Teilen über

Informationen zu Gruppentypen, Mitgliedschaftstypen und Zugriffsverwaltung

  • Artikel

Microsoft Entra ID bietet verschiedene Möglichkeiten zum Verwalten des Zugriffs auf Ressourcen, Anwendungen und Aufgaben. Mit Microsoft Entra-Gruppen können Sie einer Gruppe von Benutzern statt jedem einzelnen Benutzer Zugriff und Berechtigungen erteilen. Das Einschränken des Zugriffs auf Microsoft Entra-Ressourcen auf ausschließlich die Benutzer, die Zugriff benötigen, ist eines der wichtigsten Sicherheitsprinzipien von Zero Trust.

Dieser Artikel enthält eine Übersicht darüber, wie Gruppen und Zugriffsrechte zusammen verwendet werden können, um die Verwaltung Ihrer Microsoft Entra-Benutzer zu vereinfachen und gleichzeitig bewährte Methoden für die Sicherheit anzuwenden.

Hinweis

Einige Gruppen können nicht im Azure-Portal oder im Microsoft Entra Admin Center verwaltet werden.

  • Gruppen, die aus lokalem Active Directory synchronisiert werden, können nur lokal verwaltet werden.
  • Verteilerlisten und E-Mail-aktivierte Sicherheitsgruppen können nur im Exchange Admin Center oder im Microsoft 365 Admin Centerverwaltet werden. Sie müssen sich anmelden und über die entsprechenden Berechtigungen für dieses Admin Center verfügen, um diese Gruppen zu verwalten.

Übersicht über Microsoft Entra-Gruppen

Die effektive Verwendung von Gruppen kann manuelle Aufgaben reduzieren, z. B. das Zuweisen von Rollen und Berechtigungen zu einzelnen Benutzern. Sie können einer Gruppe Rollen zuweisen und einer Gruppe Mitglieder basierend auf ihrer Aufgabenfunktion oder Abteilung zuweisen. Sie können eine Richtlinie für den bedingten Zugriff erstellen, die für eine Gruppe gilt, und dann die Richtlinie der Gruppe zuweisen. Aufgrund der potenziellen Verwendungsmöglichkeiten für Gruppen ist es wichtig zu verstehen, wie sie funktionieren und wie sie verwaltet werden.

Gruppentypen

Sie können zwei Arten von Gruppen im Microsoft Entra Admin Center verwalten:

  • Sicherheitsgruppen: Wird verwendet, um den Zugriff auf freigegebene Ressourcen zu verwalten.

    • Mitglieder einer Sicherheitsgruppe können Benutzer, Geräte, Dienstprinzipale sein.
    • Gruppen können Mitglieder anderer Gruppen sein, manchmal auch als geschachtelte Gruppen bezeichnet. Siehe Hinweis.
    • Benutzer und Dienstprinzipale können Besitzer einer Sicherheitsgruppe sein.

  • Microsoft 365-Gruppen: bieten Möglichkeiten für die Zusammenarbeit.

    • Mitglieder einer Microsoft 365-Gruppe können nur Benutzer sein.
    • Benutzer und Dienstprinzipale können Besitzer einer Microsoft 365-Gruppe sein.
    • Personen außerhalb Ihrer Organisation können Mitglieder einer Gruppe sein.
    • Weitere Informationen finden Sie unter Weitere Informationen zu Microsoft 365-Gruppen.

Hinweis

Beim Einbetten einer vorhandenen Sicherheitsgruppe in eine andere Sicherheitsgruppe haben nur Mitglieder der übergeordneten Gruppe Zugriff auf freigegebene Ressourcen und Anwendungen. Weitere Informationen zum Verwalten geschachtelter Gruppen finden Sie unter Verwalten von Gruppen.

Mitgliedschaftstypen

  • Zugewiesene Gruppen: Ermöglicht es Ihnen, bestimmte Benutzende als Mitglieder einer Gruppe hinzuzufügen, die über besondere Berechtigungen verfügen.
  • Gruppe "Dynamische Mitgliedschaft" für Benutzer: Ermöglicht es Ihnen, Regeln zum automatischen Hinzufügen und Entfernen von Benutzern als Mitglieder zu verwenden. Wenn sich die Attribute eines Mitglieds ändern, prüft das System Ihre Regeln zu dynamischen Mitgliedergruppen für das Verzeichnis. Das System überprüft, ob das Mitglied die Regelanforderungen erfüllt (wird hinzugefügt) oder nicht mehr erfüllt (wird entfernt).
  • Gruppe "Dynamische Mitgliedschaft" für Geräte: Hiermit können Sie Regeln verwenden, um Geräte automatisch als Mitglieder hinzuzufügen und zu entfernen. Wenn sich die Attribute eines Geräts ändern, prüft das System Ihre dynamischen Gruppenregeln für das Verzeichnis, um festzustellen, ob das Gerät den Regelanforderungen entspricht (wird hinzugefügt) oder nicht mehr entspricht (wird entfernt).

Wichtig

Sie können eine dynamische Gruppe entweder für Geräte oder für Benutzer erstellen, jedoch nicht für beides. Sie können keine Gerätegruppe basierend auf den Attributen der Gerätebesitzer erstellen. Regeln für die Gerätemitgliedschaft können nur Geräteattribute referenzieren. Weitere Informationen finden Sie unter Erstellen einer dynamischen Gruppe.

Zugriffsverwaltung

Die Microsoft Entra-ID hilft Ihnen, Den Zugriff auf die Ressourcen Ihrer Organisation zu gewähren, indem Sie Zugriffsrechte für einen einzelnen Benutzer oder eine Gruppe bereitstellen. Mithilfe von Gruppen kann der Ressourcenbesitzer oder der Microsoft Entra-Verzeichnisbesitzer allen Mitgliedern der Gruppe eine Reihe von Zugriffsberechtigungen zuweisen. Der Ressourcen- oder Verzeichnisbesitzer kann personen wie einem Abteilungsleiter oder einem Helpdesk-Administrator auch Gruppenverwaltungsrechte erteilen, sodass diese Person Mitglieder hinzufügen und entfernen kann. Weitere Informationen zum Verwalten von Gruppenbesitzern finden Sie im Artikel Verwalten von Gruppen.

Die Ressourcen, auf die Microsoft Entra-Gruppen Zugriff verwalten können, umfassen:

  • Teil Ihrer Microsoft Entra-Organisation, z. B. Berechtigungen zum Verwalten von Benutzern, Anwendungen, Abrechnungen und anderen Objekten.
  • Außerhalb Ihrer Organisation, z. B. Nicht-Microsoft Software as a Service (SaaS)-Apps.
  • Azure-Dienste
  • SharePoint-Websites
  • Lokale Ressourcen

Alle Anwendungen, Ressourcen und Dienste, die Zugriffsrechte erfordern, müssen separat verwaltet werden, da die Berechtigungen für eine Anwendung, eine Ressource oder einen Dienst möglicherweise nicht dieselben sind wie für andere. Gewähren Sie Zugriff nach dem Prinzip der geringsten Rechte, um das Risiko eines Angriffs oder einer Sicherheitsverletzung zu verringern.

Zuweisungstypen

Nach dem Erstellen einer Gruppe müssen Sie entscheiden, wie der Zugriff verwaltet werden soll.

  • Direkte Zuweisung. Der Ressourcenbesitzer weist den Benutzer direkt der Ressource zu.

  • Gruppenzuweisung. Der Ressourcenbesitzer weist der Ressource eine Microsoft Entra-Gruppe zu. Dadurch erhalten automatisch alle Gruppenmitglieder Zugriff auf die Ressource. Sowohl Gruppen- als auch Ressourcenbesitzende verwalten die Gruppenmitgliedschaft, wobei beide Mitglieder zur Gruppe hinzufügen oder daraus entfernen können. Weitere Informationen zur Verwaltung von Gruppenmitgliedschaften finden Sie im Artikel Verwaltete Gruppen.

  • Regelbasierte Zuweisung. Der Ressourcenbesitzer erstellt eine Gruppe und verwendet eine Regel, um festzulegen, welche Benutzer einer bestimmten Ressource zugewiesen werden. Die Regel basiert auf Attributen, die einzelnen Benutzern zugewiesen sind. Der Ressourcenbesitzer verwaltet die Regel und bestimmt, welche Attribute und Werte zum Zulassen des Zugriffs auf die Ressource erforderlich sind. Weitere Informationen finden Sie unter Erstellen einer dynamischen Gruppe.

  • Zuweisung durch eine externe Autorität. Der Zugriff stammt aus einer externen Quelle, etwa einem lokalen Verzeichnis oder einer SaaS-App. In diesem Fall weist der Ressourcenbesitzer eine Gruppe zu, um Zugriff auf die Ressource zu ermöglichen, und die externe Quelle verwaltet die Gruppenmitglieder.

Bewährte Methoden zum Verwalten von Gruppen in der Cloud

Im Folgenden sind bewährte Methoden zum Verwalten von Gruppen in der Cloud aufgeführt:

  • Self-Service-Gruppenverwaltung aktivieren: Benutzern das Suchen und Beitreten zu Gruppen gestatten oder eigene Microsoft 365-Gruppen erstellen und verwalten können.
    • Unterstützt Teams, sich selbst zu organisieren und gleichzeitig den Verwaltungsaufwand für die IT zu verringern.
    • Wenden Sie eine Gruppenbenennungsrichtlinie an, um die Verwendung eingeschränkter Wörter zu blockieren und Konsistenz sicherzustellen.
    • Verhindern Sie das Anhalten inaktiver Gruppen, indem Sie Gruppenablaufrichtlinien aktivieren, die nicht verwendete Gruppen nach einem bestimmten Zeitraum automatisch löschen, es sei denn, sie werden von einem Gruppenbesitzer verlängert.
    • Konfigurieren Sie Gruppen so, dass alle Benutzer, die beitreten oder eine Genehmigung erfordern, automatisch akzeptiert werden.
    • Weitere Informationen finden Sie unter Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID.
  • Verwenden von Vertraulichkeitsbezeichnungen: Verwenden sie Vertraulichkeitsbezeichnungen, um Microsoft 365-Gruppen basierend auf ihren Sicherheits- und Complianceanforderungen zu klassifizieren und zu steuern.
  • Automatisieren der Mitgliedschaft mit dynamischen Gruppen: Implementieren Sie dynamische Mitgliedschaftsregeln, um automatisch Benutzer und Geräte basierend auf Attributen wie Abteilung, Standort oder Position zu Gruppen hinzuzufügen oder aus Gruppen zu entfernen.
    • Dadurch werden manuelle Updates minimiert und das Risiko reduziert, dass der Zugriff unterbrochen wird.
    • Dieses Feature gilt für Microsoft 365-Gruppen und Sicherheitsgruppen.
  • regelmäßige Zugriffsüberprüfungen durchführen: Verwenden der Microsoft Entra Identity Governance-Funktionen, um regelmäßige Zugriffsüberprüfungen zu planen.
  • Verwalten der Mitgliedschaft mit Zugriffspaketen: Erstellen von Zugriffspaketen mit Microsoft Entra Identity Governance, um die Verwaltung mehrerer Gruppenmitgliedschaften zu optimieren. Access-Pakete können:
    • Genehmigungsworkflows für die Mitgliedschaft einschließen
    • Definieren von Kriterien für den Zugriffsablauf
    • Bereitstellen einer zentralen Möglichkeit zum Gewähren, Überprüfen und Widerrufen des Zugriffs über Gruppen und Anwendungen hinweg
    • Weitere Informationen finden Sie unter Erstellen eines Zugriffspakets in der Berechtigungsverwaltung
  • Mehrere Gruppenbesitzer zuweisen: Einer Gruppe mindestens zwei Besitzer zuweisen, um Kontinuität sicherzustellen und Abhängigkeiten von einer einzelnen Person zu reduzieren.
  • Gruppenbasierte Lizenzierung verwenden: gruppenbasierte Lizenzierung vereinfacht die Benutzerbereitstellung und stellt konsistente Lizenzzuweisungen sicher.
  • Rollenbasierte Zugriffssteuerungen (RBAC) erzwingen: Rollen zuweisen, um zu steuern, wer Gruppen verwalten kann.

Verwandte Inhalte