Spezielle Rechte in Azure zuweisen
23. November 2017Ein detailliertes und ausgefeiltes Berechtigungskonzept stellt einen der Grundpfeiler für eine sichere und zuverlässige IT-Infrastruktur da. Denn es sollte immer nur mit „Minimalberechtigungen“ gearbeitet werden. das gilt sowohl für die normalen Nutzer, als auch für die Systembetreuer. Daher ist es nicht sinnvoll, einem Datenbankadministrator volle Berechtigungen als Domänenbetreuer zuzuweisen, dem Mitarbeiter in der Fachabteilung „Marketing“ lokale Admin-Rechte für seinen Endpoint zuzuweisen oder dem Backup-Betreuer den Zugriff auf alle Active-Directory-Objekte zu „genehmigen“. Werden zu einem bestimmten Zeitpunkt doch einmal „mehr“ Rechte benötigt, sollten diese nach Rücksprache zugewiesen, und danach wieder entzogen werden.
Diese Regeln gelten nicht nur für das firmeninterne Rechenzentrum (RZ), sondern auch wenn hybride Systeme (etwa Azure Stack) oder auch reine Cloud-Systeme (wie Microsoft Azure) zum Einsatz kommen. Nun sind in der grafischen Verwaltungskonsole von Azure nicht alle benötigten „Sicherheitsgruppen“ enthalten.
Da bestimmte Benutzerrollen für spezielle Dienste benötigt werden, „tauchen“ diese nicht unbedingt im Azure-Portal auf. Möchten die Systembetreuer etwa bestimmte User der Rolle „Security Administrator“ hinzufügen, navigieren die Administratoren in den entsprechenden Bereich im Office-365-Portal.
Hier verbergen sich viele Office-spezifische Benutzerrollen im Untermenü „Permissions“ beziehungsweise „Security&Compliance“, wie im Bild zu sehen. Eine Übersicht der einzelnen Azure-Admin-Rollen ist auf der entsprechenden Seite von Microsoft zu finden.