Berechtigungen in Azure Active Directory mit Access Reviews effizient prüfen

IOZ Titelbild Azure Active Directory

Veröffentlicht:

Mit Access Reviews stellt Microsoft eine Möglichkeit zur Verfügung, Zugriffsberechtigungen, Rollenzuweisungen und Gruppenmitgliedschaften im Azure Active Directory effizient zu verwalten. In Access Reviews für Gruppen lässt sich der Scope auf einzelne Teams & Groups-Objekte oder auf Firmenapplikationen einschränken. Innerhalb dieses Settings kann ausserdem festgelegt werden, ob nur die Gastzugriffe oder sämtliche Benutzer überprüft werden sollen. Anstelle einzelner Groups-Objekte können auch direkt sämtliche Microsoft 365-Groups mit Gastbenutzern ausgewählt werden.

Mit der wachsenden Cloudpräsenz von Firmen und der damit verbundenen Zusammenarbeit über das Internet, müssen die bisherigen Compliance-Richtlinien von lokalen Netzwerken auf ebendiese Cloud-Struktur ausgeweitet werden. Die Zusammenarbeit über den eigenen O365-Tenant hinaus erweitert dabei den Userumfang enorm, da nun zusätzlich zu den eigenen Benutzern auch die Gastzugriffe verwaltet werden müssen.

Die benötigten Berechtigungen für die Zusammenarbeit werden oftmals im Rahmen von einzelnen Projekten vergeben und sind, zwecks einfacherer Zusammenarbeit, von unbegrenzter Dauer. Besonders dann, wenn in diesen Projekten mit sensiblen Daten gearbeitet wird, ist es wichtig, die erteilten Berechtigungen regelmässig zu überprüfen. Wird an vielen solchen Projekten parallel gearbeitet, ist die manuelle Überprüfung dieser Zugriffe zeitaufwändig und fehleranfällig.

So verhält es sich auch mit der Zuweisung von Administrator-Rollen oder RBAC-Zugriffsrollen im Azure Active Directory. Erfordern die Compliance-Richtlinien, dass die Administrator-Rollen eingeschränkt werden müssen, kann dies mittels PIM (Privileged Identity Management) so konfiguriert werden, dass erhöhter Zugriff speziell angefragt und genehmigt werden muss. Diese Art des Zugriffs ist dann sinnvoll, wenn sich administrative Arbeiten über einen sehr kurzen Zeitraum erstrecken. Wenn die entsprechenden Berechtigungen jedoch für einen längeren Zeitraum benötigt werden, beispielsweise für den mehrwöchigen Aufbau eines Webauftritts, führt diese Methode der Zugriffsüberprüfung zu Wartezeiten und ist hinderlich für den Prozessfortschritt.

Leider lassen sich auch in O365 nicht immer alle Usecases mit den vorgegebenen Strukturen umsetzen und müssen Ausnahmen gemacht werden. Kann beispielsweise ein Prozess nicht automatisiert werden, ohne dass dafür ein Benutzer mit speziellen Berechtigungen eingesetzt wird, so wird dieser Umstand oftmals hingenommen, auch wenn es gegen die Compliance-Policy verstösst. Es muss sichergestellt werden, dass auch solche Ausnahmefälle regelmässig überprüft werden, um Missbrauch zu verhindern und die Verwaltungssicherheit bei Audits beweisen zu können.

Erstellen eines neuen Access Reviews

In Access Reviews für Gruppen lässt sich der Scope auf einzelne Teams & Groups-Objekte oder auf Firmenapplikationen einschränken. Innerhalb dieses Settings kann ausserdem festgelegt werden, ob nur die Gastzugriffe oder sämtliche Benutzer überprüft werden sollen. Anstelle einzelner Groups-Objekte können auch direkt sämtliche M365-Groups mit Gastbenutzern ausgewählt werden.

Erstellen eines neuen Access Reviews: Festlegen des Review types
Erstellen eines neuen Access Reviews: Festlegen des Review-Typs

Im nächsten Schritt werden die Verantwortlichen für die Durchführung der Reviews festgelegt und die Zeitintervalle geregelt.

Als «Reviewer» können die Gruppenbesitzer, einzelne Benutzer & Gruppen oder Benutzeradministratoren festgelegt werden. Es ist auch möglich, die berechtigten Benutzer selbst ihren Zugriff überprüfen zu lassen. Für Gruppen ohne Gruppenbesitzer, kann ein «Fallback-Reviewer» definiert werden, welcher diese Überprüfungen dann stellvertretend vornimmt. Bei der Festlegung der Abstände von Access Reviews kann auch die Dauer des Reviews festgelegt werden. Dabei handelt es sich um den Zeitraum, in welchem die Überprüfungen der Zugriffe vorgenommen werden können.

Screenshot: Festlegen des Reviewers und des Review-Zeitintervalls
Festlegen des Reviewers und des Zeitintervalls

Für das Access Review kann abschliessend festgelegt werden, ob mögliche Änderungen am Ende von Reviews automatisch oder manuell ausgeführt werden sollen und wie der Fortbestand von Zugriffen zu regeln ist, sollte die Durchführungsdauer des Access Reviews ohne Input verstreichen. Zwecks der Überprüfung von Review-Verantwortlichkeiten können ausserdem weitere Personen oder Gruppen über den Ausgang eines jeden Reviews benachrichtigt werden. Je nach Komplexität der Anforderungen an ein Access Review kann als Entscheidungshilfe für die Review-Verantwortlichen eingeblendet werden, ob in den letzten 30 Tagen von den Zugriffsrechten Gebrauch gemacht wurde. Weiter kann eine Begründung für das Verlängern oder Sperren von Zugriffen durch den Verantwortlichen erzwungen werden und die Einstellungen bezüglich Emailbenachrichtigungen geregelt werden. Dazu gehört auch die Möglichkeit, einen Zusatztext festzulegen, welcher bei der Bearbeitung der Access Reviews unterstützen kann.

Screenshot: Einstellungen und Änderungen als Follow-up von beendeten Reviews
Einstellungen und Änderungen als Follow-up von beendeten Reviews

Abschliessend besteht nochmals die Möglichkeit den Inhalt des Reviews zu überprüfen sowie einen Namen und eine Beschreibung festzulegen.

Für die Verwendung von Access Reviews wird eine Microsoft 365 E5 oder Azure AD Preimum P2 Lizenz benötigt.

Es wird je eine Lizenz pro User benötigt, welcher eine der folgenden Tätigkeiten ausüben möchte:

  • Reviews als zugewiesener Reviewer durchführen
  • Reviews über den eigenen Zugriff durchführen
  • Reviews als Gruppenbesitzer durchführen
  • Reviews als Applikationsverantwortlicher durchführen

Auch für Gastbenutzer wird eine Lizenz pro User benötigt, wenn eine dieser Tätigkeiten ausgeübt werden soll! Die Ausnahme bildet hier die Überprüfung des eigenen Zugriffs durch Gastbenutzer. Diese müssen nur dann über vollwertige Lizenzen verfügen, wenn sie die einzigen Reviewer eines Access Reviews sind. Sind lizensierte nicht-Gastbenutzer ebenfalls von einem Access Review betroffen oder wird dieses vom Gruppenbesitzer ausgeführt, werden die Lizenzen für die Gastbenutzer über das MAU geregelt.

Beitrag teilen
Geschrieben von

Benjamin Forgas

Projektleiter

Profil anzeigen

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IOZ_LOGO_weiss

Profis für M365-Intranets & digitale Arbeitsplätze, Power Apps, Power Automate Workflows, sowie Managementsysteme.

Angebote

Angebotsübersicht

Nach oben scrollen