Rechte delegieren und begrenzen in Azure AD

Wie im Active Directory sollten Sie auch im Azure AD (AAD) für Ordnung in den Konten sorgen und die Verwaltung verschiedener Aufgaben delegieren. Im Active Directory erfolgt das über die Organisationseinheiten (OUs). Diese gibt es in ähnlicher Form auch im AAD. Wir zeigen in diesem Beitrag, wie Sie mit den Administrative Units (Verwaltungseinheiten) arbeiten, um Rechte im Cloudverzeichnis besser zu delegieren. Generell entsprechen die Administrative Units (AU) im AAD zwar den Organizational Units (Organisationseinheiten) im AD. Allerdings unterscheiden sich die beiden Unterteilungsmöglichkeiten deutlich zwischen AD und Azure AD. Im Gegensatz zum AD sind die Berechtigungsstrukturen im Azure AD sehr flach und lassen sich nur komplex einschränken. Verwaltungseinheiten und rollenbasierte Berechtigungen können hier die Lösung sein.

Mehr Sicherheit durch Rollen im Azure AD

AUs sollen dabei helfen, die Struktur im Azure AD auf ähnlichem Weg zu verbessern, wie es die OUs im Active Directory erledigen. Verwaltungseinheiten sind im Azure-Portal bei "Azure Active Directory" verfügbar. Auch im Azure Active Directory Admin Center lassen sich diese über den Punkt "Azure Active Directory" durch Auswahl von "Verwaltungseinheiten" konfigurieren.

In Azure lassen sich Berechtigungen für alle Ressourcen über eine rollenbasierte Berechtigungsstruktur abbilden. Sie sollten die Berechtigungen für Administratoren so einschränken, dass nur die wirklich notwendigen Rechte erlaubt sind. Das verkompliziert die Konfiguration zwar teilweise, erhöht aber die Sicherheit deutlich. Die AUs arbeiten dabei mit der Role Based Access Control (RBAC) zusammen.

Das heißt, Sie können den Verwaltungseinheiten Rollen zuweisen und anschließend die Verwaltungseinheiten an Benutzer, Gruppen und auch an Geräte binden. Die AAD-Objekte, mit denen die Verwaltungseinheit gekoppelt

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.