Identity Governance regelt Zugriffskontrolle im Azure AD

Access-Management und Prozesse, die den Lebenszyklus hierfür unterstützen, sind selbst in Unternehmen, die kaum oder keine Kollaboration in der Cloud anstreben, interessant. Denn beispielsweise wechseln Mitarbeiter oft innerhalb des Unternehmens zwischen den Abteilungen. Dabei sammeln sie unterschiedliche Berechtigungen ein: Zugriff auf die Marketingablagen, Einsicht in diverse Schulungen, Informationen zu Budgetplanungen der vergangenen Jahre, dann ein Wechsel in eine Sales-Rolle, wo sie Einsicht in kundenbezogene Informationen erhalten. Selten wird hinter den Mitarbeitern aufgeräumt, wenn ein Rollenwechsel stattfindet. Wird der zugehörige Benutzeraccount durch Angreifer übernommen, erhalten diese Zugriff auf all diese Informationen. Bei administrativen Konten ist dies fatal: Auch hier behalten Administratoren nach dem Setup von Systemen weitreichende Berechtigungen – über verschiedene Projekte hinweg.

Access-Management für Ressourcen in der Cloud erreichen Administratoren von Azure AD (AAD) mit "Identity Governance". Die Funktion gibt Organisationen Möglichkeiten, Ressourcen zu bündeln, Endbenutzern zuzuweisen und den Zugriff über Automatismen regelmäßig zu überprüfen. Im AAD spaltet sich Identity Governance in zwei Teile, den Lebenszyklus von Berechtigungen für Administratoren (Privileged Identity Management; PIM) und für Endbenutzer (Entitlement Management; ELM). Diese Funktionen unterliegen jeweils den Premium-Lizenzen "P2". Zum Test der Funktionen reicht auch eine Trial-Lizenz.

Zugriffspakete erstellen und verwalten

ELM in Azure AD verwaltet im Moment Gruppen (sowohl Sicherheits- als auch Office-365-Gruppen), in AAD integrierte Anwendungen (sowohl SaaS als auch selbst erstellte) und SharePoint Online Sites. ELM schnürt Berechtigungen in "Zugriffspakete" (Access Packages), die aus einer oder mehreren Ressourcen und einer oder mehreren

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.