Stefan Jackmuth
Heute ein kurzer Blogeintrag zu Berechtigungen. Nicht nur, weil diese gut und einfach zu prüfen sind, sondern weil wir ohne die richtigen Berechtigungen selbst nicht zum Prüfen kommen. Welche Berechtigungen brauche ich also für ein Audit von Microsoft Azure?
Die Antwort ist auf den ersten Blick simpel und dann leider doch komplexer. Was in SAP das Profil SAP_ALL ist, entspricht im Microsoft Azure AD der Rolle „Globaler Administrator“. Diese würde für die Nutzung innerhalb einer Prüfung ausscheiden, da in dieser auch Änderungsberechtigungen enthalten sind. Es gibt aber die lesende Entsprechung „Globaler Leser“.
Diese Rolle ist perfekt für ein Audit von Microsoft 365 geeignet, jedoch nicht von Microsoft Azure. Ich habe ein kleines GIF erstellt, um den Effekt zu demonstrieren. Zuerst ist der Benutzer, inkl. der zugewiesenen Rolle zu sehen, den ich zur Demonstration nutze. In Microsoft 365 erhalte ich Zugriff auf alle Admin-Center. Im Beispiel wähle ich das Teams-Admin-Center aus, um eine Richtlinie anzusehen.
Anschließend wechsel ich in das Microsoft Azure Portal und wähle „alle Ressourcen“. Die Erwartungshaltung ist, dass mir alle Ressourcen des gesamten Mandanten angezeigt werden. Das Gegenteil ist der Fall – Azure fragt freundlich, ob ich keinerlei Abonnement besitze und welche Optionen ich habe, um dies zu ändern.
Warum ist das so? Die Antwort steckt in der Beschreibung der „Globaler Administrator“-Rolle: „Kann alle Aspekte von Azure AD und Microsoft-Diensten verwalten, die Azure AD-Identitäten verwenden“.
Prüfung von Cloud Computing
Sie möchten auf einen Schlag geballtes Wissen tanken, das Ihr nächstes Audit von 0 auf 100 bringt?
Hier anmelden!
Der Schlüssel: Azure RBAC (Role-Based Access Control)
In Azure werden die Ressourcen noch einmal getrennt geschützt, bzw. die Benutzer mit anderen Berechtigungen autorisiert - die Verwaltung eines Netzwerks oder einer Datenbank ist eben etwas anderes, als die Verwaltung von Sharepoint: „Mit der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC) können Sie verwalten, welche Benutzer Zugriff auf Azure-Ressourcen haben, welche Aktionen die Benutzer für diese Ressourcen ausführen können und auf welche Bereiche die Benutzer zugreifen können“.
Die einfachste Möglichkeit und umfassendste Möglichkeit besteht in der Vergabe von lesenden Berechtigungen für die Stammverwaltungsgruppe. Wer mit diesem Begriff nichts anfangen kann, dem möchte ich meinen Blogartikel zur Struktur von Microsoft Azure ans Herz legen.
In unserem obenstehenden Beispielmandanten könnte eine Vergabe einer Rolle auf die Tenant Root Group (oder Stammverwaltungsgruppe) erfolgen. Die Erwartungshaltung wäre, dass sich diese lesenden Berechtigungen auf die darunter liegenden fünf Abonnements vererbt.
Eine derartige Vererbung ist auch möglich, jedoch meines Wissens nicht über das Webinterface - hier wird nach meinen Erfahrungen nur genau die Stammverwaltungsgruppe berechtigt.
Für interessiert oder zur Weiterleitung an den Admin wäre hier die ausführliche Beschreibung von Microsoft, wie eine Zuweisung auf den "/"-Scope erfolgt.
Fazit
Berechtigungen sind in Microsoft 365 und Microsoft Azure getrennt voneinander. Bei der Benutzerverwaltung, dem Azure AD, wird wiederum von beiden dieselbe Quelle verwendet. Wer also in der Azure prüfen möchte, muss sich im Vorfeld auch um eine passende Zuweisung von Rollen in Azure bemühen.
Sie haben immer noch nicht genug
von Prüfung von Cloud Computing?
Mit unserem Newsletter erhalten Sie alle vier Wochen
- aktuelle Artikel und Whitepaper,
- unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
- und die aktuellen Termine unserer Audinare.
Was erhalten wir dafür?
- Die Chance Sie von uns und unserem Know-how zu überzeugen.