Skip to main content
Die Verwaltung von Zugriffen und Rollen ist ein zentraler Bestandteil der Cloud-Sicherheit. In Microsoft Azure wird dafür RBAC (Role-Based Access Control) verwendet – ein rollenbasiertes Berechtigungskonzept, das den Zugriff auf Ressourcen gezielt und nachvollziehbar regelt.

Identitäts- und Zugriffverwaltung

  • Cloud-basiertes Verzeichnis für Benutzer, Gruppen, Geräte und Rollen
  • Unterstützt moderne Authentifizierungsprotokolle (OpenID, OAuth2, SAML, SCIM)
  • Wird für die Verwaltung von Identitäten in Microsoft Azure und Microsoft 365 verwendet
Identities
  • Identities sind Objekte, welche authentifiziert werden können
  • Accounts sind Identities, denen Daten zugeordnet werden
  • Guests stammen aus einem anderen Entra ID
Groups
  • Security Groups oder M365 Groups
  • Direkte oder dynamische Zuweisung
  • Traditionelles lokales Verzeichnis (on-prem)
  • Häufig per Azure AD Connect mit Entra ID synchronisert
  • Langfristig soll Entra ID das lokale AD ersetzen

Role Based Access Management

Benutzer oder Gruppen erhalten Rollen, und Rollen enthalten die Berechtigungen.
ElementBedeutung
IdentitätBenutzer, Gruppen oder Service Principal
RolleSammlung von Berechtigungen
ScopeGeltungsbereich der Rolle (z.B. Ressourcengruppe, Ressource)
In Entra ID können Rollen nur auf Tenant- oder Administrative Unit-Ebene vergeben werden.

Azure-spezifische Scopes

RBAC lässt sich auf verschiedene Ebene anwenden:
  1. Management Group
  2. Susbcription
  3. Resource Group
  4. Einzelne Ressourcen
Je tiefer der Scope, desto feingranularer und sicherer die Rechtevergabe.

Integrierte Rollen

RolleBeschreibung
OwnerVolle Kontrolle über Ressourcen und Rollenverwaltung
ContributorRessourcen erstellen, änder, löschen - keine Rechtevergabe
ReaderLesen von Ressourcen - keine Änderungen möglich
Diese Rollen können direkt zugewiesen oder zur Erstellung eigener Rollen verwendet werden.

Vorteile

Rollen können an Gruppen oder Benutzer vergeben werden – sogar temporär.
Kein Einzelrechtemanagement nötig.
Prinzip der geringsten Rechte (PoLP) wird gefördert.
Klare Zuweisungen durch verständliche Rollenbezeichnungen.

Nachteile

Struktur und Rollenkonzept müssen gut durchdacht werden.
Müssen aktiv überwacht werden.
Wartung kann aufwändiger wirken als direkte Berechtigungen.

Best Practices

  • Rollen nur Gruppen zuweisen, nicht direkt Benutzern
  • Priviligierte Rollen (z.B. Owner) nur gezielt einsetzen
  • Priviliged Identity Management (PIM) nutzen, um zeitlich begrenzten Zugriff zu ermöglichen
  • Regelmässige Kontrolle der Berechtigungen (z.B. Access Reviews)
  • Dokumentation und Naming Convention einführen für bessere Nachvollziehbarkeit