Übersicht über die rollenbasierte Zugriffssteuerung in der Microsoft Entra-ID

In diesem Artikel wird beschrieben, wie Sie die rollenbasierte Zugriffssteuerung von Microsoft Entra verstehen. Mit Microsoft Entra-Rollen können Sie Ihren Administratoren präzise Berechtigungen erteilen, wobei das Prinzip der geringsten Rechte eingehalten wird. Den integrierten und benutzerdefinierten Rollen in Microsoft Entra liegen ähnliche Konzepte zugrunde wie diejenigen, die Sie im rollenbasierten Zugriffssteuerungssystem für Azure-Ressourcen (Azure-Rollen) finden. Die beiden rollenbasierten Zugriffssteuerungssysteme unterscheiden sich wie folgt:

  • Microsoft Entra-Rollen steuern den Zugriff auf Microsoft Entra-Ressourcen wie Benutzer, Gruppen und Anwendungen mithilfe der Microsoft Graph-API
  • Azure-Rollen steuern den Zugriff auf Azure-Ressourcen wie virtuelle Computer oder Speicher mithilfe von Azure Resource Management

Beide Systeme enthalten ähnlich verwendete Rollendefinitionen und Rollenzuweisungen. Microsoft Entra-Rollenberechtigungen können allerdings nicht in benutzerdefinierten Azure-Rollen verwendet werden (und umgekehrt).

Verstehen der rollenbasierten Zugriffssteuerung in Microsoft Entra

Microsoft Entra-ID unterstützt zwei Arten von Rollendefinitionen:

Integrierte Rollen sind vordefinierte Rollen mit einem festen Berechtigungssatz. Diese Rollendefinitionen können nicht geändert werden. Es gibt viele integrierte Rollen, die von Microsoft Entra ID unterstützt werden, und die Liste wird immer länger. Zur Vervollständigung und zum Erfüllen Ihrer speziellen Anforderungen unterstützt Microsoft Entra ID aber auch benutzerdefinierte Rollen. Das Erteilen von Berechtigungen mithilfe von benutzerdefinierten Microsoft Entra-Rollen ist ein zweistufiger Prozess, der das Erstellen einer benutzerdefinierten Rollendefinition und anschließendes Zuweisen mithilfe einer Rollenzuweisung umfasst. Eine benutzerdefinierte Rollendefinition ist eine Sammlung von Berechtigungen, die Sie aus einer vordefinierten Liste hinzufügen. Bei diesen Berechtigungen handelt es sich um die gleichen Berechtigungen, die in den integrierten Rollen verwendet werden.

Nachdem Sie Ihre benutzerdefinierte Rollendefinition (oder eine integrierte Rolle) erstellt haben, können Sie sie einem Benutzer zuweisen, indem Sie eine Rollenzuweisung erstellen. Eine Rollenzuweisung gewährt einem Benutzer die Berechtigungen aus einer Rollendefinition in einem bestimmten Geltungsbereich. Mit diesem zweistufigen Prozess können Sie eine einzelne Rollendefinition erstellen und sie mehrmals in verschiedenen Bereichen zuweisen. Ein Bereich definiert den Satz von Microsoft Entra-Ressourcen, auf die der Rollenmitglied Zugriff hat. Der gängigste Bereich ist der organisationsweite Bereich. Eine benutzerdefinierte Rolle kann für den organisationsweiten Bereich zugewiesen werden. Dies bedeutet, dass das Rollenmitglied über die Rollenberechtigungen für alle Ressourcen in der Organisation verfügt. Eine benutzerdefinierte Rolle kann auch für einen Objektbereich zugewiesen werden. Ein Beispiel für einen Objektbereich wäre eine einzelne Anwendung. Die gleiche Rolle kann einer benutzenden Person für alle Anwendungen in der Organisation und dann einer anderen benutzenden Person nur für die Contoso-App für Spesenabrechnungen (Contoso Expense Reports-App) zugewiesen werden.

Wie Microsoft Entra ID bestimmt, ob ein Benutzer Zugriff auf eine Ressource hat

Im Folgenden finden Sie die allgemeinen Schritte, die von Microsoft Entra ID verwendet werden, um festzustellen, ob Sie Zugriff auf eine Verwaltungsressource haben. Verwenden Sie diese Informationen, um Zugriffsprobleme zu beheben.

  1. Ein*e Benutzer*in (oder Dienstprinzipal) ruft ein Token für den Microsoft Graph- oder Azure AD Graph-Endpunkt ab.
  2. Der Benutzer führt einen API-Aufruf an Microsoft Entra ID über Microsoft Graph unter Verwendung des ausgestellten Tokens durch.
  3. Abhängig vom Umstand führt die Microsoft Entra-ID eine der folgenden Aktionen aus:
    • Wertet die Rollenmitgliedschaften des Benutzers basierend auf dem wids-Anspruch im Zugriffstoken des Benutzers aus.
    • Ruft alle für den Benutzer entweder direkt oder über eine Gruppenmitgliedschaft geltenden Rollenzuweisungen für die Ressource ab, für die die Aktion ausgeführt wird.
  4. Die Microsoft Entra-ID bestimmt, ob die Aktion im API-Aufruf in den Rollen enthalten ist, die der Benutzer für diese Ressource hat.
  5. Wenn der Benutzer keine Rolle mit der Aktion als angefordertem Bereich besitzt, wird kein Zugriff gewährt. Andernfalls wird der Zugriff gewährt.

Rollenzuweisung

Eine Rollenzuweisung ist eine Microsoft Entra-Ressource, die eine Rollendefinition an einen Sicherheitsprinzipal in einem bestimmten Bereich anfügt, um Zugriff auf Microsoft Entra-Ressourcen zu gewähren. Der Zugriff wird durch Erstellen einer Rollenzuweisung gewährt, und der Zugriff wird durch Entfernen einer Rollenzuweisung widerrufen. Im Kern besteht eine Rollenzuweisung aus drei Elementen:

  • Sicherheitsprinzipal: Eine Identität, die die Berechtigungen erhält. Dabei kann es sich um einen Benutzer, eine Gruppe oder einen Dienstprinzipal handeln.
  • Rollendefinition – Eine Sammlung von Berechtigungen.
  • Bereich – Eine Möglichkeit zum Einschränken, wo diese Berechtigungen anwendbar sind.

Sie können Rollenzuweisungen erstellen und die Rollenzuweisungen mithilfe des Microsoft Entra Admin Centers, Microsoft Graph PowerShell-oder der Microsoft Graph-API auflisten. Azure CLI wird für Microsoft Entra-Rollenzuweisungen nicht unterstützt.

Das folgende Diagramm zeigt ein Beispiel für eine Rollenzuweisung. In diesem Beispiel wurde Chris die benutzerdefinierte Rolle „App-Registrierungsadministrator“ für den Bereich der Contoso Widget Builder-App-Registrierung zugewiesen. Die Aufgabe gewährt Chris die Berechtigungen der Rolle "App-Registrierungsadministrator" nur für diese bestimmte App-Registrierung.

Diagramm einer Rollenzuweisung, die aus drei Teilen besteht.

Sicherheitsprinzipal

Ein Sicherheitsprinzipal stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar, dem bzw. der Zugriff auf Microsoft Entra-Ressourcen zugewiesen werden. Ein Benutzer ist eine Person, die über ein Benutzerprofil in der Microsoft Entra-ID verfügt. Eine Gruppe ist eine neue Microsoft 365- oder Sicherheitsgruppe, die als rollenzuweisbare Gruppe festgelegt wurde. Ein Dienstprinzipal ist eine Identität, die für den Zugriff auf Microsoft Entra-Ressourcen mit Anwendungen, gehosteten Diensten und automatisierten Tools erstellt wird.

Rollendefinition

Eine Rollendefinition oder Rolle ist eine Sammlung von Berechtigungen. Eine Rollendefinition listet die Vorgänge auf, die für Microsoft Entra-Ressourcen ausgeführt werden können, z. B. Erstellen, Lesen, Aktualisieren und Löschen. Es gibt zwei Arten von Rollen in der Microsoft Entra-ID:

  • Integrierte Rollen, die von Microsoft erstellt wurden, die nicht geändert werden können.
  • Benutzerdefinierte Rollen, die von Ihrer Organisation erstellt und verwaltet werden.

Bereich

Ein Bereich ist eine Möglichkeit, die zulässigen Aktionen auf eine bestimmte Gruppe von Ressourcen als Teil einer Rollenzuweisung zu beschränken. Wenn Sie beispielsweise einem Entwickler eine benutzerdefinierte Rolle zuweisen möchten, aber nur zum Verwalten einer bestimmten Anwendungsregistrierung, können Sie die spezifische Anwendungsregistrierung als Geltungsbereich in die Rollenzuweisung einschließen.

Wenn Sie eine Rolle zuweisen, geben Sie einen der folgenden Arten von Bereich an:

Wenn Sie eine Microsoft Entra-Ressource als Bereich angeben, kann dies eine der folgenden Sein:

  • Microsoft Entra-Gruppen
  • Unternehmensanwendungen
  • Anwendungsregistrierungen

Wenn eine Rolle für einen Containerbereich zugewiesen wird (z. B. für den Mandanten oder eine Verwaltungseinheit), gewährt sie Berechtigungen für die enthaltenen Objekte, aber nicht für den Container selbst. Im Gegenteil: Wenn eine Rolle für einen Ressourcenbereich zugewiesen wird, gewährt sie Berechtigungen für die Ressource selbst, aber nicht darüber hinaus (insbesondere nicht für die Mitglieder einer Microsoft Entra-Gruppe).

Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.

Rollenzuweisungsoptionen

Die Microsoft Entra-ID bietet mehrere Optionen zum Zuweisen von Rollen:

  • Sie können Benutzern rollen direkt zuweisen, was die Standardweise zum Zuweisen von Rollen ist. Sowohl integrierte als auch benutzerdefinierte Microsoft Entra-Rollen können Benutzern basierend auf Zugriffsanforderungen zugewiesen werden. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.
  • Mit Microsoft Entra ID P1 können Sie rollenzuweisungsfähige Gruppen erstellen und diesen Gruppen Rollen zuweisen. Das Zuweisen von Rollen zu einer Gruppe anstelle von Einzelpersonen ermöglicht das einfache Hinzufügen oder Entfernen von Benutzern aus einer Rolle und erstellt konsistente Berechtigungen für alle Mitglieder der Gruppe. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen.
  • Mit Microsoft Entra ID P2 können Sie Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) verwenden, um den Just-in-Time-Zugriff auf Rollen zu ermöglichen. Mit diesem Feature können Sie Benutzern, die sie benötigen, einen zeitlich begrenzten Zugriff auf eine Rolle gewähren, anstatt permanenten Zugriff zu gewähren. Sie bietet außerdem detaillierte Berichterstellungs- und Überwachungsfunktionen. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

Verstehen, wer Zugriff auf was hat

Das Auflisten von Rollenzuweisungen ist ein Teil der Beantwortung der umfassenderen Frage: "Wer hat Zugriff auf was in meiner Organisation?", Microsoft Entra ID bietet mehrere Tools, die Ihnen, wenn sie zusammen verwendet werden, Einen Einblick in den Zugriff über Ihren Mandanten hinweg bieten.

  • Rollenzuweisungen. Verwenden Sie die Verfahren unter Microsoft Entra-Rollenzuweisungen auflisten, um aufzulisten, wer Microsoft Entra-Rollen im Bereich des Mandanten, der Anwendung oder der Verwaltungseinheit innehat. Sie können Rollenzuweisungen herunterladen als CSV zur Offlineanalyse oder sie programmgesteuert über die List unifiedRoleAssignments Microsoft Graph-API abfragen.
  • App-Rollenzuweisungen und Zustimmungserteilungen. Verwenden Sie "Zuweisen von Benutzern und Gruppen" zu einer Anwendung , um zu sehen, auf welche Benutzer und Gruppen auf eine bestimmte Unternehmensanwendung zugreifen können. Verwenden Sie An Anwendungen erteilte Berechtigungen überprüfen, um die delegierten Berechtigungen und Anwendungsberechtigungen zu überprüfen, denen Benutzer oder Administratoren zugestimmt haben.
  • Benutzerdefinierte Sicherheitsattribute. Verwenden Sie benutzerdefinierte Sicherheitsattribute , um Benutzer und Dienstprinzipale mit geschäftsspezifischen Attributen zu markieren, die Sie für Ihren Mandanten definieren. Anschließend können Sie das Verzeichnis nach Attribut filtern und abfragen, um eine Geschäftsattributeansicht des Zugriffs zu erstellen, die rollenbasierte Abfragen ergänzt.
  • Zugriffsüberprüfungen. Verwenden Sie Zugriffsüberprüfungen , um regelmäßig zu überprüfen, ob Benutzer ihre aktuellen Gruppenmitgliedschaften und Zuweisungen für Unternehmensanwendungen benötigen. Verwenden Sie Privileged Identity Management (PIM)-Zugriffsüberprüfungen, um Benutzer und Dienstprinzipale zu überprüfen, die Microsoft Entra oder Azure Ressourcenrollen zugewiesen sind. Prüfer genehmigen oder verweigern den fortgesetzten Zugriff für jeden Benutzer. Zugriffsüberprüfungen erfordern Microsoft Entra ID Governance oder Microsoft Entra Suite; einige Funktionen funktionieren mit Microsoft Entra ID P2. Ausführliche Informationen finden Sie unter Lizenzanforderungen. Das Überprüfen von Dienstprinzipalen über PIM erfordert zusätzlich Microsoft Entra Workload ID Premium.
  • Berechtigungsverwaltung Verwenden Sie die Berechtigungsverwaltung , um zu sehen, welche Benutzer zugriff über Zugriffspakete erhalten haben. Access-Pakete sind in Katalogen organisiert, bei denen es sich um Container verwandter Ressourcen und Zugriffspakete handelt, die Sie zum Delegieren und Steuern des Zugriffs verwenden können. Die Berechtigungsverwaltung erfordert Microsoft Entra ID Governance oder Microsoft Entra Suite; einige Funktionen funktionieren mit Microsoft Entra ID P2. Ausführliche Informationen finden Sie unter Lizenzanforderungen.
  • Anmelde- und Überwachungsprotokolle. Verwenden Sie Anmeldeprotokolle , um zu sehen, wer aktiv auf Ressourcen zugreift und unter welchen Bedingungen. Verwenden Sie Überwachungsprotokolle , um Änderungen an Rollenzuweisungen, Gruppenmitgliedschaften und anderen Verzeichnisobjekten im Laufe der Zeit nachzuverfolgen. Überwachungsprotokolle zeichnen Konfigurationsänderungen auf, während Anmeldeprotokolle Anmeldeereignisse aufzeichnen – zusammen helfen sie Ihnen dabei, zwischen gewährten Zugriffen und ausgeübten Zugriffen zu unterscheiden. Eine umfassendere Ablaufverfolgung von Microsoft Graph API-Aufrufen finden Sie unter Microsoft Graph Aktivitätsprotokolle.

Tip

Leiten Sie für große Mandanten Streamprotokolle an einen Log Analytics-Arbeitsbereich weiter, damit Sie Zugriffsmuster bei Tausenden von Benutzern und Rollen abfragen und analysieren können.

Zugriff für Workload-Identitäten verwalten

Eine vollständige Autorisierungsstrategie muss Workloadidentitäten – Anwendungen, Dienstprinzipale und verwaltete Identitäten – nicht nur Benutzer – abdecken. Microsoft Entra unterstützt verschiedene Methoden zum Einrichten von Computeridentitäten, die jeweils für ein anderes Szenario geeignet sind:

  • App-Registrierung. Registrieren Sie ein Anwendungsobjekt , um einen Dienstprinzipal zu erstellen, der sich mit einem geheimen Clientschlüssel, Zertifikat oder Verbundanmeldeinformationen authentifiziert. Wird für herkömmliche Anwendungen und Plattformintegrationen verwendet.
  • Verwaltete Identitäten. Verwenden Sie vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identitäten für Workloads, die in Azure ausgeführt werden. Azure verwaltet die Anmeldeinformationen für Sie, sodass keine geheimen Schlüssel im Code oder in der Konfiguration gespeichert werden.
  • Workload-Identitätsverbund. Konfigurieren Sie die Vertrauensstellung zwischen Microsoft Entra und einem externen Identitätsanbieter, sodass Workloads außerhalb Azure – oder Workloads in Azure, die sich als App-Registrierungen authentifizieren – auf Microsoft Entra geschützten Ressourcen zugreifen können, ohne geheime Schlüssel zu speichern.
  • Flexible Verbundidentitätsanmeldeinformationen (Vorschau) Erweitern Sie das Secretless-Muster für App-Registrierungen auf Szenarien, in denen ein Platzhalter- oder claims-basierter Abgleich mit Token erforderlich ist, die von GitHub, GitLab oder Terraform Cloud ausgestellt werden.

Verwalten Sie diese Identitäten in großem Umfang mit denselben mehrschichtigen Kontrollen, die Sie auch auf Benutzer anwenden:

  • Wenden Sie Bedingten Zugriff für Workloadidentitäten an, um einzuschränken, wo und wann sich ein Dienstprinzipal authentifizieren kann. Diese Funktion erfordert Workload Identities Premium-Lizenzen und gilt ausschließlich für Dienstprinzipale mit nur einem Mandanten, die in Ihrem Mandanten registriert sind – verwaltete Identitäten und mandantenübergreifende oder SaaS-Apps von Drittanbietern fallen nicht in den Geltungsbereich.
  • Führen Sie Access-Überprüfungen von Gruppen und Anwendungen aus, um zu bestätigen, dass Benutzer, die diesen Ressourcen zugewiesen sind, weiterhin zugriff benötigen, und verwenden Sie PIM-Zugriffsüberprüfungen um Dienstprinzipale zu überprüfen, die Microsoft Entra und Azure Ressourcenrollen zugewiesen sind. Überprüfungen von Gruppen und Anwendungen erfordern Microsoft Entra ID Governance oder Microsoft Entra Suite (einige Funktionen sind mit Microsoft Entra ID P2 verfügbar); Ausführliche Informationen finden Sie unter License requirements. Überprüfungen von Dienstprinzipalen erfordern zusätzlich Microsoft Entra Workload ID Premium.
  • Kennzeichnen Sie Dienstprinzipale für Ihre registrierten Anwendungen mit benutzerdefinierten Sicherheitsattributen, damit Sie ein filterbares Inventar erstellen und Azure-ABAC-Entscheidungen auf Grundlage von Geschäftsattributen steuern können.
  • Aktivieren Sie die Sperre für App-Instanzeigenschaften für Apps mit mehreren Mandanten, um unbefugte Änderungen an vertraulichen Eigenschaften am Dienstprinzipal zu verhindern, nachdem die App in einem anderen Mandanten bereitgestellt wurde.

Lizenzanforderungen

Die Verwendung integrierter Rollen in der Microsoft Entra-ID ist kostenlos. Die Verwendung benutzerdefinierter Rollen erfordert eine Microsoft Entra ID P1-Lizenz für jeden Benutzer mit einer benutzerdefinierten Rollenzuweisung. Sehen Sie sich den Vergleichen der allgemein verfügbaren Features der Free- und der Premium-Edition an, um die richtige Lizenz für Ihre Anforderungen zu ermitteln.

Nächste Schritte