BlogAzure Gruppen: Welche Art von Gruppen gibt es in Azure und wozu dienen sie?

Azure Gruppen: Welche Art von Gruppen gibt es in Azure und wozu dienen sie?

Welche Gruppen gibt es in Azure

Die Benutzer- und Gruppenverwaltung in Azure ist eine Angelegenheit von Azure AD. Da es in Azure AD aber unterschiedliche Arten von Gruppen gibt und in Azure-Umfeld zudem zwei verschiedene Rollen-Modelle verwendet werden, fällt Einsteigern hier oft der Durchblick schwer. Dieser Beitrag soll für Klarheit sorgen.

Vom Grundsatz her werden Gruppen allgemein bevorzugt zum Delegieren von Berechtigungen verwendet, wenngleich es auch andere Einsatzbereiche gibt. Dass z. B. Sicherheitsgruppen zudem neben Benutzern und anderen Service Prinzipalen auch Geräte beinhalten können, macht dem Durchblick nicht einfacher, insbesondere weil das Azure AD auch als Identitätsspeicher für andere Microsoft-Cloud-Angebote wie Microsoft 365, Office oder Teams dient.

Rollen-Modelle ist Azure

Bevor du dich mit den verschiedenen Gruppen befassen kannst, musst du dir über die unterschiedlichen Rollenmodelle im Klaren sein. Leider gibt es aus historischen Gründen in Azure drei verschiedene Rollen-Modelle, nämlich …

  1. Azure-AD Rollen
  2. Azure-Rollen, auch Role-Based-Access-Control (RBAC) genannt und
  3. klassische Rollen

Letztere haben heute zwar keine praktische Bedeutung mehr, ihr Vorhandensein hat aber durchaus Auswirkungen. Azure AD-Rollen werden ausschließlich benutzt, um Azure AD-Ressourcen (Benutzer, Gruppen) in einem Verzeichnis zu verwalten. Dazu gehört auch das Erstellen oder Bearbeiten von Benutzern und Gruppen oder das Zuweisen von Administratorrollen für andere Personen. Der Wirkbereich für Azure-AD-Rollen ist nicht strukturiert, sondern auf die Mandanten-Ebene beschränkt, weil ein Azure-AD-Verzeichnis grundsätzliche eine flache Hierarchie hat. Es gibt ungefähr 80 verschiedene Rollen im Azure AD. Die mächtigste Rolle im Azure AD ist der „Globale Administrator“.

Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) hingegen (Azure-Rollen) wirkt sich mitsamt Vererbung auf die gesamte hierarchische Struktur von Azure-Ressourcen aus, angefangen von der Tenant-Root-Group, den Verwaltungsgruppen, Azure-Abonnements, Ressourcen-Gruppen bis hin zu den Ressourcen und dient im Wesentlichen der präzisen Verwaltung des Zugriffs auf Azure-Ressourcen. Es gibt 70 vorgefertigte Rollen; darüber hinaus lassen sich benutzerdefinierte Rollen definieren. Die mächtigste Rolle ist der „Besitzer“ (Owner). Sofern du keine Verwaltungsgruppen verwendest, ist das Azure-Abonnement die höchste Ebene, auf der sich z. B. die Owner-Rolle einer Identität aus dem Azure AD (Benutzer, Gruppe, Service Prinzipal oder verwaltete Identität) anhängen lässt. Die von der Rolle umfasste Berechtigungen vererben sich dann nach unten innerhalb der Azure-Resource-Hierarchie.

Schließlich gibt es aus historischen Gründen noch die klassischen Rollen mit genau einem Konto-Administrator (Account Administrator) pro Azure Konto, einen Dienst-Administrator (Service-Administrator) pro Azure-Abonnement und bis zu 20 Co-Admins.

Die klassischen Rollen spielen heute eigentlich keine Rolle mehr, du solltest aber wissen, dass derjenige Nutzer, der ein Azure-Konto erstellt automatisch einen ersten Benutzer-Eintrag im Azure AD erhält und in diesem auch die Rolle globaler Administrator. Außerdem wird genau dieser Benutzer auch gleichzeitig zum Konto-Administrator und Dienst-Administrator im klassischen Modell. Letzteres ist auch der Grund dafür, warum du nach dem Erstellen eines neuen Azure-Kontos (u. B. Azure-AD Free) unmittelbar in der Lage bist Ressourcen in Azure zu erstellen, obwohl Microsoft eigentlich sagt: „Azure AD und Azure-Ressourcen werden unabhängig voneinander geschützt. Das bedeutet, dass Azure AD-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren und Azure-Rollenzuweisungen keinen Zugriff auf Azure AD.“ Mehr Details zu diesen Zusammenhängen haben wir schon in anderen Artikeln erläutert. Zum Verständnis des Einsatzes von Gruppen im Azure-AD ist das Verständnis der Funktionsweise und des Zwecks von Rollen aber wichtig. Nebenstehen Grafik von Microsoft verdeutlich die Zusammenhäng gut:

Die drei verschiedenen Rollen-Modelle in Azure.

Bedenke außerdem, dass andere Microsoft Cloud- Dienste wie z. B. Exchange, Intune, Defender for Cloud Apps, Microsoft 365 Defender-Portal, das Compliance-Portal oder „Kostenverwaltung+Abrechnung“ jeweils über eigene Rollen-Modelle verfügen und es auch Cloud-Angebote von Microsoft gibt, wie Teams oder SharePoint, die überhaupt keine separaten rollenbasierten Zugriffssteuerungssysteme aufweisen.

Gruppen im Azure AD

Mit dem Wissen über das Zusammenspiel der Rollen-Modelle in Azure lassen sich folgende Aussagen über das Verwenden von Azure-AD-Gruppen treffen:

  1. In erster Linie kannst du Azure AD-Gruppen als Ziel für Azure-Rollenzuweisungen (RBAC) verwenden, was letztendlich die Verwaltung dieser Rollenzuweisungen in Azure AD z. B. durch Ihre globalen Administratoren und Administratoren für privilegierte Rollen vereinfacht.
  2. Du kannst Gruppen in Azure AD auch verwenden, um Lizenzen einer großen Zahl von Benutzern zuzuweisen.
  3. Du kannst mit Azure-AD-Gruppen internen oder externen Benutzern, bzw. Gästen Zugriff auf für sie bereitgestellte Unternehmens-Apps zuweisen.

Azure AD kennt grundsätzlich zwei Arten von Gruppen, nämlich 1. Sicherheitsgruppen und 2. Microsoft-365-Gruppen.   

  • Erstere kümmern sich hauptsächlich um das Delegieren des Zugriffs auf Azure-Ressourcen und lassen sich noch einmal in drei Kategorien aufteilen.
    • Zugewiesene Gruppen: Hierbei handelt es sich um Gruppen, die du im Azure AD erstellest und denen du anschließend manuell Benutzer fest zuweist. Bei Bedarf funktioniert das auch im Rahmen von Massenvorgängen.
    • Dynamische Gruppen: Dynamische Gruppen regeln die Gruppenmitgliedschaft dynamisch auf Basis bestimmter Merkmale oder Attribute eines Azure AD-Objekts. So kannst du vorhandene oder neu zu erstellende Benutzer automatisch auf Basis eines Attributes wie „Displayname“ oder „Department“ einer bestimmten Gruppe zuweisen lassen, wozu du eine entspreche Query formulieren musst. Das klappt wahlweise interaktiv oder mit Hilfe des Abfrage-Editors.
Eine dynamische Gruppe im Azure AD.

Klicke dazu nach Auswahl des „Group type“ („Security“) und des „Membership type („Dynamic User“) auf den Link „Add dynamic query“.

Das Formulieren einer dynamischen Abfrage zur Gruppenmitgliedschaft.

Dynamische Gruppen oder Dynamische Geräte erfordern allerdings eine Azure Premium P1-Lizenz.

Synchronisierte Gruppen: Gruppen, die z. B. via Azure AD Connect aus einem lokalen ADDS in das Azure AD synchronisiert wurden.

Office-365-Gruppen hingegen haben eine gewisse Ähnlichkeit mit Verteilerlisten in Exchange, d. h. es lassen sich zwar E-Mails an Office-365-Gruppen senden, du kannst Office-365-Gruppen aber nicht zum Delegieren von Berechtigungen verwenden.  Außerdem können Mitglieder von Office-365-Gruppen Zugriff auf freigegebene Postfächer, Kalender, Dateien, SharePoint-Websites und mehr erhalten.

Gruppen-Zugehörigkeit und Gruppen-Besitz im Kontext von Identity Governance

Beim Erstellen einer Gruppe kannst du der Gruppe nicht nur Mitglieder statisch oder dynamisch zuweisen, sondern auch einen Gruppen-Eigentümer (Owner) festlegen. Mitglieder und Besitzer können zu bestehenden Azure AD-Gruppen hinzugefügt und daraus entfernt werden. Der Prozess ist für Mitglieder und Eigentümer gleich. Du benötigst die Rolle „Gruppenadministrator“ oder „Benutzeradministrator“, um Mitglieder und Eigentümer hinzuzufügen und zu entfernen. Die dauerhafte oder vorrübergehende Mitgliedschaft in Azure-AD-Gruppen spielt auch im Kontext der Identity Governance beim Erstellen von Zugriffsprüfungen (Access Reviews) eine große Rolle. Wir haben Access Reviews bereits im Umfeld von Priviliged Identity Management (PIM), einem weiteren Premium-P2-Feature thematisiert. Hier regelt PIM die Erlaubnis, bestimmte Azure-AD-Rollen zeitlich begrenzt annehmen zu dürfen, sowie die Notwendigkeit, eine bestimmte Azure-AD-Rolle über längere Zeit inne zu haben und durch Access Review überprüfen zu lassen.

Access Reviews (Zugriffsprüfungen) gibt es auch im Zusammenhang mit Gruppenmitgliedschaften. Den Einstiegspunkt dazu findest du im Azure AD im Menü „Identity Governance“.

Der Einstiegspunkt zur Identity Governance im Azure AD.

Von hier aus findest du die Abschnitte „Access reviews“ und „Priviliged Identity Management“ im Hauptmenü. Während wir Access review im Rahmen von „Priviliged Identity Management“ bereits vorgestellt haben, werfen wir jetzt einen kurzen Blick auf Access reviews im Allgemeinen. Klickst du auf den Menüeintrag „Access reviews“ und dann auf „+New access review“ kannst du bei „Select what to review“ bestimmen, ob du eine Zugriffsprüfung für die Mitgliedschaft in bestimmten „Teams + Groups“ erstellen möchtest oder den Zugriff auf ausgewählte „Applications“ erhalten möchtest.

Access-Reviews für Gruppenmitgliedschaften.

Im Falle von „Teams + Groups“ musst du zwischen „All Microsoft 365 groups with guest users“ (beinhaltet keine dynamischen Gruppen und keine Gruppen, die du für Rollenzuweisungen verwendest) und „Select Teams + Groups“ entscheiden. Im letzteren Fall kannst du die gewünschte Azure-AD-Gruppe zur Zugriffsprüfung auswählen.

Die Mitgliedschaft in einer ausgewählten Azure-AD-Gruppe.

Wenn du dann im nächsten Schritt des Access-Review-Assistenten einen Prüfer auswählen musst, kannst du z. B. „Group owner(s)“ nehmen; insofern spielt neben dem Member immer auch der Besitzer einer Gruppe (auch in anderen Kontexten) eine gewichtige Rolle.

Der Gruppenbesitzer als Zugriffs-Prüfer.

Gruppen im Umfeld von Hybrid-Umgebungen

Mit Azure AD Connect kannst du in Hybrid-Umgebungen auch das Gruppenrückschreiben konfigurieren. Hierbei werden Cloud-Gruppen mithilfe von Azure AD Connect Sync wieder in dein lokales Active Directory zurückgeschrieben. So lassen sich Gruppen in der Cloud verwalten, während du den Zugriff auf lokale Anwendungen und Ressourcen steuerst. Microsoft kennt zwei Varianten des Gruppenrückschreibens.

Die ursprüngliche Version ist allgemein verfügbar, beschränkt sich aber auf das Zurückschreiben von Microsoft 365-Gruppen in dein lokales Active Directory als Verteilergruppen. Die neuere, derzeit noch als Preview gekennzeichnete, erweiterte Version des Gruppenrückschreibens braucht mindestens Azure AD Connect 2.0.89 oder höher. Hierbei lassen sich nicht nur Microsoft 365-Gruppen als Verteilergruppen, Sicherheitsgruppen oder Sicherheitsgruppen mit E-Mail-Aktivierung zurückschreiben, sondern auch Azure AD-Sicherheitsgruppen als Sicherheitsgruppen und Vieles mehr. Weitere Details zum Gerätezurückschreiben „2.0“ findest du in der https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-group-writeback-v2 Microsoft Azure Dokumentation zu Hybridumgebungen. Du kannst die vorhandenen Rückschreibeinstellungen für Microsoft 365-Gruppen im Portal anzeigen. Navigiere zu der Gruppe und wähle den Eintrag „Properties“. Hier findest du am unteren Rand des Dialogs den „Group writeback state“.

Der Status des Gruppenzurückschreibens in Azure.

Gruppen im Kontext von Microsoft Intune

Auch Microsoft Intune verwendet Azure Active Directory-Gruppen (Azure AD) zur Verwaltung von Geräten und Benutzern. So kannst du z. B. als Intune-Administrator Gruppen auf Basis der Anforderungen an dein Unternehmen einrichten. Du kannst z. B. Gruppen einrichten, um Benutzer oder Geräte nach geografischem Standort, Abteilung oder Hardwareeigenschaften zu organisieren. So lassen sich Gruppen zur bedarfsgerechten Verwaltung von Aufgaben einsetzen, indem du z. B.  Richtlinien für ausgewählte Benutzer festlegst oder Apps für mehrere Geräte bereitstellst.

Auch in Intune (Microsoft Endoint Manager Admin Center) kannst du wahlweise Zugewiesene Gruppen oder Dynamische Gruppen (Azure Premium P1) erstellen und Zugriffsprüfungen konfigurieren.

Gruppenverwaltung in Intune

Richtlinien für den Bedingten Zugriff

Natürlich spielen Gruppen auch eine wichtige Rolle beim bedingten Zugriff, einem weiteren Azure-AD-Premium-P2-Feature, das wir bereits in einem Artikel beschrieben haben. Hier benötigst du schon deshalb Azure-AD-Gruppen, um den Wirkbereich bestimmter Policies, z. B. für einen Proof-of-Concept auf ausgewählte Gruppen einschränken zu können.

Azure-Ad-Gruppen als Ziel von Conditional-Access-Policies

Wir haben jetzt die verschiedenen Arten von Gruppen im Azure AD und einige der möglichen Einsatzbereiche demonstriert. Weitere Details zu Gruppen, z. B wie du diese auch in der Powershell oder CLI anlegst, wie du Gruppen automatisierst erstellst/befüllst oder wie du Gruppen im Kontext von externen Identitäten und bei der Steuerung des Zugriffs auf Unternehmensapplikationen oder im Kontext von Single-SignOn und der Geräteverwaltung in Azure verwendest, sehen wir uns in einem Folge-Beitrag an.

Gruppen schachteln

Seit Juni dieses Jahres stellt Azure das Feature „Nested Azure AD Dynamic Groups“ zur Verfügung. Es ist derzeit noch Preview und erlaubt im Prinzip das Schachteln von Sicherheitsgruppen im Azure AD. Achtung: Auch schon vorher – also ohne dynamische Gruppen, die ja eine Premium-P1-Lizenz erfordern – konntest du gewöhnliche Azure-AD-Sicherheitsgruppen zwar verschachteln, d. h. Sicherheitsgruppen konnten andere Sicherheitsgruppen als Mitglieder enthalten, jedoch hat diese Funktion nie so funktioniert, wie vorgesehen, weil die eigentlichen Gruppen-Mitglieder nicht korrekt aufgelöst wurden. „Mitglieder“ waren hier also tatsächlich nur die entsprechenden Gruppen, sodass viele Funktionen im Azure-AD, die auf Gruppen Bezug nehmen, nicht funktionieren, wie etwa das Zuweisen von Lizenzen oder Anwendungen.

Die neue Funktion in den https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/create-quot-nested-quot-groups-with-azure-ad-dynamic-groups/ba-p/3118024  dynamischen Azure AD-Gruppen sieht jetzt vor, dass es ein weiteres Attribut „memberOf“ gibt, nachdem du filtern kannst, um deine Gruppen automatisch mit Benutzern oder Geräten zu befüllen. Jetzt kannst du also auch solche Benutzer dynamisch erfassen, die Mitglieder einer anderen Gruppe sind. Der Zweck ist, die Mitglieder mehrerer Quellgruppen in einer Gruppe zusammenzufassen, was quasi der erwähnten Schachtelung entspricht. Interessant: hierbei können die Quellgruppen jede Art von Gruppe sein, also nicht nur Sicherheitsgruppen, sondern auch Office-365-Gruppen. Im Gegensatz zu den klassischen geschachtelten Gruppen, werden die Mitglieder bei den dynamischen geschachtelten Gruppen korrekt ermittelt, und als „direkte Mitglieder“ aufgenommen, sind also in einer flachen Liste als Mitglieder der Gruppe bekannt. In der aktuellen Preview-Phase kann jeder dynamische Gruppe momentan nur 50 andere Gruppen aufnehmen.

Dynamische Gruppen können in Zukunft auch geschachtelt werden.

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme männlich
Thomas M.
Aldi GmbH & Co. KG
star-participantstar-participantstar-participantstar-participantstar-participant
Lernen in einem sehr entspannten und angenehmen Klima. Prima!
Kundenstimme männlich
Nina P.
GEUTEBRÜCK GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat meine Erwartungen voll erfüllt. Man hat gemerkt, dass der Trainer Spaß an der Sache und sehr viel Ahnung vom Thema hat. Das Gefühl hat man nicht in allen Schulungen (auf Schulungen im Allgemeinen bezogen).
Kundenstimme männlich
Wolfgang N.
ThyssenKrupp Nirosta
star-participantstar-participantstar-participantstar-participantstar-participant
Eine gute Adresse für das Erlernen scheinbar schwieriger und trockener Themen, die hier gut aufbereitet werden.
Kundenstimme männlich
Martin S.
Bundeseisenbahnvermögen
star-participantstar-participantstar-participantstar-participantstar-participant
Das Training zeichnet sich durch einen sehr hohen Praxisbezug und Raum für individuelle Hilfe persönlicher Problemstellungen sowie durch einen engagierten und hoch kompetenten Trainer aus.