenschaften einer AU legen Sie die zugehörigen Einstellungen fest und kennzeichnen außerdem den Mitgliedschaftstyp als Zugewiesen oder als Dynamischer Benutzer beziehungsweise Dynamisches Gerät. Setzen Sie dynamische AUs ein, können Sie mit dem Link Dynamische Abfrage hinzufügen eine Regel für die Mitgliedschaft der AU erstellten.
Beim Festlegen einer dynamischen Regel sind die aktuellen Mitglieder auf der Startseite der Verwaltungseinheit zu erkennen.
Wenn Sie Azure AD mit der PowerShell verwalten, können Sie Verwaltungseinheiten auch mit dieser erstellen.
Fazit
Verwaltungseinheiten entsprechen den Organisationseinheiten in Active Directory, sind aber wesentlich flexibler und flacher in der Hierarchie. Vor allem in Umgebungen, in denen die Verwaltung einzelner Objekte delegiert werden muss, sind Verwaltungseinheiten ein ideales Instrument, das gleichzeitig leicht zu bedienen ist.
