Az - Basic Information
Organisationshierarchie
Verwaltungsguppen
Wenn Ihre Organisation viele Azure-Abonnements hat, benötigen Sie möglicherweise eine Möglichkeit, um den Zugriff, die Richtlinien und die Compliance für diese Abonnements effizient zu verwalten. Verwaltungsguppen bieten einen Governance-Bereich über Abonnements.
Beachten Sie, dass in einem einzelnen Verzeichnis 10.000 Verwaltungsguppen unterstützt werden können und ein Verwaltungsgruppenbaum bis zu sechs Ebenen tief sein kann.
Aus den Dokumenten: Jedes Verzeichnis erhält eine einzige oberste Verwaltunggruppe, die als Wurzel-Verwaltunggruppe bezeichnet wird. Die Wurzel-Verwaltunggruppe ist in die Hierarchie integriert, sodass alle Verwaltungsguppen und Abonnements zu ihr zusammengefasst werden. Diese Wurzel-Verwaltunggruppe ermöglicht es, globale Richtlinien und Azure-Rollen zuzuweisen, die auf Verzeichnisebene angewendet werden. Der Azure AD Global Administrator muss sich zunächst in die Benutzerzugriffsadministratorrolle dieser Wurzelgruppe erheben. Nach der Erhöhung des Zugriffs kann der Administrator jedem Azure-Benutzer oder -Gruppe Rollen zuweisen, um die Hierarchie zu verwalten. Als Administrator können Sie Ihr eigenes Konto als Eigentümer der Wurzel-Verwaltunggruppe zuweisen.
Die Wurzel-Verwaltunggruppe kann nicht verschoben oder gelöscht werden, im Gegensatz zu anderen Verwaltungsguppen.
Verwaltungsguppen bieten Ihnen eine Unternehmensverwaltung in großem Maßstab, unabhängig davon, welche Art von Abonnements Sie haben. Allerdings müssen alle Abonnements innerhalb einer einzigen Verwaltunggruppe dem gleichen Azure Active Directory (Azure AD) Mandanten vertrauen.
Azure-Abonnements
In Azure dient ein Abonnement als logischer Container zum Bereitstellen von geschäftlichen oder technischen Ressourcen. Dieser Container enthält die Details der Ressourcen wie virtuelle Maschinen (VMs), Datenbanken und andere. Bei der Erstellung einer Azure-Ressource, wie einer VM, wird das dazugehörige Abonnement angegeben. Diese Struktur erleichtert die Delegation des Zugriffs unter Verwendung von rollenbasierten Zugriffskontrollmechanismen.
Ressourcengruppen
Aus den Dokumenten: Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen, die Sie als Gruppe verwalten möchten, enthalten. Im Allgemeinen fügen Sie Ressourcen hinzu, die den gleichen Lebenszyklus teilen, zur gleichen Ressourcengruppe hinzu, damit Sie sie einfach als Gruppe bereitstellen, aktualisieren und löschen können.
Alle Ressourcen müssen innerhalb einer Ressourcengruppe sein und können nur zu einer Gruppe gehören. Wenn eine Ressourcengruppe gelöscht wird, werden auch alle Ressourcen darin gelöscht.
Verwaltungseinheiten
Aus den Dokumenten: Verwaltungseinheiten ermöglichen es Ihnen, Ihre Organisation in jede Einheit zu unterteilen, die Sie möchten, und dann spezifische Administratoren zuzuweisen, die nur die Mitglieder dieser Einheit verwalten können. Zum Beispiel könnten Sie Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren jeder Schule an einer großen Universität zu delegieren, damit sie den Zugriff steuern, Benutzer verwalten und Richtlinien nur in der Ingenieurschule festlegen können.
Nur Benutzer, Gruppen und Geräte können Mitglieder einer Verwaltungseinheit sein.
Daher wird eine Verwaltungseinheit einige Mitglieder enthalten, und andere Prinzipale werden Berechtigungen über diese Verwaltungseinheit zugewiesen, die sie verwenden können, um die Mitglieder der Verwaltungseinheit zu verwalten.
Azure vs Azure AD vs Azure AD-Domänendienste
Es ist wichtig zu beachten, dass Azure AD ein Dienst innerhalb von Azure ist. Azure ist die Cloud-Plattform von Microsoft, während Azure AD ein Unternehmens-Identitätsdienst in Azure ist. Darüber hinaus ist Azure AD nicht wie Windows Active Directory, es ist ein Identitätsdienst, der auf eine völlig andere Weise funktioniert. Wenn Sie einen Domänencontroller in Azure für Ihre Windows Active Directory-Umgebung betreiben möchten, müssen Sie Azure AD-Domänendienste verwenden.
Prinzipale
Azure unterstützt verschiedene Arten von Prinzipalen:
Benutzer: Eine reguläre Person mit Anmeldeinformationen für den Zugriff.
Gruppe: Eine Gruppe von Prinzipalen, die gemeinsam verwaltet wird. Berechtigungen, die Gruppen gewährt werden, werden von ihren Mitgliedern vererbt.
Service Principal/Unternehmensanwendungen: Es handelt sich um eine Identität, die für die Nutzung mit Anwendungen, gehosteten Diensten und automatisierten Tools zum Zugriff auf Azure-Ressourcen erstellt wurde. Dieser Zugriff ist durch die zugewiesenen Rollen des Service Principals eingeschränkt, was Ihnen die Kontrolle darüber gibt, auf welche Ressourcen zugegriffen werden kann und auf welcher Ebene. Aus Sicherheitsgründen wird immer empfohlen, Service Principals mit automatisierten Tools zu verwenden, anstatt ihnen zu erlauben, sich mit einer Benutzeridentität anzumelden.
Beim Erstellen eines Service Principals können Sie zwischen Passwortauthentifizierung oder Zertifikatsauthentifizierung wählen.
Wenn Sie die Passwort-Authentifizierung (standardmäßig) wählen, speichern Sie das generierte Passwort, da Sie nicht mehr darauf zugreifen können.
Wenn Sie die Zertifikatsauthentifizierung wählen, stellen Sie sicher, dass die Anwendung Zugriff auf den privaten Schlüssel hat.
Verwaltete Identität (Metadaten-Creds): Verwaltete Identitäten in Azure Active Directory bieten eine Lösung zur automatischen Verwaltung der Identität von Anwendungen. Diese Identitäten werden von Anwendungen verwendet, um sich mit Ressourcen zu verbinden, die mit der Azure Active Directory (Azure AD) Authentifizierung kompatibel sind. Durch die Nutzung verwalteter Identitäten können Anwendungen Azure AD-Token sichern, während die Notwendigkeit entfällt, Anmeldeinformationen direkt zu verwalten. Es gibt zwei Arten von verwalteten Identitäten:
Systemzugewiesen. Einige Azure-Dienste ermöglichen es Ihnen, eine verwaltete Identität direkt auf einer Dienstinstanz zu aktivieren. Wenn Sie eine systemzugewiesene verwaltete Identität aktivieren, wird eine Identität in Azure AD erstellt. Die Identität ist an den Lebenszyklus dieser Dienstinstanz gebunden. Wenn die Ressource gelöscht wird, löscht Azure automatisch die Identität für Sie. Von Design kann nur diese Azure-Ressource diese Identität verwenden, um Token von Azure AD anzufordern.
Benutzerzugewiesen. Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerzugewiesene verwaltete Identität erstellen und sie einer oder mehreren Instanzen eines Azure-Dienstes (mehrere Ressourcen) zuweisen. Bei benutzerzugewiesenen verwalteten Identitäten wird die Identität separat von den Ressourcen verwaltet, die sie verwenden.
Rollen & Berechtigungen
Rollen werden Prinzipalen auf einem Bereich zugewiesen: principal -[HAS ROLE]->(scope)
Rollen, die Gruppen zugewiesen werden, werden von allen Mitgliedern der Gruppe vererbt.
Je nach dem Bereich, dem die Rolle zugewiesen wurde, kann die Rolle auf andere Ressourcen innerhalb des Bereichscontainers vererbt werden. Wenn beispielsweise ein Benutzer A eine Rolle im Abonnement hat, hat er diese Rolle in allen Ressourcengruppen innerhalb des Abonnements und auf allen Ressourcen innerhalb der Ressourcengruppe.
Klassische Rollen
Besitzer |
| Alle Ressourcentypen |
Mitwirkender |
| Alle Ressourcentypen |
Leser | • Alle Ressourcen anzeigen | Alle Ressourcentypen |
Benutzerzugriffsadministrator |
| Alle Ressourcentypen |
Eingebaute Rollen
Aus den Dokumenten: Azure-Rollenbasierte Zugriffskontrolle (Azure RBAC) hat mehrere eingebaute Rollen, die Sie Benutzern, Gruppen, Service Principals und verwalteten Identitäten zuweisen können. Rollenzuweisungen sind der Weg, wie Sie Zugriff auf Azure-Ressourcen steuern. Wenn die eingebauten Rollen nicht den spezifischen Bedürfnissen Ihrer Organisation entsprechen, können Sie Ihre eigenen benutzerdefinierten Azure-Rollen** erstellen.**
Eingebaute Rollen gelten nur für die Ressourcen, für die sie bestimmt sind. Überprüfen Sie beispielsweise diese 2 Beispiele für eingebaute Rollen über Compute-Ressourcen:
Berechtigt zur Sicherung des Speichervaults, um eine Festplattensicherung durchzuführen. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | |
Virtuelle Maschinen im Portal anzeigen und sich als regulärer Benutzer anmelden. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Diese Rollen können auch über logische Container (wie Verwaltungsguppen, Abonnements und Ressourcengruppen) zugewiesen werden, und die betroffenen Prinzipale haben sie über die Ressourcen innerhalb dieser Container.
Finden Sie hier eine Liste mit allen Azure-eingebauten Rollen.
Finden Sie hier eine Liste mit allen Azure AD-eingebauten Rollen.
Benutzerdefinierte Rollen
Azure ermöglicht auch die Erstellung von benutzerdefinierten Rollen mit den Berechtigungen, die der Benutzer benötigt.
Berechtigung verweigert
Damit ein Prinzipal Zugriff auf eine Ressource hat, muss ihm eine explizite Rolle zugewiesen werden (in irgendeiner Form), die ihm diese Berechtigung gewährt.
Eine explizite Verweigerungsrollenzuweisung hat Vorrang vor der Rolle, die die Berechtigung gewährt.
Globaler Administrator
Benutzer mit der Rolle des Globalen Administrators haben die Möglichkeit, sich in die Rolle des Benutzers Zugriffsadministrator in der Wurzel-Verwaltunggruppe zu 'erheben'. Das bedeutet, dass ein Globaler Administrator in der Lage sein wird, den Zugriff auf alle Azure-Abonnements und Verwaltungsguppen zu verwalten. Diese Erhöhung kann am Ende der Seite erfolgen: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Azure-Richtlinien
Azure-Richtlinien sind eine Reihe von Regeln und Vorschriften in Microsoft Azure, einem Cloud-Computing-Dienst, die helfen, organisatorische Standards zu verwalten und durchzusetzen und die Compliance in großem Maßstab zu bewerten. Diese Richtlinien setzen verschiedene Regeln für Ihre Azure-Ressourcen durch und stellen sicher, dass diese Ressourcen den Unternehmensstandards und Service-Level-Vereinbarungen entsprechen.
Azure-Richtlinien sind entscheidend für die Cloud-Governance und -Sicherheit, da sie helfen, sicherzustellen, dass Ressourcen ordnungsgemäß und effizient genutzt werden und dass sie externen Vorschriften und internen Richtlinien entsprechen. Einige Beispiele:
Sicherstellen der Compliance mit bestimmten Azure-Regionen: Diese Richtlinie stellt sicher, dass alle Ressourcen in bestimmten Azure-Regionen bereitgestellt werden. Beispielsweise möchte ein Unternehmen möglicherweise sicherstellen, dass alle seine Daten in Europa für die GDPR-Compliance gespeichert werden.
Durchsetzung von Namensstandards: Richtlinien können Namenskonventionen für Azure-Ressourcen durchsetzen. Dies hilft bei der Organisation und der einfachen Identifizierung von Ressourcen anhand ihrer Namen, was in großen Umgebungen hilfreich ist.
Einschränkung bestimmter Ressourcentypen: Diese Richtlinie kann die Erstellung bestimmter Ressourcentypen einschränken. Beispielsweise könnte eine Richtlinie festgelegt werden, um die Erstellung teurer Ressourcentypen, wie bestimmter VM-Größen, zur Kostenkontrolle zu verhindern.
Durchsetzung von Tagging-Richtlinien: Tags sind Schlüssel-Wert-Paare, die mit Azure-Ressourcen zur Ressourcenverwaltung verknüpft sind. Richtlinien können durchsetzen, dass bestimmte Tags vorhanden sein müssen oder spezifische Werte haben müssen, für alle Ressourcen. Dies ist nützlich für die Kostenverfolgung, den Besitz oder die Kategorisierung von Ressourcen.
Einschränkung des öffentlichen Zugriffs auf Ressourcen: Richtlinien können durchsetzen, dass bestimmte Ressourcen, wie Speicherkonten oder Datenbanken, keine öffentlichen Endpunkte haben, um sicherzustellen, dass sie nur innerhalb des Netzwerks der Organisation zugänglich sind.
Automatisches Anwenden von Sicherheitseinstellungen: Richtlinien können verwendet werden, um automatisch Sicherheitseinstellungen auf Ressourcen anzuwenden, wie das Anwenden einer bestimmten Netzwerksicherheitsgruppe auf alle VMs oder das Sicherstellen, dass alle Speicherkonten Verschlüsselung verwenden.
Beachten Sie, dass Azure-Richtlinien an jeder Ebene der Azure-Hierarchie angehängt werden können, aber sie werden häufig in der Wurzel-Verwaltunggruppe oder in anderen Verwaltungsguppen verwendet.
Berechtigungsbereich
In Azure können Berechtigungen an jedem Teil der Hierarchie zugewiesen werden. Dazu gehören Verwaltungsguppen, Abonnements, Ressourcengruppen und einzelne Ressourcen. Berechtigungen werden von den enthaltenen Ressourcen der Entität, der sie zugewiesen wurden, vererbt.
Diese hierarchische Struktur ermöglicht eine effiziente und skalierbare Verwaltung von Zugriffsberechtigungen.
Azure RBAC vs ABAC
RBAC (rollenbasierte Zugriffskontrolle) ist das, was wir bereits in den vorherigen Abschnitten gesehen haben: Zuweisen einer Rolle an einen Prinzipal, um ihm Zugriff auf eine Ressource zu gewähren. In einigen Fällen möchten Sie jedoch möglicherweise feinere Zugriffskontrolle oder die Verwaltung von Hunderte von Rollenzuweisungen vereinfachen.
Azure ABAC (attributbasierte Zugriffskontrolle) baut auf Azure RBAC auf, indem es Rollen-Zuweisungsbedingungen basierend auf Attributen im Kontext spezifischer Aktionen hinzufügt. Eine Rollen-Zuweisungsbedingung ist eine zusätzliche Überprüfung, die Sie optional zu Ihrer Rollen-Zuweisung hinzufügen können, um eine feinere Zugriffskontrolle zu ermöglichen. Eine Bedingung filtert die Berechtigungen, die als Teil der Rollendefinition und Rollenzuweisung gewährt werden. Beispielsweise können Sie eine Bedingung hinzufügen, die erfordert, dass ein Objekt ein bestimmtes Tag hat, um das Objekt zu lesen. Sie können den Zugriff auf bestimmte Ressourcen nicht ausdrücklich verweigern unter Verwendung von Bedingungen.
Standardbenutzerberechtigungen
Ein grundlegender Benutzer hat einige Standardberechtigungen, um einige Teile von AzureAD aufzulisten:
Alle Benutzer, Gruppen, Anwendungen, Geräte, Rollen, Abonnements und deren öffentliche Eigenschaften lesen
Gäste einladen (kann deaktiviert werden)
Sicherheitsgruppen erstellen
Nicht versteckte Gruppenmitgliedschaften lesen
Gäste zu eigenen Gruppen hinzufügen
Neue Anwendung erstellen (kann deaktiviert werden)
Bis zu 50 Geräte in Azure hinzufügen (kann deaktiviert werden)
Sie können die vollständige Liste der Standardberechtigungen von Benutzern in den Dokumenten einsehen. Darüber hinaus beachten Sie, dass Sie in dieser Liste auch die Liste der Standardberechtigungen für Gäste sehen können.
Denken Sie daran, dass der Benutzer eine explizite Genehmigung für die Auflistung von Azure-Ressourcen benötigt.
Privileged Identity Management (PIM)
Privileged Identity Management (PIM) in Azure ist ein Tool, das privilegierten Zugriff in Azure Active Directory und Azure verwaltet, steuert und überwacht. Es verbessert die Sicherheit, indem es just-in-time und zeitlich begrenzten privilegierten Zugriff bereitstellt, Genehmigungsworkflows durchsetzt und zusätzliche Authentifizierung erfordert. Dieser Ansatz minimiert das Risiko unbefugten Zugriffs, indem sichergestellt wird, dass erhöhte Berechtigungen nur gewährt werden, wenn dies erforderlich ist und für einen bestimmten Zeitraum.
Authentifizierungstoken
Es gibt drei Arten von Token, die in OIDC verwendet werden:
Zugriffstoken: Der Client präsentiert dieses Token dem Ressourcenserver, um auf Ressourcen zuzugreifen. Es kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden und kann nicht bis zum Ablauf widerrufen werden - das ist standardmäßig 1 Stunde. Die Erkennung ist bei dieser Verwendung gering.
ID-Token: Der Client erhält dieses Token vom Autorisierungsserver. Es enthält grundlegende Informationen über den Benutzer. Es ist an eine bestimmte Kombination aus Benutzer und Client gebunden.
Aktualisierungstoken: Wird dem Client mit dem Zugriffstoken bereitgestellt. Wird verwendet, um neue Zugriffs- und ID-Token zu erhalten. Es ist an eine bestimmte Kombination aus Benutzer und Client gebunden und kann widerrufen werden. Die Standardablaufzeit beträgt 90 Tage für inaktive Aktualisierungstoken und keine Ablaufzeit für aktive Token.
Informationen für bedingten Zugriff sind innerhalb des JWT gespeichert. Wenn Sie das Token von einer erlaubten IP-Adresse anfordern, wird diese IP im Token gespeichert, und dann können Sie dieses Token von einer nicht erlaubten IP verwenden, um auf die Ressourcen zuzugreifen.
Überprüfen Sie die folgende Seite, um verschiedene Möglichkeiten zu lernen, Zugriffstoken anzufordern und sich mit ihnen anzumelden:
Az - AzureAD (AAD)Die häufigsten API-Endpunkte sind:
Azure Resource Manager (ARM): management.azure.com
Microsoft Graph: graph.microsoft.com (Azure AD Graph, das veraltet ist, ist graph.windows.net)
Referenzen
Last updated
